Hackeo a CCSS costó en papelería y horas extra lo que cuesta un TAC nuevo para un hospital
Falta determinar costo por cancelación de cirugías, citas y procedimientos; cinco funcionarios de institución son investigados por ciberataque.
El pago de horas extras, viáticos y la compra de papel para registrar manualmente la atención de pacientes como consecuencia del hackeo a los sistemas informáticos, significó una inversión de ¢1.206 millones para la Caja Costarricense de Seguro Social (CCSS), entre mayo y diciembre del 2022.
Dicho monto equivale, por ejemplo, al que tendría que invertir la institución en la compra e instalación de un moderno equipo de tomografía de alta gama, o TAC, para algunos de los hospitales que tanto lo necesitan. El costo de ese aparato ronda los $2,2 millones.
La cifra solo contempla los gastos operativos en que incurrió el área administrativa de la CCSS para enfrentar el mayor ataque cibernético sufrido por sus plataformas informáticas, entre el 31 de mayo y el 31 de diciembre de 2022, a manos de un grupo delictivo llamado Hive.
CCSS habría sido ‘hackeada’ por un brazo de Conti llamado Hive
El monto no incluye lo que le costó la cancelación de citas, cirugías o procedimientos diagnósticos para dedicarse a resolver la emergencia institucional. Estos datos fueron solicitados por La Nación, pero no se tenían disponibles al cierre de este artículo.
Vilma Campos Gómez, gerenta administrativa de la CCSS, confirmó que los rubros más importantes de esos ¢1.206 millones ($2,2 millones, al tipo de cambio del 11 de mayo) son los siguientes:
- ¢598 millones (49,5% del total): se destinaron al pago de tiempo extraordinario para reforzar todos los servicios de la CCSS en el país.
- ¢311 millones (25,7% del total): se usaron para la compra de papelería, pues todos los Ebáis y hospitales tuvieron que retomar el uso de expedientes de papel dado que, como medida preventiva, se decidió sacar de operación el Expediente Digital Único en Salud (EDUS).
Otros montos menores se destinaron, por ejemplo, al pago de viáticos y a compra de equipos.
En su área de acción, Vilma Campos considera que esos ¢1.206 millones representan un costo bajo en comparación con el impacto de paralizar la gestión de los hospitales y clínicas.
El ciberataque, explicó la gerenta, los obligó a buscar “planes B” en los hospitales para no detenerse, pues se intentó atender todo lo que entraba a los servicios.
“Desde el Hospital México −Campos fue directora administrativa de ese centro cuando ocurrió el hackeo– vimos cuántas cirugías se paralizaron. Las horas-sala y las horas-hombre, la paralización y el día-cama tienen un costo. Todo tiene un costo”, explicó la gerenta.
Medidas y procesos
Eithel Corea Baltodano es subgerente de Tecnologías de Información y Comunicaciones de la CCSS desde enero anterior. Ella aclaró que previo al ataque cibernético se venía trabajando en el tema, pero que luego se reforzaron acciones para fortalecer la seguridad informática de la institución. En el último año esas acciones, según aseguró, van en dos líneas:
- Fortalecer la ciberseguridad: con hardware (equipos), software (programas) y aparatos especializados para detectar eventos, entre otros.
- Mejorar la cultura de seguridad de la información: con inducción a contenidos sobre ciberseguridad a todos los funcionarios.
‘Hackeo’ fuerza a CCSS a declarar emergencia institucional
Solamente para el 2023, la CCSS tiene presupuestados ¢6.000 millones para fortalecer su infraestructura tecnológica.
“Estamos trabajando con el Micitt (Ministerio de Ciencia, Tecnología y Telecomunicaciones) y su programa de ciberseguridad. También hemos recibido apoyo de la Embajada de Estados Unidos para identificar los elementos de riesgo para tener un plan de atención.
“Es un programa que debe permanecer en el tiempo en la institución, que se debe ir moviendo en función de las nuevas tendencias y prácticas para garantizar la integridad de los datos y sus activos de información”, manifestó Corea.
‘Hackeo’ a CCSS: Separados del cargo dos funcionarios de Tecnologías de la Información
Bajo investigación
Actualmente, cinco funcionarios vinculados con la Dirección de Tecnologías de Información y Comunicaciones de la CCSS afrontan procesos de investigación para determinar sus eventuales responsabilidades por el hackeo.
Vilma Campos confirmó que hay tres investigaciones abiertas en el Centro para la Instrucción de Procedimientos Administrativos (CIPA).
Sin dar detalles, manifestó que en el primer expediente hay dos investigados, pero que no se ha podido hacer la audiencia pues uno tiene incapacidad por psiquiatría.
El segundo expediente corresponde a una persona que tiene programada audiencia el 6 de junio. La tercera investigación involucra a dos funcionarios, pero ambos han interpuesto recursos en alzada al traslado de cargos. Este tercer caso lo atiende directamente la Presidencia Ejecutiva de la CCSS, confirmó Campos.
La gerenta dijo que estas cinco personas fueron trasladadas a otras unidades de la CCSS, así que siguen trabajando para la institución.
“Primero, se tiene que terminar la investigación administrativa para ver si hubo daño patrimonial o delito. Estamos a la espera con respecto a estos profesionales, pero también pusimos una denuncia por cibercrimen, que lamentablemente no fue acogida”, aseveró Campos.
La gerenta administrativa de la CCSS señaló que los procesos se prolongan porque los abogados de estas personas presentan apelaciones al proceso. Se espera que, al menos, algunas de estas investigaciones esté concluida en julio, por pedido de la Junta Directiva.
Por su parte, Eithel Corea explicó que una denuncia por el hackeo se interpuso en la Unidad de Fraude Cibernético, del Organismo de Investigación Judicial (OIJ). No obstante, la gestión fue desestimada por falta de elementos relacionados con los autores del ciberataque.
“El gobierno de Estados Unidos, por medio del Comando Sur, especialistas en temas cibernéticos, entró en convenio con la Presidencia de la República. Han tenido reuniones con las instituciones que sufrimos parte de este evento para identificar con mayor claridad esas autorías.
“Nosotros hemos tenido dos o tres sesiones presenciales, con talleres y sesiones de trabajo en nuestras oficinas. Están realizando un ejercicio forense para identificar algunos elementos que permitan esclarecer lo que no logró el OIJ. No es una tarea fácil”, advirtió Corea.