EscucharEl martes 17 de mayo, 14 días antes de que la Caja Costarricense de Seguro Social (CCSS) informara sobre un ataque de ‘hackers’ en sus sistemas informáticos y equipos, Karla Cascante Benavides, vecina de Santa Ana, de 42 años, encontró información en su Expediente Digital Único en Salud (EDUS) que no tenía sentido.
La aplicación, instalada en su teléfono celular, indicaba que padeció ántrax (carbunco, una enfermedad infecciosa grave) en julio de 2020, que perdió sus dientes en un accidente en diciembre de 2021 y que nació sin uno de sus brazos. Ninguna de esas cosas era cierta.
Extrañada por lo que veía, Cascante comunicó la anomalía a su pareja, tomaron capturas de pantalla para mostrarlas como prueba y llamaron a la institución. Consultaron, trataron de obtener una explicación y advirtieron que, para ellos, la aparición repentina de esos padecimientos inexplicables podrían ser un ‘hackeo’ de EDUS, pero nadie los escuchó.
Luego de una larga conversación, la única respuesta que consiguieron fue que debían enviar un correo con los pantallazos y que si querían corregir la información debían ir al Ebáis de su comunidad.
“Yo empecé a notar que había cosas que no me habían examinado, fechas que no coincidían y cosas que, hasta donde yo sabía, no padecía. Había vocabulario que no sabía ni qué significaba. En mi caso, me han hecho biopsias, ultrasonidos, placas, llevo tratamientos y me afecta esto porque uno no sabe qué cosas van a estar incorporadas y qué cosas no cuando regrese el sistema. Si en algún momento me tienen que hospitalizar o llego inconsciente a un hospital, qué va a pasar. ¿Cómo van a revisar mi información?”, declaró la mujer, quien recibe tratamiento por varias enfermedades, entre ellas hepatitis autoinmune.
:quality(70)/cloudfront-us-east-1.images.arcpublishing.com/gruponacion/ZTTD2FP4YJBIRNRS6DDI45NLKA.jpg)
Captura de pantalla realizada por Karla Cascante, paciente que halló, en su EDUS, de la noche a la mañana, enfermedades y condiciones que nunca ha tenido.
LEA MÁS: ‘Hackers’ estuvieron semanas, inclusive meses, en los sistemas, admite jerarca de CCSS
Sandra Quesada, otra asegurada, narró a La Nación que su papá, Fernando Quesada, de 84 años, paciente de oncología y geriatría, asistió el lunes 30 de mayo, un día antes del ‘hackeo’, a una cita en la Clínica Marcial Rodríguez Conejo, en Alajuela, pero se topó con que su EDUS estaba en blanco.
“Resulta que tenía la cita el lunes a las siete de la mañana. Mi hermano fue con él y cuando llegaron el expediente digital no contenía nada, no tenía nada y a la doctora le extrañó muchísimo (...) La doctora reprogramó la cita, le dijo a mi hermano que lo volvieran a llevar el 30 de junio y le mandó varios análisis y exámenes. Mi hermano fue este martes para ver qué pasaba con el expediente y le dijeron que no podían atenderlo porque había pasado un ‘hackeo’”, comentó Quesada.
LEA MÁS: Así se pueden proteger las empresas de los delincuentes que ‘hackearon’ la CCSS
La mujer agregó que están preocupados por la situación, pues los agobia que la salud de su padre se vea afectada por los ataques cibernéticos en la CCSS.
Álvaro Ramos, presidente ejecutivo de la CCSS dijo, en una entrevista con este diario, que desconocía este tipo de casos.
- ¿Han podido detectar casos en los que terceros hayan ingresado a EDUS y cambiado información de pacientes?
- No. A su pregunta, muy concreta, hasta donde yo tengo información, no tengo toda la información, lo que me indican es que la estrategia de un ‘hacker’ es que se meten, sacan la información y después la encriptan. Entonces, si una base de datos está encriptada es bastante seguro suponer que se robaron esa información.
- Nosotros encontramos dos casos, lectores que nos han escrito. El primero se trata de una paciente de Santa Ana que , desde el 17 de mayo, encontró que su EDUS reportaba que había padecido de ántrax, pérdida de dientes y que había nacido sin un brazo y otro paciente de 84 años que, según relatan, asistió a una cita en Alajuela y su expediente estaba en blanco. ¿La institución está tratando de verificar si hay más ejemplos de este tipo?
- Estos son los primeros casos que escucho de esta índole, pero ciertamente a estas alturas... Vamos a ver, si tengo 9.000 equipos comprometidos y 500 servidores, 600, 700 dañados, en este momento no me atrevería a afirmarle con contundencia que no hubo filtración o manipulación de los datos. Evidentemente, este proceso (’hackeo’) ya tenía bastante tiempo de estar ocurriendo, porque uno no infecta tantos equipos en una sola noche. Reitero, pudo haber una vulneración de datos y si la hubo habrá que hacer la investigación después para ver si hubo negligencia en el deber de cuido en el acceso a las bases de datos en todo sentido.
LEA MÁS: ‘Hackers’ tienen aliados locales que atacaron la CCSS para ganar credibilidad, dice experto
- ¿En qué momento nos daríamos cuenta si se manipuló o perdió información de los pacientes en EDUS?
- Normalmente, como lo entiendo yo, tenemos el respaldo (...) No podríamos descartar (que se extrajo información de pacientes).
:quality(70)/s3.amazonaws.com/arc-authors/gruponacion/44df8d18-14cd-4a55-80ba-2f594176ab58.jpg)