EscucharCasi un año después del hackeo a los sistemas informáticos de la Caja Costarricense de Seguro Social (CCSS), la institución calla los costos de la crisis que produjo la paralización de servicios de salud, financieros y administrativos a partir del 31 de mayo del 2022, cuando se informó al país del ciberataque.
El 24 de octubre anterior, La Nación solicitó una entrevista con un vocero de la CCSS sobre este tema. Sin embargo, y pese a cuatro recordatorios (el más reciente efectuado el 27 de marzo), a la fecha no se ha podido ni conversar ni tener datos actualizados sobre el impacto de la emergencia más grande sufrida por esa institución después de la pandemia por la covid-19.
Hace cinco meses, se solicitó a la CCSS un estimado en dólares del impacto institucional por:
- Cancelación de citas.
- Impresión de formularios.
- Pérdida de cuotas obrero-patronales.
- Reprogramación de citas, exámenes y cirugías programadas.
- Pago de horas extra a funcionarios por la atención de la emergencia.
- Contratación de personal para fortalecer las labores relacionadas con el hackeo.
- Compra de insumos adicionales para garantizar la continuidad de la atención.
Se sospecha que el software hostil que inyectaron los delincuentes en los sistemas de la CCSS entró por alguna terminal o computadora.
El 31 de mayo, el virus se activó y alteró los sistemas, informó el entonces presidente ejecutivo de la CCSS, Álvaro Ramos Chaves, pocas horas después del ciberataque.
Ramos dio a conocer las sospechas de que el ciberataque se había iniciado desde febrero del 2022 y que los delincuentes informáticos habían tenido entre tres y cuatro meses para ejecutarlo.
Como parte de la cadena de decisiones ante la gravedad de la emergencia, que se sumó a la ocurrida en los sistemas del Ministerio de Hacienda, atacados el 18 de abril, el presidente de la República, Rodrigo Chaves Robles, ordenó investigar y sancionar a los responsables de la Dirección de Tecnologías de la Caja si se demostraba, según dijo, que actuaron de manera negligente o irresponsable.
LEA MÁS: ‘Hackeo’ a CCSS: Separados del cargo dos funcionarios de Tecnologías de la Información
Dos semanas después, la CCSS separó temporalmente a dos funcionarios de esa Dirección: al subgerente, Roberto Blanco Topping, y a la jefa del Área de Seguridad y Calidad, Mayra Ulate. La investigación quedó en manos del Organismo de Investigación Judicial (OIJ) y de la Auditoría Interna de la CCSS.
La Junta Directiva también acordó declarar emergencia institucional por este ciberataque hasta que se normalizaran los procesos administrativos y la prestación de servicios de salud y financieros.
Regreso al papel
La situación obligó a los centros de salud de todo el país a trabajar nuevamente con expedientes en papel y a desempolvar las máquinas de escribir, retrasando significativamente servicios como citas programadas, pago de incapacidades y registro de cuotas obrero-patronales.
El hackeo, además, obligó a la Caja a realizar un cambio masivo de contraseñas y a fortalecer la doble autenticación de cada funcionario que ingrese a los sistemas informáticos, como medidas para evitar nuevos ataques, explicó Idannia Mata Serrano, gerente interina de la Dirección de Tecnologías de Información y Comunicaciones, a inicios de agosto del 2022.
La CCSS tiene alrededor de 50.000 equipos y más de 50.000 usuarios registrados.
La emergencia cibernética alteró el funcionamiento del Expediente Digital Único en Salud (EDUS) con el que se registra toda la información clínica de los pacientes que acuden a Ebáis y hospitales de todo el país.
LEA MÁS: Tras hackeo a CCSS, hospitales empiezan, poco a poco, a encender computadoras
También impactó el funcionamiento normal del Sistema Centralizado de Recaudación (Sicere), el cual tiene que ver con el registro de cuotas obrero-patronales.
Estos hechos retrasaron el registro y el pago de incapacidades por enfermedad y maternidad, procedimientos que tuvieron que tramitarse en papel durante varias semanas.
Entre los últimos reportes institucionales sobre el estado de servicios de salud y financieros tras el hackeo está uno del 28 de agosto del 2022.
En él, la institución informó de que, prácticamente, todas las gestiones que realizan patronos, asegurados voluntarios y trabajadores independientes en la oficina virtual de la CCSS estaban habilitadas para esa fecha. Entre ellas, presentación de planillas y gestión de convenios de pago.
