‘Hackers’ infiltraron la CCSS desde febrero

Todos los indicios apuntan a que los hackers empezaron a gestar su ciberataque a los sistemas de la Caja Costarricense de Seguro Social (CCSS) desde febrero, pues, desde ese mes, en la llamada Internet oscura (”dark web”), comenzaron a ofrecer accesos a los sistemas informáticos de la entidad, reveló el presidente ejecutivo, Álvaro Ramos Chaves, al admitir que el daño es mayor al que calcularon el martes.

Se sospecha que el “software” hostil que inyectaron los extorsionadores entró por alguna terminal o computadora y logró infectar a otras 9.000 (22%) de las 40.000 unidades que tiene la institución. También logró penetrar no a 30, como se dijo inicialmente, sino a 800 servidores (53%) de los 1.500 que tiene la CCSS y, ya una vez adentro, asestó el zarpazo final este 31 de mayo cuando se activó y alteró los sistemas.

LEA MÁS: ‘Hackers’ estuvieron semanas, inclusive meses’ en los sistemas , admite jerarca de CCSS

Ramos reveló en una entrevista con La Nación que ahora descubrió que en la llamada dark web había ofrecimientos desde febrero de vender información de accesos a la CCSS. No detalló el tipo de datos. De esto, se percataron durante los análisis hechos en las últimas horas tras el hackeo.

“Los técnicos, no necesariamente de la Caja, me han estado informando de que, por ejemplo, hay evidencia en lo que llaman las redes oscuras de que había actores conocidos en ese tipo de redes ofreciendo accesos a la Caja, y que posiblemente hubo múltiples intentos de acceso (...) Ahora que se hace la revisión forense en la dark web encuentran que había gente ofreciendo (información)”, explicó.

Admitió que, desafortunadamente, la dimensión del daño es mayor a la que se dijo en un inicio. No se atrevió a dar un plazo para restablecer todos los sistemas, aunque espera que el Expediente Digital Único en Salud (EDUS), en su versión de respaldo para situaciones de emergencia –conocido como EDUS desconectado– pueda estar disponible en no menos de una semana.

“Había una expectativa de que, al haber sido la reacción muy rápida, el daño estuviera contenido a los 30 servidores iniciales. Pero ya este miércoles, después de muchas horas de trabajo y mucha gente trabajando, revisando, uno por uno los servidores, determinaron que era mucho más extenso el daño”, dijo.

Reconoció, además, que “pecaron de optimistas” al creer que haber apagado los sistemas fue suficiente protección. Y no. Conforme pasaron las horas, el problema se reveló de una magnitud mayor.

“Me parece que hubo una combinación, tal vez, de un exceso de optimismo, de que se habían bajado los sistemas principales, de que nosotros fuimos quienes los apagamos, no fue que el hacker los apagó y los encriptó. Haberlos apagados tan rápido era la reacción correcta (...) solo después, cuando, con cuidado, se empezaron a prender (sic) las cosas, se empieza a ver el grado de daño real”, admitió.

Los principales efectos de esta “infección” los están sufriendo asegurados en los servicios de atención directa, con retrasos en citas, procedimientos y cirugías. También personal de salud que se esfuerza por reconstruir un historial médico en expedientes de papel, y miles de patronos y trabajadores que necesitan realizar trámites administrativos en el área financiera, como gestión de incapacidades, pago de deudas y presentación de planillas.

En un diagnóstico preliminar hecho por la CCSS en 80 establecimientos entre hospitales, áreas de salud y Ebáis, se detectó que a 4.871 asegurados se les pospuso la atención en los primeros dos días de la emergencia debido al hackeo.

“El ataque había comenzado posiblemente desde febrero de este año. Esto significa que se planificó durante mucho tiempo para ejecutarse antenoche (madrugada del 31 de mayo). Esa es parte de la complejidad de reparar esta situación, que tiene tres o cuatro meses de estarse gestando.

“Es difícil para mí decirles que tenemos certeza de que, una vez que limpiemos los servidores y los levantemos con los respaldos que tenemos, no vamos a encontrar nada. Ahí está el corazón de la dificultad que tenemos ahora. Les dije que voy a ser transparente en cuánto a qué es el daño y qué es lo que sabemos para que la población sepa y sea realista de que esto no va a ser tan sencillo de reparar”, afirmó tras el Consejo de Gobierno de este miércoles 1.° de junio.

LEA MÁS: CCSS sobre ‘hackeo’: ‘No se extrajo información sensible’ ni se afectó EDUS o Sicere

Minutos antes, el mandatario Rodrigo Chaves Robles, dio a conocer que giró la orden de investigar a la Dirección de Tecnologías de la CCSS para sancionar a los responsables si se demuestra, dijo, que actuaron de manera negligente o irresponsable tras el ataque cibernético que tiene a todos los hospitales atendiendo a pacientes con expedientes de papel.

“En guerra avisada no debió haber muerto soldado. Costa Rica sabía que había un ataque terrorista. Sin embargo, en la CCSS, teniendo disponibilidad de licencias, solo 13 computadoras tenían instalado ese programa (microCLAUDIA, donado por España). Es inaceptable. No voy a juzgar de antemano, pero sí hay una orden clarísima de parte de Álvaro Ramos y mía de investigar esto hasta el puro fondo y tomar las sanciones que correspondan con todo el peso de la ley”, advirtió el presidente.

Posteriormente, Ramos confirmó a La Nación que, “en su momento, habrá procedimientos administrativos y consecuencias” y que pedirá explicaciones sobre la implementación de ese software, o programa. Por ahora, dijo, ya se puso una denuncia judicial por el ciberataque.

Agregó que en la CCSS hay unas 400 personas destinadas a labores de Tecnologías de la Información (TI) y que la institución invierte muchos millones de dólares en esa área, aunque no especificó cuántos. Sin embargo, dijo, parece que no están haciendo las cosas tan bien a la luz de los últimos acontecimientos.

“Mi lectura sería que, ante la evidencia (hackeo), no, no se prepararon lo suficiente. Pero lo que hay que estudiar es si con la información que había se prepararon suficiente. Por ejemplo, haciendo una revisión detallada del plan estratégico de tecnologías de información de la Caja, ver si en el componente de ciberseguridad se implementó todo lo que correspondía; hacer una revisión detallada (para ver) si en los informes de Auditoría Interna hubo temas de ciberseguridad y se implementó todo lo que correspondía”, agregó.

¿Robaron datos?

Lo que Álvaro Ramos había negado el martes tuvo que ser rectificado 24 horas después. Al día de hoy, él no puede garantizar que no hubo robo de datos.

“La información preliminar ha mostrado evidencia de que los hackers estuvieron muchas semanas, incluso meses dentro de los sistemas, ya no podemos garantizar que no hubo robo de datos. Esperamos que no haya ocurrido, pero este es un proceso de diagnóstico que podemos hacer cuando se levanten los servidores y se revisen las bitácoras de acceso”, dijo.

LEA MÁS: Portal de Recursos Humanos de CCSS sufre ataque cibernético

Ramos reveló a La Nación que la única base de datos que fue encriptada o secuestrada es el módulo del EDUS conocido como CIFA donde se guarda la información sobre tratamientos farmacéuticos. “Probablemente, se robaron datos”, dijo.

Uno de los principales daños identificados, explicó, está en el módulo de acceso donde las personas ingresan su usuario y contraseña. Según dijo, es difícil de reparar porque es muy delicado ya que controla todos los accesos. Naturalmente, dijo, fue el primero atacado por los hackers.

De lo único que la Caja tiene mayor certeza es que la limpieza de computadoras y servidores tomará su tiempo.

“Cada máquina hay que limpiarla y restaurarla desde un respaldo. Esto toma tiempo y cierto grado de expertise técnico. Por eso, ya no vemos probable levantarlo en una semana. Lo que me indican es que los respaldos están sanos y es posible levantarlo. Eso nos da mucha tranquilidad”, dijo Ramos.

LEA MÁS: ‘Hackeo’ en CCSS impidió operación de la vista que adulta mayor espera desde hace tres años

En consecuencia, asegurados que asistan a los centros de salud a sacar citas, a consultas programadas o a emergencias, deben tomar en cuenta que prácticamente todo se está haciendo de forma manual.

Se les atenderá, pero con limitaciones, porque no hay acceso a toda la información médica contenida en el EDUS, que es donde se llevan los registros de diagnósticos, exámenes de laboratorio, medicamentos, cirugías y vacunas, entre otros.

La CCSS ha tomado también algunas medidas en la parte financiera, como ampliar el plazo al 10 de junio para que los patronos (más de 100.000) presenten sus planillas de mayo, y suspender la facturación a los trabajadores independientes hasta nuevo aviso. La facturación se llevará a cabo una vez se restablezcan los sistemas informáticos, informó la CCSS.

El gerente financiero, Gustavo Picado, dijo que se coordinó con la Gerencia Médica para que a cualquier asegurado, independientemente de la modalidad de aseguramiento, se le dé el servicio que necesita.