Autoridades de la Caja Costarricense de Seguro Social (CCSS) reconocieron este martes, en conferencia de prensa, que desconocen cuánto tardarán en levantar las plataformas informáticas luego del intento de hackeo de esta mañana. Inicialmente, se estima que hay al menos 30 servidores afectados de 1.500 que tiene la institución, informó Álvaro Ramos, presidente ejecutivo de la entidad.
LEA MÁS: Nuevo ‘hackeo’ en CCSS afecta atención en hospitales y Ebáis por desactivación del EDUS
“En horas de la madrugada encontramos indicios en algunos hospitales de que los sistemas informáticos presentaban afectación importante. La institución reaccionó de inmediato y procedió a apagar sistemas críticos. Entre ellos, el EDUS (Expediente Digital Único en Salud). Quiero ser claro de que la institución fue la que apagó los sistemas. Esto por cuanto la estrategia clásica de este tipo de hackeo consiste en el encapsulado y encriptación del sistema. Esto era lo que había que evitar. Desconectar estos sistemas de la Internet fue para prevenir este encapsulado.
“Nuestros análisis preliminares indican que lo logramos evitar. Sí existen servidores que se encuentran afectados. Creemos que rondan la treintena de más de 1.500 servidores que tiene la Caja. Alrededor de 30 parecen estar infectados. Hemos ido identificando cuáles son los servidores primarios a partir de los cuales inició la infección. Por ese lado, la situación está bastante controlada”, aseguró Ramos quien reconoció que no hay certeza de cuánto tardará levantarlo.
“¿Cuánto es el plazo razonable? La CCSS es una entidad muy grande, el volumen de acciones que hay que acometer es muy grande entonces les pido paciencia. Sí, tenemos mucho trabajo por delante pero tenemos medidas de contingencia. Muchos de los servicios que proveemos no requieren de este respaldo digital inmediato. La gente se había acostumbrado a la agilidad con la que podemos hacer las cosas cuando contamos con accesos digitales.
“Ahora tenemos que retroceder por unos días al papel, esperamos que no mucho, pero le pedimos paciencia a la población en el sentido de que este fue un intento muy violento de vulnerar los sistemas de la caja y del país, en un proceso que lleva varios días. El diagnóstico de la afectación final solo lo podremos hacer a posteriori. Tenemos una idea bastante buena de cuántos pacientes se atienden por día pero no podemos saber cuántos no se atendieron hasta que hagamos un barrido”, dijo Ramos, quien garantiza la continuidad de los servicios a los asegurados.
El jerarca destacó que aunque se trata de un “esfuerzo muy grande”, la institucion dispone de las herramientas informáticas para “limpiar la infección” si existiera y estar seguros de que no está infectado antes de activarlos.
“Va a haber que limpiarlos, vacunarlos. Afortunadamente tenemos la vacuna. Por lo tanto, es un proceso tedioso pero posible. Hay que ir paso a paso pero lo podemos hacer. Si determinamos que hay una afectación más allá de lo que preliminarmente hemos identificado procederemos a identificarla”, dijo.
El director de Tecnologías de Información y Comunicaciones, Roberto Blanco Topping, identificó el ransomware como Hive, pero sin señalar el grupo o la fuente del ciberataque. Según dijo, los primeros reportes se recibieron a las 2 a. m. desde el Hospital San Vicente de Paúl, en Heredia. Luego siguió el Hospital Enrique Baltodano, de Liberia, y el virus informático, dijo, se diseminó a los hospitales de la Gran Área Metropolitana (GAM).
“Se cortaron inmediatamente las conexiones. No hay conexión de Internet de la CCSS por protección. Estamos con el proceso de análisis para levantar lo más pronto posible”, informó sin dar plazos. Afirmó que no hay bases de datos encriptadas, lo que garantiza que los datos están seguros y se van a levantar.
Según las autoridades de la Caja, hay 300 informáticos revisando equipos en todo el país y un equipo de terceros especialistas expertos en ciberseguridad, responsables de preparar soluciones a corto plazo para levantar, en el menor tiempo posible, los servicios más críticos y dar continuidad a los asegurados.
Ramos aseguró además que no han recibido ningún cobro de rescate por información, como ocurrió en abril cuando el llamado grupo Conti vulneró sistemas del Ministerio de Hacienda.
“Esto nos da cierto grado de tranquilidad de que es bastante posible que los hackers no hayan logrado encapsular el sistema o las bases de datos, porque si no ahí empiezan a decir los millones de dólares que necesitan para recuperar el acceso al sistema”, dijo.
Sobre los procesos financieros y administrativos, como la gestión de planillas de trabajadores y pagos de asegurados morosos, el jerarca reconoció que existen trámites de índole financiera que pueden resultar más engorroso procesarlos. “(...) pero afortunadamente la parte financiera de la CCSS no tiene sus movimientos principales en estos días, sino más cerca de mediados de mes.
“No esperamos estar en esta situación 15 días. Se le estaría comunicando a la población si se tiene que extender esta situación de crisis por la razón que sea. Pero en principio creemos que la podemos controlar en menos tiempo que el que requeriríamos para estar en una situación más crítica como institución”, afirmó.
Efecto en servicios
El gerente médico de la Caja, Randall Álvarez Juárez, explicó que revisan la afectación para tomar las medidas de recuperación de servicios en hospitales, clínicas y Ebáis, pues la intención es que la interrupción no sea significativa. Insistió en que la desactivación de sistemas es por precaución.
“Debemos estar completamente seguros de que esa información se puede acceder sin que los hackers puedan tener acceso a ella”, respaldó Ramos.
El presidente ejecutivo, además, aclaró que si se están suspendiendo o reprogramando las citas no es por instrucciones de las autoridades, aunque saben que hay unidades que lo están haciendo. Pidió a los asegurados no faltar a sus citas, aunque directores médicos afirman que la atención con expediente físico provocará algunos retrasos.
Según Álvarez Juárez el llamado ‘EDUS desconectado o EDUS en ambiente de continuidad’ no entró en funcionamiento como ‘plan B’ al apagarse todos los sistemas por protección: “En cada unidad existe un plan que se instruyó desde que se conoció el riesgo en el que se estaba. Esto ha garantizado la continuidad”.
En servicios como Laboratorio y Radioterapia, añadió el gerente, se trabaja para generar un circuito que no esté conectado directamente con los servidores de la Caja, en tanto el personal de Tecnologías de la Información no determine lo contrario.
La recomendación que hace a los asegurados es acudir a sus citas al primer nivel, en donde serán atendidos con expedientes físicos. Prometió dar una lista con números de teléfonos en el transcurso de la tarde de este martes para que consulten directamente en los centros sobre citas, procedimientos y cirugías que tengan programadas.
LEA MÁS: ‘Hackeo’ en CCSS obliga a muchos enfermos a devolverse sin atención para sus casas
Los pacientes con citas o procedimientos programados han sido atendidos con expediente físico (de papel) y se han registrado atrasos en las atenciones por la misma situación.
Hospitales consultados por La Nación, confirmaron que las cirugías programadas se han realizado, pero en otros, como el México, suspendieron los tratamientos de Radioterapia que funcionan ciento por ciento de manera digital y como medida para proteger la información médica de los pacientes.
La institución informó, además, de que depositó las pensiones del Régimen de Invalidez, Vejez y Muerte (IVM) y del No Contributivo (RNC), correspondientes a este mes.
Las acciones masivas de ciberdelincuentes golpean al país desde el 18 de abril. La entidad más afectada a partir de entonces ha sido el Ministerio de Hacienda, que aún no ha podido restablecer todas sus plataformas.
La Caja también estuvo en la lista de instituciones atacadas en abril, así como el Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt). En total, han sido 27.
El mandatario Rodrigo Chaves declaró el tema de emergencia nacional y advirtió que Presidencia asumiría el control del tema. Este martes, La Nación consultó al Micitt sobre el nuevo ataque pero mediante la oficina de prensa dijeron que, por el momento, no emitirían una declaración porque estaban en el proceso de investigación.