Bodegueros, mensajeros, choferes y guardas están entre los funcionarios de la Caja Costarricense de Seguro Social (CCSS) con permiso para ingresar libremente al sistema que administra las cuotas obrero patronales de 1,7 millones de trabajadores.
Esos trabajadores tienen luz verde para entrar al Sistema Centralizado de Recaudación (Sicere), y podrían modificar o eliminar información sobre pago o número de cuotas, deudas o procesos de cierre de negocios.
La alerta la dio la Contraloría General de la República luego de revisar los controles tecnológicos de ese sistema entre el 2015 y 2018, y en algunos casos hasta el 2019.
Esa investigación determinó que 119 personas con puestos que no se relacionan con el Sicere tienen acceso a ese sistema: 61 trabajadores de servicios generales (entre los que hay misceláneos y carpinteros); 16 guardas; 13 bodegueros y nueve auxiliares de nutrición.
También encontró a nueve mensajeros con esas atribuciones; siete choferes y cuatro técnicos en mantenimiento.
Las debilidades en la gestión de los accesos, advierte la Contraloría, “supone un riesgo de operación que podría desencadenar en inconsistencias o alteraciones a la información, y afectar la confidencialidad e integridad de la información en los procesos de recaudación que lleva a cabo la CCSS, a nivel de datos personales de ciudadanos y patronos, información sobre facturación, planillas, alteración de montos adeudados, manipulación de negocios por cerrar por deuda o cobro judicial, entre otros”.
Para el órgano contralor, esta situación se debe a “una falta de rectoría” por parte de la Dirección de Sicere, según señalamientos contenidos en el informe DFOE-SOC-IF-00024-2019, del 20 de diciembre.
LEA MÁS: ‘Hackers’ violan datos de planillas en sistema de CCSS
Estos 119 funcionarios no deberían tener ningún tipo de acceso según el Manual Descriptivo de Puestos de la Caja. Las claves de ingreso al sistema, concluye el informe, “deberían ser canceladas de forma inmediata”.
El estudio encontró que también hay 31 exfuncionarios de la CCSS pensionados que aún tienen autorizaciones activas para ingresar a este sistema.
Son personas con hasta 240 días promedio de haberse jubilado; tres con más de 579 días de retiro.
Base de la recaudación
El Sicere es una de las plataformas informáticas más sensibles del país. La Contraloría lo advierte al indicar que este sistema “administra a los contribuyentes de la CCSS, de manera que por medio de este sistema se capta la mayoría de sus ingresos, por lo que se convierte en factor clave para la recaudación y financiamiento de la entidad”.
Durante el 2018, el Sicere recaudó ¢2.763.668 millones en el Seguro de Salud; ¢1.312.202 millones en el Régimen de Invalidez, Vejez y Muerte y ¢161.423 millones en el Régimen no Contributivo de Pensiones.
Es una herramienta tecnológica para manejar los procesos de facturación, recaudación y distribución de los aportes que hacen los patronos físicos y jurídicos, los trabajadores independientes y asegurados voluntarios.
Por ejemplo, contabiliza las cuotas que tienen los trabajadores para pensionarse; registra si una persona cumple con los requisitos para recibir servicios de salud (si su patrono está al día con los aportes) y distribuye fondos que se asignan a otras instituciones.
El Sicere, además, se integra a otros sistemas de la CCSS como el de las incapacidades, pagos, pensiones, inspección y distribuye los aportes a todas las operadoras de pensiones y a instituciones como el Fondo de Desarrollo Social y Asignaciones Familiares (Fodesaf), el Banco Popular y el Instituto Nacional de Aprendizaje (INA).
En el 2015, el Sicere fue blanco de un supuesto hackeo en el cual habrían intervenido dos funcionarios de una entidad bancaria privada.
Estas dos personas habrían utilizado un robot software para violentar las barreras de seguridad informática para capturar 500.000 registros del Sicere; cada uno de ellos, corresponde a información de un trabajador.
Este caso aún no se ha resuelto.
En el 2018, solo trascendió que las dos personas involucradas salieron del Grupo Financiero BAC-San José, entidad desde la cual, presuntamente, se habría realizado la actividad.
En la Fiscalía, el caso se indaga como un presunto delito de sabotaje informático. Por ese delito, las personas denunciadas se arriesgan a penas de hasta ocho años de cárcel.
La Fiscalía informó de que la causa sigue en la etapa preparatoria de investigación, bajo el expediente 15-000648-0612-PE.
"Se investigan a dos hombres de apellidos Bonilla Gómez y Rodríguez Román, quienes figuran como sospechosos del presunto delito de fraude informático.
“En la etapa actual de la investigación, la Fiscalía trabaja en la recolección y análisis de prueba, fase del proceso penal que es privada para terceras personas, por lo que, en apego al artículo 295 del Código Procesal Penal, no será posible brindar más detalles al respecto”, agregó la Fiscalía.
Cadena de debilidades
El Sicere también tiene otros riesgos que advierte la Contraloría.
Uno de los más importantes se relaciona con la continuidad del servicio, de la cual no hay garantía porque la CCSS no ha definido planes para atender contingencias informáticas, atención de emergencias, recuperación de desastres.
Aunque hay un plan de continuidad de la gestión en tecnologías de la información, aprobado en el 2013, la Contraloría advierte que este no hace referencia a la operación del Sicere. También señala una insuficiente frecuencia de sus actualizaciones para el tipo de información que contiene y su nivel de criticidad para el negocio.
Es un plan incompleto, agrega, que no incluye la recuperación en caso de interrupciones y desastres. Tampoco cuenta con un centro de datos alterno en caso de que se suspendiera el centro de datos primario.
LEA MÁS: Hackeo de datos del Sicere lleva tres años de espera en Fiscalía
¿Qué significa lo anterior?
Que, en casos de un evento mayor, todas las operaciones básicas del Sicere se podrían detener por periodos prolongados afectando a asegurados, trabajadores y patronos.
La Contraloría ilustra lo anterior con un ejemplo básico: si un asegurado se presenta a un hospital de la Caja en busca de atención y se interrumpe el servicio del Sicere, no podrá ser atendido porque este sistema es necesario para revisar la condición de aseguramiento del enfermo mediante el proceso de validación de derechos.
Por medio del Sicere, además, se distribuye dinero a las operadoras de pensiones y este servicio también podría verse comprometido por montos que superan los ¢439.212,8 millones anuales (datos del 2017)”, advierte el informe.
Correcciones
Silvia López Villalobos, asistente técnica del área de Servicios Sociales de la Contraloría, explicó que el informe elaborado lanza advertencias a la Caja sobre los riesgos que supone la carencia de adecuados controles tecnológicos en el Sicere.
"Esos riesgos no se han materializado, pero sí podrían desencadenar inconsistencias o alteraciones en el sistema.
“Por eso, la Administración debe tomar acciones: revisar esos roles y perfiles para corregir los de aquellos exfuncionarios o funcionarios que tienen roles que no les corresponden, y proteger los accesos”, dijo López en relación con el desorden detectado en la activación de credenciales de acceso.
LEA MÁS: ‘Hackers’ le lanzan 1.000 ataques diarios a la Caja
La ausencia de planes de continuidad, reiteró López, puede llegar a detener las operaciones básicas del Sicere.
“Hacemos la prevención. La CCSS debe tener todo por escrito, pero cuando les solicitamos esos documentos no los encontramos. Esto es sumamente importante para minimizar los riesgos”, advirtió la funcionaria.
El director ejecutivo de la Asociación Costarricense de Operadoras de Pensiones (ACOP), Danilo Ugalde, manifestó que el Sicere "debería acatar las recomendaciones hechas en el informe por la Contraloría para corregir las vulnerabilidades detectadas.
LEA MÁS: Seguridad de datos desvela a operadoras de pensiones
“Sobre todo, considerando que las operadoras están contribuyendo, para mantenimiento y actualización de Sicere con un canon del 0,98% mensual sobre los montos recaudados por ROP (Régimen Obligatorio de Pensiones) y FCL (Fondo de Capitalización Laboral)”, agregó Ugalde.
Esta Asociación consulta periódicamente a la Caja sobre los resultados de las investigaciones tras el hackeo al Sicere, en el 2015.
Lo hace una vez al año, como mínimo. “La respuesta de la CCSS ha sido que el tema está bajo secreto de investigación judicial y que, por lo tanto, no pueden brindar información”, dijo Ugalde.
La Nación solicitó a la CCSS un pronunciamiento, pero al cierre de esta información no se había designado a alguna autoridad institucional para que se refiriera a este asunto.