Las autoridades de la Caja Costarricense de Seguro Social (CCSS) dieron un parte a la prensa tras el hackeo registrado este martes indicando que se trató de un ataque "excepcionalmente violento", que las medidas de contingencia de recurrir a los expedientes de papel para atender pacientes podrían extenderse varios días y que no hay certeza de cuándo se podrán levantar los sistemas.
El doctor Álvaro Ramos Chaves, presidente ejecutivo de la Caja, indicó a los medios que en horas de la madrugada algunos hospitales empezaron a reportar problemas en sistemas informáticos, por lo que se procedió de inmediato a apagar todos los sistemas críticos de la institución, particularmente unos que generan bastante afectación a la población, incluido el Expediente Digital Único en Salud (EDUS) y el Sistema Centralizado de Recaudación (Sicere).
Fue la institución la que apagó los sistemas para restringir el acceso. La estrategia clásica de este tipo de hackeo consiste en el encapsulado y encriptación del sistema, de tal manera que la institución no pueda entrar al sistema. Eso es lo que había que evitar. Desconectarlos tenía como fin prevenir el encapsulado. El análisis preliminar indica que logramos evitar el encapsulado; sí existen servidores afectados, creemos que suman la treintena de más de 1500 servidores que tiene la Caja. Hemos ido identificado el servidor primario a partir del cuál inició la infección, pero la situación está bastante controlada.
Ramos afirmó que la Caja dispone de programas informáticos y herramientas para limpiar la infección, si es que existe; y verificar que los servidores no estén afectados antes de conectarlos de nuevo. Afirmó que esperan que el levantamiento de los sistemas ocurra rápido y la afectación sea mínima pero que si se prolonga más en servicios críticos o inmediatos, el proceso de continuidad es recurrir al papel de ser necesario.
El despacho de medicamentos se continuará haciendo con los documentos que ya teníamos; será más lento con papel, pero el compromiso es seguir brindando servicios a la población. Los procesos financieros podrían ser más engorrosos de procesar, pero no tienen lugar en estos días, por lo que no esperamos estar en esta situación 15 días, en ese sentido naturalmente se le comunicará a la población si se tiene que extender este periodo de crisis.
El ingeniero Roberto Blanco Topping, director de Tecnologías de Información de la Caja, afirmó que el incidente fue registrado a eso de las 2 de la mañana cuando los equipos y herramientas de monitoreo registraron incongruencias en los flujos de dato de la Caja, por lo que empezaron un análisis, determinaron que se trataba de un ransomware e inmediatamente apagaron los servicios.
Los sistemas críticos que tenemos como SICERE o el EDUS, planillas, pensiones, no tienen afectación según los análisis a esta hora; tenemos todo el equipo técnico de 300 informáticos trabajando en esto, revisando cada uno de los equipos a lo largo y ancho del país y a partir de ahí hay un equipo preparando las soluciones inmediatas a corto plazo de lo que tenemos que levantar. Esperamos que en el menor tiempo podamos levantar esos equipos y dar continuidad a la revisión que estamos haciendo.
Blanco adelantó que se utilizó el ransomware Hive, pero que están detectando de qué grupo es y quién lo envió. El presidente de la Caja dijo que no saben de qué grupo es porque no se ha pedido rescate todavía.
El director de Tecnologías de Información de la Caja calificó el ataque como único, masivo y devastador.
Desde las 2 a.m. hemos recibido un solo ataque, fue un ataque masivo, devastador, pero las herramientas informáticas que tenemos y el equipo técnico evitó que pasara a más. [El] primer ataque fue hace unas semanas, este ataque, más fuerte y peligroso, lo contuvimos para que no afectara las bases de datos.
Blanco indicó que hasta que la situación no sea resuelta, no habrá acceso al EDUS conectado ni al no conectado. Es por ello que los centros médicos han tenido que recurrir al expediente de papel para atender a los asegurados.
Asimismo, el funcionario indicó que los primeros reportes de afectación en la madrugada provinieron del Hospital San Vicente de Paul en Heredia; luego del Hospital de Liberia y luego se propagó a los hospitales de la Gran Área Metropolitana, por lo que procedieron a cortar las conexiones, de modo que no hay Internet de la Caja.
El ingeniero indicó que la Caja hace respaldos diarios de la información, y no solo tiene respaldos, sino la información original de las bases de datos. Insistió en que esas bases no tienen riesgo detectado, ya que todos los sistemas están apagados.
Además, Blanco indicó que la situación ventajosa que tiene la Caja respecto al Ministerio de Hacienda, que tras mes y medio del hackeo de Conti aún no logra levantar sus servicios, es que los sistemas informáticos fueron detenidos apenas se detectó el ataque, por lo que dan garantía a la población de que serán levantados nuevamente, pero sin precisar cuándo.
El presidente de la Caja afirmó que ya tienen "la vacuna" contra el programa que se usó para atacar la institución, pero que este ataque fue "excepcionalmente violento" y hay "mucho trabajo por delante".
Pedimos paciencia porque tenemos mucho trabajo por delante. La gente razonablemente se ha acostumbrado a la agilidad con la que podemos hacer las cosas cuando tenemos recursos digitales, pero tendremos que recurrir por unos días al papel. Este fue un intento muy violento de vulnerar bases de datos, los sistemas de la Caja, tenemos que pedir paciencia en ese sentido.
Ramos insistió en que no fueron los hackers los que cerraron las bases de datos ni apagaron los sistemas.
Fuimos nosotros mismos, eso que quede muy claro, para que los hackers no pudieran acceder a ella. Naturalmente no tenemos certeza absoluta de que no haya exfiltración de una parte parcial de estos datos, pero estamos bastante confiados en que no fue así. Nuestros datos preliminares es que no pudieron sacar esa información, con una investigación profunda terminaremos de saberlo con certeza.
No hay orden ni instrucción de cancelar citas
El presidente de la Caja afirmó que no se ha girado ninguna orden ni instrucción general de cancelar citas este martes a raíz del hackeo, aunque decenas de asegurados han reportado en redes sociales haber sido devueltos de los centros médicos sin recibir atención debido a la emergencia en curso.
Ramos afirmó que tiene que haber una valoración de los médicos de hasta dónde pueden dar atención a los pacientes, dadas las limitantes que se tienen en este momento de no acceder al expediente, pero que eso no significa que no se deban atender, sino que se deben tomar medidas de cautela de cómo realizar esa atención, dadas las limitantes de información existentes.
El jerarca afirmó que si alguna unidad está cancelando citas, ya están trabajando para atender esa situación, por lo que nuevamente pidió paciencia a la población.
Pedimos paciencia a la población, nadie tiene acceso a esa información y eso va a complicar que la atención sea la que tradicionalmente esperan, pero es para protegerlos hasta que estemos completamente seguros de que esa información se puede acceder sin que los hackers también puedan accederla.
Roberto Cervantes, gerente general CCSS pidió a la población que al acudir a los centros médicos traigan las etiquetas de los medicamentos que consumen o indique claramente el nombre para que su atención sea más ágil.
Por su parte, el doctor Randal Álvarez, gerente médico de la institución, dijo que se giraron instrucciones a todas las unidades asistenciales del país acciones para habilitar los planes de continuidad del servicio para que no haya atenciones que se interrumpan.
Seguimos sumando alternativas de solución, revisando incidentes que se puedan estar presentando a nivel país, pero el esfuerzo que se está haciendo con todos los colaboradores de la institución está orientado hacia la continuidad del servicio. Estamos vigilantes de que se dé una atención segura a los pacientes, si se requiere de información adicional se han girado instrucciones para que se emitan los registros en el menor tiempo posible y se resuelva la situación del paciente.
Álvarez adelantó que la Caja enviará a la prensa, para su respectiva divulgación a la población, una lista de teléfonos de cada área de salud a la que puedan hacer consultas sobre la situación local.
Al momento de la conferencia de prensa la Caja carecía de un corte de asegurados afectados por el hackeo, ya que el mismo se realizaría hasta el mediodía. Sin embargo, Álvarez adelantó que las citas en el primer nivel de atención (EBAIS) deberán solicitarse de manera física hasta nuevo aviso.
Sobre las pruebas de laboratorio y pruebas COVID-19, afirmó que se siguen realizando dando prioridad a las de los servicios de emergencia y a los pacientes con sintomatología de enfermedad por coronavirus.
