Respuesta de Expreso a Bitel

Alcance real del Contrato

1.- Lo que afirma Bitel en su carta notarial es contradictorio con las bases del propio proceso que se ha adjudicado. El contrato no se limitó a contratar un “data center e infraestructura”. El Componente 4 describe claramente servicios de seguridad gestionada, incluyendo entre otros:

• SOC gestionado con herramienta de análisis de incidentes y correlación de logs.
• Protección de portales web (WAF) y protección de bases de datos.
• Análisis de vulnerabilidades y ciberseguridad de red.
• Herramienta de prevención de pérdida de información (DLP) en la red.
• Antispam/anti-phishing y antivirus para servidores y endpoints del datacenter principal.
• Equipos DDoS y firewalls de nueva generación internos/externos.
  

Estos términos técnicos significan --en lenguaje sencillo-- operación y supervisión de controles de seguridad, no solo “racks y energía”. Decir que su contrato “no incluye la gestión, supervisión ni operación de los sistemas de ciberseguridad de la PNP” es desconocer el propio título y el contenido del Componente 4. SOC gestionado + correlación de logs + DLP + WAF/DB, que es precisamente gestión, supervisión y operación de seguridad.

2.- Su intento por acotar la responsabilidad a “disponibilidad, redundancia y continuidad” ignora que el paquete contratado por la PNP con VIETTEL PERU tiene controles orientados a detección y contención. Si su intención era dar un servicio de housing/hosting, ¿para qué licitaron un SOC, un SIEM, un WAF, DAM/DB-Firewall o DLP, tal como indica el TDR y el contrato?

Relevancia con los Incidentes

1.- En el caso del incidente GATITO FBI (uso de credenciales válidas + extracción masiva), y según las características contratadas por la PNP con Bitel, al menos debieron existir alertas y contención por consultas masivas anómalas, exfiltración y patrones de acceso atípicos (SOC/SIEM + DAM + DLP). Esto nunca sucedió.

2.- En el caso del incidente DIRIN LEAKS, si el vector fue explotación de portal/BD, WAF + protección de BD + gestión de vulnerabilidades, al menos debieron prevenir o alertar, o detectar y contener el ataque como obligación operativa. Esto tampoco sucedió.

¿Dónde están las pruebas de lo que afirman?

1.- Una práctica usual de un área legal de una de las principales empresas que tributan en el país sería sustentar sus afirmaciones. Consultados nuestros especialistas en telecomunicaciones, nos piden por favor que nos hagan llegar los siguientes documentos para verificar que sus afirmaciones son ciertas:

• Inventario de fuentes integradas al SIEM (SIDPOL/DIRIN), con fechas de onboarding.
• Políticas/reglas activas de WAF, protección de BD y DLP aplicables a esos sistemas.
• Cronología SOC: alertas generadas, MTTD/MTTR, medidas de contención y tickets.
• Rutas de salida del tráfico exfiltrado y evidencia de pase por NGFW/DLP.

Si ustedes no acreditan esto con documentos reales, tal como los que nosotros presentamos para nuestro informe, entenderemos que sus afirmaciones son pura retórica y no argumentos técnicos.

2.- Respecto a su primer argumento, la carta notarial que nos enviaron intenta reducir un contrato de seguridad gestionada a un simple arriendo de fierros o equipos.

Lamentamos decirle que eso NO es así. Las propias especificaciones del contrato que ustedes tienen vigente en este momento indican que su responsabilidad no se agota en uptime. Incluye la operación de controles y monitoreo 24/7, los que debieron detectar y limitar los patrones observados en los casos de filtración de datos vulnerando sus sistemas.

Atribuir que “carece de fundamento” la vinculación, sin leer sus propias obligaciones técnicas ni aportar evidencias, es confundir un datacenter con un SOC, algo preocupante para una empresa de telecomunicaciones que acaba de asignársele espectro para la prestación de servicio 5G.

Si así se maneja el servicio de la PNP, ¿cómo manejaran esta concesión?

Si ustedes no envían los documentos técnicos que sustentan las afirmaciones que acaban de hacernos con su carta notarial, lo que sí quedará configurado es algo más EVIDENTE: Que ustedes vienen incumpliendo la responsabilidad operativa, recurrente y constante del servicio de seguridad gestionada por parte de VIETTEL PERU y para la cual fueron contratados.

Ciberataques

1.- Decir ligeramente que “No hay pronunciamiento oficial” no los exime de ninguna responsabilidad.

Su área legal sabe perfectamente que la responsabilidad contractual no nace de un comunicado de prensa del MININTER u OECE, sino del cumplimiento de obligaciones técnicas y SLA de las bases, TDR y contrato con la PNP.

La ausencia de un informe público no borra los hechos ni los logs. Si pretende sostener que su servicio no tuvo relación con los incidentes, muestre evidencia, no silencios administrativos, ya que por lo menos el caso DIRIN LEAKS comenzó desde enero de este año.

2.- Respecto a la supuesta contradicción material con las bases, Bitel dice que sus servicios “no comprenden seguridad perimetral, ni ciberdefensa, ni administración de sistemas sensibles”. Entonces, nos gustaría que nos pueda explicar ¿Por qué la PNP les está pagando por 4 NGFW, 2 WAF, 2 equipos de protección de base de datos, 2 mitigadores DDoS, antispam/anti-phishing, DLP de red, análisis de vulnerabilidades y un SOC gestionado con SIEM y correlación de logs?

Si para VIETTEL PERU eso no es seguridad perimetral y operación de controles, entonces ¿Qué son? ¿Adornos de feng shui en el rack? Les sugerimos hacer una revisión profesional de las bases, TDR y contrato antes de enviar cartas notariales sin fundamentos técnicos a discutir.

3.- Respecto al alcance operativo ineludible. Consultados nuestros especialistas, señalan que con ese componente su obligación mínima era monitorear, correlacionar, alertar y contener comportamientos anómalos en portales, bases de datos y red de los sistemas onboarded.

En el caso GATITO FBI, los controles contratados debían disparar alertas por consultas masivas, exfiltración y accesos atípicos (SOC/SIEM + DAM/DB-Firewall + DLP).

En el caso DIRIN LEAKS, el vector fue explotación de web/BD, WAF + protección de BD + gestión de vulnerabilidades y tenían que prevenir o alertar. Si fue un insider/credenciales, vuelve el deber de detección y contención.

Intentar reducir todo su contrato vigente a “solo disponibilidad y continuidad” es pretender reescribir el contrato después de ejecutado.

4.- El ISO 27001, por cierto, no puede ser utilizado como una excusa para liberarlos de responsabilidad. Que su compañía tenga un SGSI certificado dice que gestionan procesos. No prueba de que hayan operado eficazmente el SOC, aplicado reglas en WAF/DAM, integrado fuentes al SIEM o cumplido MTTD/MTTR. Si invocan el ISO, adjunten el certificado vigente, alcance, SoA y hallazgos de auditoría relevantes.

En estos casos de certificación, consultados nuestros especialistas, nos advierten que un dato relevante que parece que ustedes desconoces (y es mucho más preocupante), es que normalmente tener el ISO cubre SUS sistemas empresariales como Bitel. NO cubre los de la PNP.

5.- En este caso, nuevamente nuestros expertos señalan que no envían los sustentos que prueben lo que afirman. Quedamos a la espera de los siguientes documentos:

• Inventario de fuentes integradas al SIEM (p. ej., SIDPOL/DIRIN) con fechas de onboarding.
• Reglas/políticas activas en WAF, protección de BD y DLP aplicables a esos sistemas.
• Cronología SOC: alertas emitidas, MTTD/MTTR, acciones de contención y tickets.
• Trazas de tráfico que demuestren que la salida pasó (o no) por NGFW/DLP.
  

Sin estos documentos que prueben lo que dicen, las amenazas de su carta notarial son un conjunto de fraseos legales, pero no defensa técnica de lo que afirma nuestra nota, que sí tiene sustentos concretos a partir de documentos públicos.

6.- Algo que ahora preocupa a Expreso, después de haber leído su carta notarial, es que intentan negar funciones que el propio contrato sí contempla. Su propia carta notarial sería una prueba más de que no cumplen con el contrato, y que por ello persiste la vinculación operativa con los incidentes y la posibilidad de incumplimiento del servicio de seguridad gestionada. Si ustedes no están cumpliendo con el contrato este debiera ser disuelto de inmediato por incumplimiento.

En otras palabras, si su servicio “no comprende seguridad”, reiteramos, habrá que explicar ¿por qué están cobrando por SOC, WAF, DAM, DLP y DDoS? y ¿Por qué no son visibles las alertas y contenciones? ¿Nos explica técnicamente?

Intereses colusorios

1.- Decir “todo fue conforme a la Ley” resulta para el periodismo de investigación que practicamos en Expreso una muletilla de forma. No de fondo.

Lo que está bajo la lupa en nuestra investigación no es si hubo acto público y actas firmadas, sino si la competencia fue o es real, y si el valor por dinero se respetó. Con los hechos publicados y las bases técnicas, existen claros indicios y objetivos de direccionamiento que su carta notarial ignora abiertamente.

2.- Datos concretos y verificados

- Sobrecosto: En 2020 Telefónica cobraba S/ 4.8 millones/mes por +/- 1,000 locales y en 2024 la PNP contrató con Bitel (Contrato 025-2024-DIRECFIN-PNP) por S/ 10.6 millones/mes (es decir, 119%). El proyectado -para el nuevo CP-SM-2-2025-DIRECFIN-PNP-1- a 36 meses, el diferencial bordea S/ 208 millones. Eso NO es “percepción”. Son números publicados. Les recomendamos revisar el portal del SEACE.

Calendario oportunista: Convocaron el CP-SM-2-2025-DIRECFIN-PNP seis días antes de que entre en vigor la nueva Ley de Contrataciones (que obliga mayor interacción y respuesta a consultas de todos los postores, incluido el bloqueado CLARO). ¿Qué conveniente no?

Pluralidad “cosplay”: El expediente se cerró con dos cotizaciones: Bitel y Global Fiber (Oficio 655-2025-DIRAM-PNP/DIVLOG-DEPABA-SAP), esta última sin cobertura nacional/backbone (revise su propia página web). Una simulación perfecta para cumplir el rito. Inútil para generar una competencia real.

Especificaciones con marca/arquitectura predefinida (Palo Alto, F5, Arbor, Imperva) en el TDR del CP-SM-2-2025-DIRECFIN-PNP, replicando las marcas que forman parte de la solución materia de la contratación directa previa con VIETTEL PERU. ¿Un traje a medida? ¿Pueden confirmar que esas marcas no forman parte de la solución instalada por VIETTEL PERU a PNP materia del Contrato 025-2024-DIRECFIN-PNP?, para ejemplo solo un par de casos:

De la información pública en la página web de GLOBAL FIBER (https://globalfiber.com.pe/)... ¿Está en condiciones de afirmar que esta empresa tiene una backbone con anillos redundantes en Lima Metropolitana, Norte, Centro y Sur del país?

Con todo lo expuesto es correcto afirmar que decir toda “imputación es difamatoria” suena más a indignación performativa que a una real desvirtuación técnica. Cumplir con el rito (procedimiento) no borra el olor a licitación dirigida: sobrecosto sostenido, timing para evitar reglas más estrictas, competencia de utilería y TDR con marca. Todas son banderas rojas.

Seguiremos esperando evidencia documental que despeje esos puntos. Su “igualdad de condiciones” suena a eslogan legal. Pero la realidad es que el CP-SM-2-2025-DIRECFIN-PNP es un proceso con alto riesgo de colusión/direccionamiento y prueba de un Estado pagando mucho más por lo mismo o menos.

Comparación de precios con Telefónica (2020 vs 2024)

1.- ¿“Incomparables”? Lamentamos decirle que NO. El propio dictamen del OSCE (DICTAMEN CD N° 508-2024/DGR-SIRE) dice que la Contratación Directa 2024 entregada a Bitel se armó con “requerimiento similar al actual (CONTRATO 41-2020-DIRECFIN-PNP con TdP)” (lo repite para la 2.ª y 3.ª indagación).

Además, fija la cobertura en 923 unidades PNP con seguridad de la información y seguridad informática gestionada. Si para usted eso es “incomparable”, entonces lamentamos decirle que no utilizamos el mismo significado en el idioma español.

2.- “Más puntos de conexión” En 2020 el servicio era para +/- 1,000 locales. En 2024 la Contratación Directa con Bitel se calculó para 923. Son menos. No más. Y también se incluyó seguridad gestionada, housing del DC secundario, fibra oscura, etc… Tal como reconoce el propio expediente.

3.- El precio sí es comparable y es el doble. La misma nota pública que ustedes califican de “engañosa” consigna los montos: S/ 4.8 millones/mes (TDP 2020, 1,000 locales) vs S/ 10.6 millones/mes (Bitel 2024). Eso es mayor al 100% más por mes. Aún “normalizando” por cobertura:

2024: S/ 10.6M / 923 = S/ 11,480 por sede/mes.

2020: S/ 4.8M / 1,000 = S/ 4,800 por sede/mes.

El costo unitario sube 139%. Ese es el tipo de número que no se arregla con un adjetivo ni una carta notarial amenazante sin pruebas de sus afirmaciones.

4.- “Equipamiento especializado y 24/7”. Gracias por confirmar lo que ya está en las bases: SOC gestionado, correlación de logs, WAF, protección de BD, DLP, DDoS, NGFW y antispam. Todo eso explica qué se contrató, no por qué el precio por sede se multiplicó. El OSCE registró que el paquete es similar al requerido. No existió un “salto cuántico” tecnológico.

Nuestros expertos consultados solicitan que nos presenten la siguiente documentación para demostrar que sus afirmaciones son ciertas:

• BOM/valuación por componente (conectividad, seguridad gestionada, housing, fibra oscura) y su costo mensualizado.
• Métricas de calidad comparables (SLA, disponibilidad, MTTD/MTTR del SOC, tiempos de atención) que justifiquen pagar el sobrecosto.
• Evidencia de “más puntos/ mayor capacidad”: listado de sedes 2020 vs 2024, caudal por sede y tráfico real.

Sin esta información decir “incomparables” es otra forma de decir: “No queremos que nos comparen”. La propia documentación oficial derriba lo débil de su tesis: requerimiento similar, menos sedes y precio unitario mucho mayor. La afirmación de “sobrecosto con menor calidad” les indigna. Lamentamos informarle que los números son menos emotivos: Más del 100% más por mes y 139% más por sede.

Si hay argumentos técnicos que reviertan eso y nos lo presentan, encantados de consignarlo. Pero sus “argumentos” en la carta notarial solo demuestran un absoluto desconocimiento del mercado, o dar a entender un posible desconocimiento por parte del medio. Aquí algunos argumentos técnicos más para su posterior análisis:

En telecomunicaciones, los precios por Mbps han seguido bajando en el tiempo.

• En Perú, el OSIPTEL ya señaló que el precio promedio por Mbps de internet fijo cayó 99% entre 2015 y 2024 (de S/ 24.5 a S/ 0.2). Eso es un desplome. No “exponencial al alza”.
• A nivel mayorista/internacional, los precios de IP transit y de circuitos (wavelengths) siguen descendiendo. Entre 2021-2024 los 100 Gbps bajaron 24% anual y en 2024 continuó la erosión de precios.

Por otro lado, la demanda crece. Pero no es un meteoro imprevisible.

• Perú y el mundo están migrando a fibra y subiendo velocidades de forma tendencial y prevista. OSIPTEL y la OCDE lo vienen reportando desde 2020-2024.
• Más tráfico no es lo mismo que más costo unitario. Justamente porque el costo por Mbps cae, el CAPEX/OPEX por bit no se dispara. Eso es economía de escala básica señores de Bitel. Y lo reflejan los precios mayoristas/globales.

Supuesta eliminación de la competencia

1.- No hace falta que Bitel “decida” quién compite para que la competencia desaparezca. Basta con un CP calcado de la Contratación Directa, convocado antes del nuevo marco legal y con dos cotizaciones donde es evidente que una de las empresas no puede prestar el servicio. Eso no es “libre concurrencia”, es una modalidad de direccionamiento.

2.- Nuestros especialistas en contratación pública nos hicieron una pregunta que se las hacemos llegar: ¿Están en las condiciones de asegurar que la PNP respondió todas y cada una de las consultas y observaciones hechas por AMÉRICA MOVILES a los TDR durante la etapa de actuaciones previas – indagación de mercado y que estas no han sido las causantes que limitaron su capacidad de cotización y participación en dicha etapa?

3.- Por otro lado, el CP exige lo mismo que la Contratación Directa (red privada + seguridad gestionada + internet) y el OSCE ya documentó que ese paquete se usó para 923 unidades en 2024. Si a eso le sumamos que la Contrataciuón Directa se extendió a 24 meses sin sustento y sin PAC, siendo el beneficiado VIETTEL PERU, el mensaje que nos queda es muy claro: la competencia no se perdió. La dejaron afuera y hace mucho rato.

4.- Los TDR del CP-SM-2-2025-DIRECFIN-PNP-1 replican marcas y arquitecturas (Palo Alto, F5, Arbor, Imperva) que han sido implementadas por VIETTEL PERU como parte de la Contratación Directa 2024.

Eso no es una “tendencia de mercado”. Es un traje a la medida. Nuestra propia nota de investigación lo documenta expresamente, y explica que el TDR “delimitaba prácticamente el catálogo de los fabricantes, los mismos de la contratación directa”. Al parecer ustedes NO han revisado el pliego de absolución de consultas emitido por la PNP. Le recomendamos revisar el pliego de absolución de consultas, porque es información pública disponible en la plataforma del SEACE.

Contratos con otras entidades públicas

1.- Que Bitel haya ganado otros procesos “públicos, transparentes y supervisados” no prueba nada sobre este caso. También hay restaurantes con licencia sanitaria y eso no impide que vendan ceviche del martes pasado. Aquí importan los patrones, y estos se repiten.

El patrón - Pluralidad de utilería. En la adjudicación reciente del MINEDU (mayo) los únicos que cotizaron para la CONTRATACIÓN DIRECTA de los ítems 5 al 8 fueron VIETTEL, GLOBAL FIBER Y FIBERTEL. Global Fiber y Fibertel no tienen backbone/cobertura nacional para prestar masivamente el servicio terrestre exigido (5000 colegios). Aparecen para “cumplir el rito” de pluralidad. No para competir de verdad. ¿Le suena algo parecido al caso PNP?

Decir “ganamos en otras entidades” no desactiva el olor a direccionamiento. Al contrario. Con este dato pondremos a nuestro equipo de investigación a averiguar cómo fue el modelo MINEDU: competidores de utilería, TDR con marca, calendarios oportunistas y costos unitarios inflados.

NOTA: Se repite el mismo patrón, una DIRECTA publicada, el último día de vigencia de la Ley 30225, el resultado: fueron 04 ítems por SERVICIO DE CONECTIVIDAD A INTERNET PARA 5221 LOCALES EDUCATIVOS A NIVEL NACIONAL, por un total de 159,999,999.55.

Si de verdad no hay un “patrón repetitivo”, entonces rompan el ciclo: prueben pluralidad real, cobertura real y valor por dinero real. Hasta entonces, lo del MINEDU no los absuelve. Al parecer los delata, tal como nos señalaron nuestras fuentes.

Finalmente, al parecer vuestro conocimiento de la norma de contratación pública es limitado, en las contrataciones directas (como en PNP y MINEDU, hoy proceso no competitivos), NO EXISTE UNA ETAPA DE CUESTIONAMIENTO DE BASES, NO EXISTEN ELEVACIONES A OSCE y, TAMPOCO PUEDEN SER APELADAS, por lo que el “nunca han sido cuestionados por postores afectado” carece de total sustento.

Confidencialidad y reserva de derechos

“Confidencialidad” autodeclarada. Una leyenda al pie de su carta no crea obligaciones de reserva. No existe acuerdo de confidencialidad entre partes ni excepción legal que impida difundir una comunicación de evidente interés público. Pretender censurar su propio descargo es, cuando menos, pintoresco.

El derecho de rectificación no es lo mismo que derecho a silenciar.

La rectificación procede solo respecto de hechos concretos e inexactos, identificados textualmente, acompañados de la versión rectificatoria y su sustento. No ampara opiniones, inferencias ni “exijan borrar todo”. Como ya lo hemos señalado, su carta notarial no señala frases específicas vinculadas a una prueba mínima. No cumple los requisitos mínimos.

¿Ultimátum de 24 horas? Los plazos los marca la razonabilidad y la completitud del sustento. Sin documentos verificables, no hay nada que rectificar. Si quieren celeridad, empiecen por probar lo que afirman.

Publicación y retiro de contenidos. No corresponde. Se mantendrá la información publicada y, de ser el caso, se actualizará con la evidencia que ustedes acrediten. La transparencia no es optativa.

Con gusto quedaremos atentos a los siguientes documentos que demuestren sus afirmaciones:

• Estudio de mercado y metodología de valor estimado en PNP.
• Confirmación de que las marcas Palo Alto, F5, Arbor, Imperva no forman parte de la implementación realizada como parte del Contrato 025-2024-DIRECFIN-PNP.
• Su posición empresarial respecto a lo extraño que resulta que, en este tipo de adjudicaciones cuantiosas, solo coticen VIETTEL Y GLOBAL FIBER, y por otro lado, extrañamente, las entidades bloqueen a CLARO.
• Para los incidentes: inventario de fuentes en SIEM, reglas activas (WAF/DAM/DLP), cronología SOC (alertas, MTTD/MTTR) y trazas de tráfico que demuestren paso por NGFW/DLP.

La amenaza de acciones legales sin sustento no sustituye la prueba. El abuso del derecho también genera responsabilidad.

Si judicializan pediremos exhibición completa del expediente (estudios, TDR, estandarización, logs) y allí hablarán los documentos.

Rectificamos hechos probados, no adjetivos. Hoy no han demostrado ninguno. Cuando presenten evidencia verificable, se evaluará y, si corresponde, se rectificará con la misma difusión. Hasta entonces, su “confidencialidad” unilateral y el “retiro total en 24 horas” quedan donde pertenecen: en el cajón de intentos de amedrentamiento de la libertad de opinión e investigación periodística.

Cumplimiento ético, transparente y de competencia leal

Lo “Ético y transparente” no se declara. Se prueba. Los hechos documentados cuentan otra historia:

El OSCE constató que la Entidad estiró la contratación directa a 24 meses por “decisión de gestión” sin justificación técnica y sin programación en el PAC/presupuesto. Eso no es una “mejor práctica”. Es una mala programación que distorsiona la competencia.

El propio expediente habla de “requerimiento similar al actual” para 923 unidades, es decir, no era un unicornio técnico como ustedes afirman que justificara excepciones. Era lo mismo de siempre con envoltura nueva.

En el CP en curso, el TDR cita marcas/arquitecturas de la solución previa (Palo Alto, F5, Arbor, Imperva). ¿Traje a la medida? ¿Competencia leal?

Pluralidad de utilería: Cierres con “dos cotizaciones” donde uno no puede prestar el servicio nacional. El rito se cumple. La competencia NO.

Costo por sede: Pasó de S/ 4,800 (2020, 1,000 locales) a S/ 11,480 (2024, 923 unidades). +139%. La aritmética es infalible.

Si realmente quieren hablar de ética y transparencia, entonces exhiban pruebas de todo lo señalado. La competencia leal se demuestra con expedientes, reglas abiertas y precios eficientes. No con párrafos amenazantes.

Quedaremos atentos a las pruebas que sustenten sus afirmaciones. Hasta entonces, la ética que no soporta una auditoría solo se convierte en marketing.

LO MEJOR DE ACTUALIDAD: 

Minsa declara oficial la ‘Semana de concientización del cáncer infantil’ en septiembre

Segundo Acho, presidente de EsSalud, bajo cuestionamientos: lo tildan de “peón de APP” y piden mayor fiscalización del Congreso

Nueva misión del antiguo Hospital Real de San Andrés: será escuela de restauradores y conservadores peruanos y extranjeros

Mira más contenidos en Facebook, X, Instagram, LinkedIn, YouTube, TikTok y en nuestros canales de difusión de WhatsApp y de Telegram para recibir las noticias del momento.