Peligra ciberseguridad en la PNP

Por:
18.08.2025
Oscuras contrataciones en la PNP pondrían al descubierto un proceso de contratación que tendría un direccionamiento hacia la marca Bitel y un fraude de 300 millones de soles, contando con el silencio cómplice del Ministerio del Interior, el Ministerio de Justicia, la OSCE y la Contraloría General de la República.
[INFORME] A puertas cerradas y con la complicidad del silencio institucional, la Policía Nacional del Perú (PNP) avanza un proceso de contratación que, lejos de garantizar transparencia y eficiencia, pondría en evidencia uno de los casos más graves de direccionamiento técnico y simulación de competencia en el sistema de compras públicas durante este gobierno.

El Concurso Público CP-SM-2-2025-DIRECFIN-PNP-1, convocado para contratar un servicio estratégico (la red privada de datos, seguridad gestionada y acceso a internet de toda la infraestructura policial a nivel nacional) estaría siendo direccionado para que vuelva a ganar un postor que no garantiza la ciberseguridad del sistema, poniendo en riesgo todos los datos de denuncias ciudadanas entre 2019 y 2025. Se trata de un servicio que, por su naturaleza crítica, debería estar blindado de cualquier sombra de irregularidad. Pero los hechos demuestran todo lo contrario.

SUDACA tuvo acceso a documentación interna —que incluye cartas a Contraloría, pronunciamientos legales, informes técnicos y publicaciones de prensa especializada— que revelarían una serie de prácticas que configuran una arquitectura de contratación dirigida, construida para beneficiar a determinados actores y excluir al resto. (toda la documentación va al final de este reportaje).

La contratación directa del 2024

Nuestras fuentes relatan que, en 2023, la Policía Nacional del Perú comenzó a preparar el reemplazo de su servicio de telecomunicaciones, sabiendo que el contrato vigente con Telefónica del Perú (TDP) vencía en noviembre de 2024. El escenario ya estaba condicionado: TDP se encontraba inhabilitado para contratar con el Estado, lo que eliminaba cualquier posibilidad de prórroga o contratación adicional con ellos.

La lógica indicaba que un nuevo proceso debía iniciarse con la debida anticipación para evitar riesgos de desabastecimiento. Los actos preparatorios, sin embargo, se desplegaron de forma llamativamente lenta. El estudio de mercado, clave para definir el valor referencial y la viabilidad del concurso se prolongó casi seis meses, un plazo atípico para este tipo de contrataciones.

Durante este tiempo, la operadora Claro (uno de los pocos proveedores con capacidad de red para atender a la PNP a nivel nacional) envió múltiples consultas y observaciones técnicas. Muchas de ellas no fueron atendidas o recibieron respuestas parciales que no resolvían las inquietudes de fondo.

El retraso no era inocuo. Cada mes que pasaba reducía la ventana de tiempo para convocar el proceso. Un concurso abierto en abril o mayo de 2024 habría enfrentado tiempos ajustados para la recepción de ofertas, absolución de consultas, elevaciones de observaciones e incluso eventuales apelaciones. Esto habría puesto a la PNP en riesgo de quedar sin servicio contratado al vencimiento del contrato de TDP en noviembre.

En este mercado específico, solo tres operadores tenían la capacidad real para brindar el servicio a la PNP: TDP (inhabilitado), Claro (con capacidad, pero marginado por la no atención de sus consultas) y Bitel (Viettel Perú). Al dejar las consultas de Claro sin respuesta efectiva, el proceso quedó, de facto, con Bitel como único jugador viable.

La combinación de un estudio de mercado prolongado y la inminencia del vencimiento del contrato con TDP creó el escenario perfecto para declarar la urgencia y justificar una contratación directa. Con TDP fuera de carrera y Claro reducido a un rol testimonial, la PNP tenía frente a sí un único proveedor en condiciones de recibir el contrato: Bitel.

Con TDP fuera y Claro bloqueada en la práctica, Bitel quedó como único proveedor viable. El resultado: una contratación directa que instaló un modelo técnico cerrado, con marcas predefinidas y sin competencia real. Este sería el molde que, un año después, se replicaría casi intacto y sería replicado en el nuevo proceso CP-SM-2-2025.

Sobrecosto a la vista

En 2020, la PNP adjudicó a Telefónica del Perú (TDP) un contrato para la provisión de servicios de telecomunicaciones por un monto inicial de S/.182´060,887.84[1]. Posteriormente, este monto fue reducido en un 3.94%, lo que dejó el costo total en aproximadamente S/.174´892,156.84[2] por 36 meses de servicio[3].

Al ser consultados nuestros expertos en contratación pública[4], indicaron que, si distribuimos ese monto a lo largo de todo el periodo, el costo mensual efectivo con TDP fue de S/.4´858,115.47 por mes (S/.174´892,156.84 en 36 meses).

En 2024, mediante contratación directa, la PNP adjudicó a Bitel (Viettel Perú) un contrato por S/.202´168,668.88[5], pero solo por 19 meses de servicio[6]. Esto arroja un costo mensual efectivo con Bitel de S/.10´640,456.26 por mes (S/.202´168,668.88 en 19 meses).

Las matemáticas no cierran. Una simple comparación de costos mensuales salta a la vista con un sobrecosto de 119% que beneficiaría a Bitel.

  • TDP (2020 – 2023) → S/.4.86 millones/mes
  • Bitel (2024 – 2026) → S/.10.64 millones/mes

¿Cuál sería el sustento de este incremento? El servicio con Bitel cuesta más del doble por mes que el contrato previo con TDP, pese a que el alcance técnico no se amplió de manera proporcional y sin evidencia de mejoras sustanciales que justifiquen este salto.

Esta diferencia no es un simple ajuste inflacionario, ni una mejora tecnológica extraordinaria: es un sobreprecio mensual evidente que se disparó precisamente en el marco de un proceso sin competencia real, donde Bitel quedó como único proveedor viable tras la exclusión práctica de Claro y la inhabilitación de TDP.

En términos anuales, si ambos contratos se compararan a igual número de meses (19), la diferencia anualizada del gasto acumulada superaría los S/ 109.8 millones, un margen   que en contratación pública suele encender todas las alarmas de sobrevaloración y direccionamiento, pero sorprendentemente se mantuvo en silencio pese a la opinión de OSCE[7] y algunas notas[8] que denunciaron el hecho en prensa especializada[9].

Bitel, el gran beneficiado

El 15 de abril, la PNP convocó el nuevo proceso de contratación apenas seis días antes de la entrada en vigor de la Ley de Contrataciones del Estado y su reglamento actualizado (21 de abril).

La fecha no fue casual. Con el nuevo marco legal, las entidades estarían obligadas a sostener reuniones formales y documentadas con todos los posibles proveedores durante la etapa de estudio de mercado, así como atender y responder sus consultas. En este caso, esa obligación habría significado reunirse con Claro, el único competidor real de Bitel tras la inhabilitación de TDP, y responder a las observaciones técnicas y comerciales que la operadora había presentado. Al mantener el proceso bajo la Ley antigua, se evitó esa interacción obligatoria y se preservó el esquema de mínima competencia que caracterizó la contratación directa previa.

Desde el inicio, las bases técnicas del concurso encendieron alertas entre expertos[10] en contratación pública y ciberseguridad. Los Términos de Referencia no solo definían funciones y características. Delimitaban prácticamente el catálogo de los fabricantes que podían cumplirlas.

Los expertos consultados[11] por SUDACA indican que “el patrón es claro. En lugar de abrir la competencia, las especificaciones consolidan un cerco tecnológico que favorece a quienes ya controlan la infraestructura, contraviniendo el principio de libre concurrencia previsto en la Ley de Contrataciones del Estado”.

El estudio de mercado cerró entonces con apenas dos cotizaciones[12]: Una de Bitel, actual proveedor, y otra empresa llamada GLOBAL FIBER. Esta última fue incluida a pesar de que no cuenta con la red nacional de fibra óptica que exigen las bases, y cuya presencia se limita a Lima, Iquitos y Huancayo[13]. Esta última fue aceptada como “postor válido” a pesar de que no posee infraestructura estratégica crítica para el servicio, como lo exigen las bases. Según su propia web, su oferta está enfocada a servicios residenciales y pymes. No a soluciones críticas de alcance nacional. Global Fiber declaró falsamente cumplir con los requisitos habilitantes, presentando información inexacta que indujo a error a la administración. Esto permitió “fabricar” un segundo postor y simular competencia, cuando en la práctica solo quedaba en carrera el proveedor actual.

La inclusión de Global Fiber, pese a su evidente incumplimiento de requisitos, resultó clave para cerrar el estudio de mercado y cumplir formalmente con la “pluralidad” exigida por Ley. Su participación habría servido únicamente para simular una pluralidad de postores, cuando en la práctica no tenía capacidad técnica ni operativa. Esto no solo resultaría irregular. Se trataría de un fraude en contratación pública, según el artículo 397-A del Código Penal, señalan los expertos consultados.

Lo más grave es que los Términos de Referencia fueron redactados con especificaciones que calzan exclusivamente con marcas como F5, Arbor e Imperva, en un acto tan burdo de direccionamiento que, hasta el OSCE[14] –en su pronunciamiento de 2024– cuestionó la legalidad del contrato anterior con Bitel, por ser adjudicado sin sustento técnico ni económico, y habría reutilizado incluso equipos que ni siquiera eran propiedad del nuevo proveedor. El mismo modelo de direccionamiento anterior estaría replicándose en el proceso en marcha, con el único objetivo de adjudicarlo nuevamente a este postor.

Al igual que en el caso de la Directa en 2024 (como un copia y pega), la DIRTIC y la PNP nunca respondieron las consultas de Claro para que esta pueda cotizar. ¿Qué raro no? Las áreas responsables (Logística, Administración y Tecnología de la PNP) convalidaron la admisión de un postor que no cumplía requisitos básicos y no observaron el direccionamiento técnico en las bases.

Fuentes internas de la PNP señalaron a SUDACA que no habría dudas respecto a que este proceso está viciado. Indicaron que basta con observar el tratamiento que los encargados de logística y administración de la entidad contratante estarían dando al proceso de absolución de consultas, las cuales fueron reprogramadas hasta en 23 ocasiones, dando una señal inequívoca de improvisación, presiones internas o la simple incapacidad de justificar legal y técnicamente lo indefendible.

Juristas consultados por SUDACA[15] revelaron que los delitos presuntamente cometidos aquí no son menores: colusión agravada por omisión funcional, falsedad documental, negociación incompatible y dirección ilícita del procedimiento, al favorecer   indirectamente a un proveedor o fabricante mediante la inacción. ¿Dónde están los controles internos? ¿Por qué la Oficina de Control Institucional y la Dirección de Tecnología guardan silencio tras meses de advertencias? ¿Por qué la Contraloría aún no actúa con firmeza?

Luego de revisar toda la documentación a la que tuvo acceso SUDACA, estos mismos expertos en contrataciones públicas opinaron que éstas no pueden seguir siendo botines ni escenarios de favoritismo técnico disfrazado. “La PNP debería rendir cuentas. Este proceso debe detenerse y los responsables (funcionarios, técnicos y postores) deben responder ante la justicia y ante el país. Si la conectividad nacional de nuestra Policía se construye sobre la base del engaño, el sobrecosto y la exclusión, no hablamos solo de corrupción: hablamos de una traición a la seguridad del Estado”, concluyeron.

Sospechosas coincidencias

Desde febrero del 2025 ingresó a trabajar a Bitel, Miguel Eduardo Vasquez Neira, para liderar el área de contrataciones con el Estado, un personaje controversial[16]. Este personaje es quien se encuentra a cargo de atender directamente el servicio PNP. Su ingreso coincide con la deficiente solución que hoy tiene contratada con Bitel, como parte de la Contratación Directa – Contrato Nº 025-2024-DIRECFIN-PNP, contratación que tiene un 245% de sobrevaloración con respecto al anterior proveedor. Hoy, ese deficiente diseño y direccionamiento con determinadas marcas se viene repitiendo en el CP-SM-2-2025-DIRECFIN-PNP-1.

El CP-SM-2-2025 no es una licitación nueva, sino la reedición —casi calco— de una estrategia que el 2024 ya había asegurado un contrato millonario sin competencia efectiva. La diferencia es que ahora la PNP enfrenta el antecedente reciente de un ciberataque masivo que puso en jaque la integridad de sus sistemas.

Gatito FBI NZ

En agosto de 2025, un incidente puso en evidencia la fragilidad de la infraestructura montada bajo el contrato de 2024. Un hacker que se identificó como “Gatito FBI NZ” vulneró el Sistema de Denuncias Policiales (SIDPOL), extrayendo y publicando 88 gigabytes de información interna, incluyendo datos sensibles de ciudadanos y policías. Los datos, ahora disponibles en foros clandestinos, se ofrecen por sumas que alcanzan los 1,500 dólares. Esto puso en riesgo la información de denuncias ciudadanas entre 2019 y 2025, revelando nombres, direcciones y teléfonos de los denunciantes y los oficiales a cargo de las investigaciones en todo el Perú.

Lo más preocupante no es solo el robo de datos, sino la forma en que ocurrió. El atacante utilizó credenciales válidas y los sistemas de monitoreo y bloqueo no detectaron la intrusión. No se generaron alertas tempranas ni se activaron protocolos automáticos de respuesta. Esta falla estructural, ligada a la arquitectura y proveedores definidos en 2024, y cuyo contratista es Bitel, no motivó cambios en el diseño del CP-SM-2-2025. Las mismas marcas, configuraciones y proveedores siguieron en carrera.

Ciberseguridad PNP en alto riesgo

Lo cierto es que el próximo gran contrato tecnológico de la Policía Nacional del Perú (PNP), a través del Concurso Público CP-SM-2-2025-DIRECFIN-PNP-1, nació con la promesa de modernizar la red privada policial, blindar sus sistemas contra ciberataques y garantizar un acceso seguro a internet para todas sus unidades a nivel nacional.

Los documentos internos a los que SUDACA tuvo acceso y según expertos consultados al respecto[17] (cartas remitidas a las más altas autoridades de la PNP y denuncias formales ante la Contraloría General de la República) cuentan otra historia: la de un proceso con claros indicios de direccionamiento hacia marcas específicas, participación  de  postores sin  capacidad  técnica, un  estudio de mercado simulado y la repetición de un diseño   técnico inseguro que demostró su alta vulnerabilidad en el hackeo masivo más grave en la historia reciente de la institución.

La misma fórmula se repite en ambos casos de contratación: controlar el mercado, acortar los plazos, excluir competidores y blindar a un solo proveedor. Y en ambos casos, el costo lo pagará no solo el erario, sino la seguridad de todos los peruanos.

Ricardo Elías concluye en que “es fundamental investigar quiénes se encuentran detrás de las filtraciones de información confidencial, puesto que la Policía Nacional tiene la obligación de garantizar su resguardo y preservar la confianza ciudadana en las instituciones. En tal sentido, resulta indispensable determinar si algún funcionario pudiera estar implicado en dichas conductas e, incluso, integrar la organización criminal responsable. De lo contrario, se configura un grave escenario de vulnerabilidad en el que cualquier ciudadano que presente una denuncia se expone a que sus datos sean indebidamente difundidos, convirtiendo las brechas de seguridad en una práctica cotidiana que daña el sistema de justicia y la protección de derechos fundamentales”.

 

 

 

[1]Contrato N° 41-2020-DIRECFIN-PNP. Concurso Público N° 001-2020-DIRECFIN PNP “CONTRATACIÓN DEL SERVICIO DE CONECTIVIDAD DE DATOS EN BANDA ANCHA, PLATAFORMA DIGITAL INTERCONECTADA PARA SERVICIOS DE RED DE DATOS E INTEGRACIÓN TECNOLÓGICA Y SEGURIDAD INFORMÁTICA GESTIONADA PARA LAS UNIDADES POLICIALES A NIVEL NACIONAL”[2] Resolución Jefatural N° 11-2021-DIRADM
[3] CLAUSULA QUINTA: DEL PLAZO DE LA EJECUCIÓN DE LA PRESTACIÓN
[4] Renzo Zárate Miranda. https://www.zaratefirma.com/socio-fundador
[5] Contrato N° 025-2024-DIRECFIN-PNP. CONTRATACIÓN DIRECTA N° 01-2024-DIRECFIN-PNP, “CONTRATACIÓN DEL SERVICIO DE CONECTIVIDAD DE DATOS EN BANDA ANCHA, PLATAFORMA DIGITAL INTERCONECTADA PARA SERVICIOS DE RED DE DATOS E INTEGRACIÓN TECNOLÓGICA Y SEGURIDAD INFORMÁTICA GESTIONADA PARA LAS UNIDADES POLICIALES A NIVEL NACIONAL”
[6] CLAUSULA QUINTA: DEL PLAZO DE LA EJECUCIÓN DEL SERVICIO. Inicio del Servicio.
[7] DICTAMEN CD N° 508-2024/DGR-SIRE
[8] https://panamericana.pe/locales/430501-servicios-conectividad-pnp-peligro-millonario-contrato-presentaria-irregularidades
[9] https://www.americasistemas.com.pe/millonario-negociado-en-la-pnp/
[10] https://www.americasistemas.com.pe/adjudicacion-dirigida-en-la-pnp/
[11] Renzo Zárate Miranda. https://www.zaratefirma.com/socio-fundador
[12] Oficio N° 655-2025-DIRADM-PNP/DIVLOG-DEPABA-SAP
[13] https://globalfiber.com.pe/
[14] Dictamen CD No 508-2024/DGR-SIRE
[15] Renzo Zárate Miranda. https://www.zaratefirma.com/socio-fundador
[16] https://peru21.pe/politica/dictan-18-meses-de-prision-preventiva-contra-director-de-la-aviacion-policial-coronavirus-en-peru-noticia/
[17] Ricardo Elías Puelles. https://eliaspuelles.com/

Mas artículos del autor:

"FUNDACIÓN RUEDAS MÁGICAS REALIZÓ EVENTO SOLIDARIO A FAVOR DE PERSONAS CON DISTROFIA MUSCULAR"
"Lima se alista para recibir a la Deutsche Kammerphilharmonie Bremen"
"Lima sancionada: la Municipalidad Metropolitana bajo la lupa por incumplimientos ambientales"
LO MÁS LEÍDO
ASÍ NOS “PROTEGEN”
Por: 6.10.2025
MOCHASUELDOS MUNICIPAL. PARTE 2
Por: 29.09.2025
MOCHASUELDOS MUNICIPAL
Por: 26.09.2025
Lima sancionada: la Municipalidad Metropolitana bajo la lupa por incumplimientos ambientales
Por: 25.09.2025
DIAGNÓSTICO: ABANDONADOS
Por: 23.09.2025
TAGS
Asamblea Constituyente Carlos Parodi Cine Congreso Congreso de la República corrupción Covid-19 Cultura Democracia Derecha Dina Boluarte Economía Educación Elecciones Elecciones 2021 Emprendedor Emprendimiento Empresa Encuestas Entendiendo de Economía Fiscalía Fuerza Popular Gobierno Guido bellido Izquierda Keiko Fujimori Liderazgo Lima Literatura Mirtha Vasquez Música Negocio Pandemia Pedro Castillo Perú Perú Libre Política política peruana Presidente Castillo Rafael Lopez Aliaga Redes sociales sociedad Trabajo Vacancia Vladimir Cerrón
x