Auditoría identifica fallas en accesos al Sistema Yardi, Voyager Housing Software (Sistema Yardi), ausencia de planes de contingencia y debilidades en controles de seguridad informática
San Juan, Puerto Rico –(2 de junio de 2026) La contralora de Puerto Rico, Lcda. y CPA Carmen Vega Fournier, informó hoy los resultados de una auditoría de tecnología de información realizada al Área de Sistemas de Información Tecnológica (ASIT) de la Administración de Vivienda Pública (AVP), la cual reveló múltiples deficiencias relacionadas con controles de acceso, ciberseguridad, manejo de cuentas de usuarios, continuidad operacional y administración de sistemas de información computadorizados.
La auditoría cubrió el período del 1 de enero de 2022 al 4 de junio de 2025 y concluyó con una opinión cualificada debido a seis hallazgos relacionados con incumplimientos en áreas críticas de seguridad tecnológica y control interno.
“La tecnología avanza hoy a una velocidad sin precedentes, impulsando procesos cada vez más complejos y altamente dependientes de plataformas digitales, almacenamiento de datos y conectividad. Esta realidad obliga a las entidades gubernamentales a priorizar de manera continua el fortalecimiento de sus sistemas de información, mediante la implementación, actualización y evaluación constante de controles internos, protocolos de ciberseguridad y mecanismos de protección de datos. La protección de información confidencial y sensitiva constituye un componente esencial en cualquier agencia pública, particularmente en entidades que administran información personal, financiera y familiar de miles de ciudadanos beneficiarios de programas de vivienda pública. La ausencia de controles adecuados, planes de contingencia, análisis de riesgo y programas robustos de ciberseguridad aumenta significativamente la exposición a accesos no autorizados, pérdida de información, interrupciones operacionales y posibles incidentes cibernéticos que podrían comprometer servicios esenciales al pueblo. Las situaciones identificadas en esta auditoría requieren atención correctiva inmediata y un compromiso institucional sostenido para fortalecer la gobernanza tecnológica, la continuidad operacional y la resiliencia digital de la agencia”, expresó la contralora Carmen Vega Fournier.
El informe señala que la Administración utiliza el Sistema Yardi, una plataforma donde se administran los proyectos de vivienda pública, los procesos de mantenimiento, asignación de viviendas, el Programa de Sección 8 y otras operaciones de la agencia. Además, el sistema almacena información confidencial relacionada con composición familiar, situación económica y circunstancias personales de los solicitantes y participantes de programas de vivienda pública.
Entre los principales hallazgos, la auditoría reveló deficiencias relacionadas con la documentación y autorización de cuentas de acceso al Sistema Yardi.
El examen de los formularios utilizados para crear 25 cuentas de acceso identificó que múltiples solicitudes no contenían información requerida, incluyendo tipo de solicitud, tipo de usuario, tipo de empleado, propiedades autorizadas y permisos relacionados con órdenes de compra y cuentas por pagar.
Asimismo, la Oficina de la Contralora identificó que el ASIT Área de Sistemas de Información Tecnológica no contaba con documentación relacionada con la autorización de cuentas con privilegios administrativos asignadas a grupos de seguridad con acceso amplio al sistema.
Según el informe, estas situaciones impiden mantener evidencia suficiente para determinar si los accesos otorgados fueron autorizados correctamente y conforme a las funciones de los usuarios, además de aumentar el riesgo de accesos no autorizados e irregularidades.
La auditoría también reveló que, al 31 de diciembre de 2024, permanecían activas
23 cuentas de acceso asignadas a exempleados que habían cesado funciones entre julio de 2022 y diciembre de 2024. En algunos casos habían transcurrido hasta 900 días desde la separación del empleado.
Además, se identificaron 412 cuentas activas que no habían sido utilizadas por más de 90 días, incluyendo cuentas con hasta 3,514 días sin actividad registrada.
“El control efectivo de accesos es una medida básica de seguridad informática. Mantener cuentas activas de exempleados o cuentas inactivas por períodos prolongados representa un riesgo significativo para la protección de información confidencial y para la integridad operacional de los sistemas gubernamentales”, añadió Vega Fournier.
Otro de los hallazgos importantes del informe es que la Administración no contaba con un informe formal de análisis de riesgos de sus sistemas de información computadorizados.
La auditoría determinó que la AVP tampoco había desarrollado, documentado ni implementado un programa de ciberseguridad, ni procedimientos aprobados para responder a incidentes de seguridad cibernética relacionados con sus sistemas de información.
La Oficina de la Contralora señaló que esta situación impide desarrollar planes efectivos de respuesta y mitigación ante posibles ciberataques, así como establecer procesos adecuados de contención y recuperación ante incidentes de seguridad.
Además, la auditoría reveló que la Administración no contaba con un plan de contingencia ni con un plan de recuperación de desastres relacionados con sus sistemas de información computadorizados.
El informe advierte que la ausencia de estos planes puede provocar improvisación durante emergencias, interrupciones prolongadas de servicios, pérdida de información y gastos excesivos e innecesarios en caso de incidentes tecnológicos o desastres que afecten la infraestructura informática de la agencia.
La Oficina de la Contralora también identificó que la Administración no mantenía políticas, normas y procedimientos aprobados para áreas críticas relacionadas con:
• Administración y control de accesos lógicos y físicos.
• Administración de redes y sistemas de información.
• Manejo de ciberseguridad e incidentes de seguridad.
• Procesos de respaldo y recuperación de información.
• Control de actualizaciones de aplicaciones.
• Uso de sistemas de información computadorizados.
• Disposición de equipos tecnológicos.
• Clasificación y publicación de datos conforme a la Ley 40-2024, Ley de Ciberseguridad del Estado Libre Asociado de Puerto Rico.
La auditoría atribuye gran parte de estas deficiencias a limitaciones de recursos y falta de personal especializado dentro del ASIT Área de Sistemas de Información Tecnológica. Además, a la falta de participación de esta área en el proceso de la creación de las cuentas de acceso, los atrasos en el recibo de un informe de cuentas sin actividad que debe proveer el consultor, y a que se encuentran en un proceso de actualizar la infraestructura tecnológica de la Administración.
En sus comentarios a la Oficina de la Contralora, la gerencia de la Administración indicó que trabaja en la creación de nuevos formularios y mecanismos de segregación de accesos para mejorar los controles de seguridad en el Sistema Yardi. Además, expresó que se han realizado orientaciones relacionadas con la administración de cuentas y accesos.
Con relación a los hallazgos sobre ciberseguridad, la Administración indicó que no cuenta con personal especializado para desarrollar los análisis y programas requeridos, por lo que solicitó autorización para contratar recursos externos que atiendan dichas áreas.
Ante las situaciones identificadas, la Oficina de la Contralora emitió recomendaciones dirigidas al secretario del Departamento de la Vivienda y al administrador de la Administración de Vivienda Pública.
Entre las recomendaciones se encuentran desarrollar y aprobar políticas
y procedimientos tecnológicos formales, actualizar los formularios de acceso al Sistema Yardi, documentar todas las cuentas administrativas, desactivar oportunamente cuentas de exempleados, realizar análisis de riesgo, desarrollar un programa de ciberseguridad, establecer procedimientos para manejo de incidentes y preparar planes de contingencia y recuperación de desastres.
Asimismo, se recomendó realizar ejercicios y simulacros periódicos para evaluar la efectividad de los procedimientos de recuperación y continuidad operacional.
“La transformación digital y la protección de información requieren estructuras sólidas de control interno y seguridad cibernética. La ausencia de estos mecanismos expone a las agencias públicas a riesgos operacionales, financieros y reputacionales que pueden impactar directamente los servicios ofrecidos al ciudadano”, sostuvo la contralora.
La Administración de Vivienda Pública administra programas relacionados con vivienda pública y asistencia habitacional en Puerto Rico. Durante los años fiscales 2021-22 al 2023-24 manejó presupuestos que ascendieron aproximadamente a $562.1 millones, $899.9 millones y $652.6 millones, respectivamente.
El informe completo está disponible en la Oficina de la Contralora de Puerto Rico.
