EscucharSolo los primeros tres meses del hackeo a la Caja Costarricense de Seguro Social (CCSS) le obligaron a gastar ¢24.320 millones. Para tener una idea de cuánto es ese dinero, es la mitad de lo que costó el nuevo hospital William Allen, en Turrialba, que tiene cinco pisos. 42.000 metros cuadrados y 233 camas.
Un informe financiero logró detallar el impacto del ciberataque entre el 31 de mayo y el 31 de agosto del 2022.
Concluyó que esos ¢24.320 millones fue lo que costó reprogramar cirugías, citas y exámenes, reforzar la plataforma informática, pagar tiempo extraordinario y contratar personal sustituto, entre otras medidas que se tomaron durante el tiempo en que los servicios financieros y de salud tuvieron que regresar al papel.
Ese monto, que en dólares es igual a $44,4 millones, equivale a casi tres centros conjuntos de radioterapia, como el inaugurado a finales del 2022 contiguo al Hospital San Juan de Dios. Con ese dinero también se habría podido renovar los ocho aceleradores lineales existentes en todo el país, y adquirir cuatro más, incluyendo la construcción de búnkeres de protección.
El informe se preparó a solicitud de la extinta Gerencia General. Los tres meses se ampliaron en casos específicos; entre ellos, para establecer las estimaciones sobre seguridad cibernética de la Dirección de Tecnologías de Información y Comunicaciones (DTIC), y las cifras relacionadas con la reprogramación de procedimientos, a cargo de la Gerencia Médica.
| Concepto | Monto en millones | Porcentaje |
|---|---|---|
| Estimación de ingresos dejados de percibir | 283 | 1% |
| Gastos ejecutados al 31 de agosto, 2022 | 5.394 | 22% |
| Estimación de refuerzos en TIC para seguridad | 8.331 | 34% |
| Estimación costo de atenciones dejadas de dar en salud | 10.312 | 42% |
| Costo Total | 24.320 | 100% |
| Fuente: CCSS |
La Nación solicitó esta información a la CCSS en octubre del 2022. Sin embargo, fue hasta mayo de este año que la institución facilitó un dato parcial el cual calculó en ¢1.206 millones solo el costo del hackeo en pago de horas extras, viáticos y compra de papel para registrar manualmente la atención de pacientes. La información la dio la Gerencia Administrativa.
La CCSS aún no facilita a este medio el costo total estimado pese a que se solicitó varias veces desde mayo. Sin embargo, La Nación tuvo acceso al informe y a varios oficios, del 12 de junio, firmados por el entonces gerente financiero interino, Luis Diego Calderón Villalobos, con las estimaciones del impacto del ataque cibernético elaboradas por equipos técnicos de todas las gerencias.
La CCSS fue víctima de un ciberataque el 31 de mayo del 2022. Por prevención, informaron entonces las autoridades, se desconectaron todos los sistemas que soportan los servicios financieros, administrativos y de salud, incluido el Sistema Centralizado de Recaudación (Sicere) y el Expediente Digital Único en Salud (EDUS).
Durante varias semanas, los servicios regresaron al papel, con todo lo que esto implicó para pacientes y personal de la CCSS.
LEA MÁS: App de EDUS: ¿Por qué CCSS tardó casi un año en habilitar módulo para revisar lista de espera?
La situación fue declarada emergencia institucional por el Centro de Atención de Emergencias y Desastres (CAED). Hasta hace relativamente poco, las plataformas informáticas quedaron disponibles en su totalidad para pacientes, trabajadores independientes y asalariados, y patronos.
Actualmente, cinco funcionarios vinculados con la Dirección de Tecnologías de Información y Comunicaciones de la CCSS afrontan procesos de investigación para determinar sus eventuales responsabilidades por el hackeo.
La gerenta administrativa, Vilma Campos, confirmó en mayo que hay tres investigaciones abiertas por esta causa en el Centro para la Instrucción de Procedimientos Administrativos (CIPA).
Atención médica, el mayor impacto
La Gerencia Médica, responsable de administrar los servicios de atención directa en salud, fue la que reportó el mayor impacto económico tras el ciberataque, con un costo estimado en ¢15.528 millones, o el 64% del total, según el informe.
El monto solo por citas y procedimientos que se dejaron de dar y se tuvieron que reprogramar, con datos al 30 de setiembre del 2022, supera los ¢10.312 millones (42% del total estimado).
Suspender y reprogramar citas con el especialista, cirugías y exámenes contempla, entre otras variables, pago de personal, uso de equipos e insumos médicos, instalaciones (quirófanos, salones de hospitalización o salas de procedimientos) y tiempo extraordinario.
Solo la reprogramación de cirugías costó más de ¢668 millones, y la de procedimientos ambulatorios más de ¢3.130 millones. El documento no especifica la cantidad de consultas, cirugías o exámenes cancelados y reprogramados.
“El costo de las atenciones dejadas de brindar es el más alto para la CCSS, siendo el elemento de mayor sensibilidad para la población por el impacto en la oportunidad y calidad de atención, al limitarse las herramientas tecnológicas y el expediente digital en salud para el abordaje integral de los pacientes”, explica el informe.
LEA MÁS: Hackeo a CCSS costó en papelería y horas extra lo que cuesta un TAC nuevo para un hospital
La Gerencia Médica reportó, además, el uso de 1.089 plazas de personal sustituto, en las que se invirtió más de ¢3.506 millones por concepto de cargas sociales, y ¢1.274 millones por tiempo extraordinario, entre el 31 de mayo y el 31 de agosto de 2022.
El reforzamiento de personal se explicó, en parte, por el aumento en la cantidad de trámites en papel, como recetas, citas o referencias que se tenían que realizar manualmente para garantizar la continuidad de la atención en salud a los asegurados.
LEA MÁS: CCSS habría sido ‘hackeada’ por un brazo de Conti llamado Hive
Deudas y trámites financieros
Los servicios financieros de la CCSS, en lo que corresponde a la recaudación de cuotas obrero-patronales, también se vieron afectados por la caída preventiva del Sicere después del hackeo.
Se estima que se dejaron de recaudar ¢283 millones. Solo por no cobrar intereses a patronos y trabajadores morosos se dejaron de percibir ¢250 millones, detalla el informe.
En acuerdos de pago, al 1.° de julio del 2022, se dejaron de percibir por intereses ¢33 millones tanto por patronos como por trabajadores independientes.
El comportamiento de la morosidad patronal fue a la baja de enero a marzo del 2022; en agosto se ubicó en un 1% lo cual indica que la CCSS logró recuperar el 99% de la facturación.
Por el contrario, la morosidad del trabajador independiente subió hasta alcanzar un 42% en agosto del 2022. No obstante, el 58% de la facturación logró ser recuperada.
El informe de la Gerencia Financiera en el tema de los ingresos destaca la recuperación de deudas de más de un día de atraso en junio, cuando bajó un 31% comparado con el promedio de recuperación de enero a mayo 2022. La recuperación de julio y agosto aumentó en un 41% y 25%, respectivamente, en relación con el promedio.
Blindar la seguridad informática
La Dirección de Tecnologías de la Información y Comunicación (DTIC) destinó casi ¢7.000 millones a blindar las plataformas informáticas de la CCSS para reducir el riesgo de nuevos ataques.
Uno de los principales componentes fue la adquisición de soluciones para la gestión de accesos, verificación de identidades y mitigación de vulnerabilidades, en los que se estima una inversión que supera los ¢3.304 millones.
La compra de licencias de Office 365 para completar el aseguramiento de los ambientes de usuarios finales y el servicio de fábrica de plataformas DELL/EMC representaron, cada uno, una erogación estimada de ¢1.270 millones.
La CCSS tiene alrededor de 50.000 equipos y más de 50.000 usuarios registrados. Desde que sucedió el ciberataque, se busca reforzar la seguridad de los sistemas y también endurecer el régimen de responsabilidades administrativas para blindar a la institución de un nuevo incidente.
Entre las conclusiones a las que llega el informe destacan los rubros de mayor gasto debido al hackeo; entre ellos, el pago de personal sustituto, tiempo extraordinario, compra de equipo de cómputo y extras médicas por más de ¢5.394 millones al 31 de agosto de 2022.
Está estimado invertir más de ¢8.331 millones para reforzar las Tecnologías de Información y Comunicación (TIC) y mejorar la seguridad.
Colaboró el periodista Diego Bosque.
