Informe sobre vulnerabilidades en la Caja fue alterado antes de ser enviado al MICITT.
La Caja Costarricense de Seguro Social (CCSS) denunció penalmente a dos funcionarios de su Dirección de Tecnologías y Comunicaciones por presuntamente ocultar información crítica sobre riesgos de ciberseguridad en la institución, tras eliminar 37 páginas de un informe técnico elaborado por la firma Deloitte.
La presidenta ejecutiva de la Caja, Mónica Taylor Hernández, presentó la denuncia el pasado 10 de abril ante la Fiscalía Adjunta de Probidad, Transparencia y Anticorrupción (FAPTA). Según explicó en conferencia de prensa este miércoles, los funcionarios de apellidos Berrocal Zúñiga y Vindas Umaña alteraron el documento que debía ser remitido al Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (MICITT), ocultando así las principales recomendaciones para mitigar vulnerabilidades críticas en los sistemas de información institucionales.
El informe original, entregado por Deloitte en febrero de este año, constaba de 88 páginas y señalaba debilidades específicas de ciberseguridad en servicios críticos de la CCSS. No obstante, según acusó el Ejecutivo este miércoles en su conferencia de prensa, el 19 de marzo el funcionario Vindas Umaña convirtió el documento a formato PowerPoint y eliminó las secciones que contenían las recomendaciones técnicas. Dos días después, su colega Berrocal Zúñiga remitió la versión modificada al director nacional de ciberseguridad del MICITT.
Fue este último quien identificó las inconsistencias y consultó directamente a Deloitte, que confirmó que el documento había sido adulterado. La verificación posterior de los metadatos del archivo validó la eliminación de 37 páginas con contenido relevante para el fortalecimiento de la seguridad institucional.
La presidenta de la CCSS calificó los hechos como “graves” y aseguró que los funcionarios involucrados “no quieren servir y tampoco se preocupan por el bienestar de los asegurados”. Taylor enfatizó que las acciones comprometían directamente la protección de los datos de millones de personas y podrían haber expuesto nuevamente a la Caja a un ciberataque como el que sufrió en mayo de 2022, cuyas secuelas todavía afectan la operación institucional.
“Ellos lo que hicieron fue omitir el apartado donde estaban los riesgos que la Caja tiene que administrar y ocuparse hoy, para evitar precisamente un ciberataque”, denunció Taylor.
La jerarca indicó además que la alteración del documento constituye una afectación a un informe privado elaborado por una empresa externa, y representa un incumplimiento de deberes funcionales.
El presidente de la República, Rodrigo Chaves Robles, respaldó la acción penal interpuesta por la CCSS, pero manifestó su escepticismo sobre una pronta actuación del Ministerio Público.
Yo no tengo esperanza de que la Fiscalía vaya a actuar rápido. Ellos pareciera se mueven solo cuando hay acusaciones contra el gobierno. Lo digo con tristeza, pero es la verdad".
Chaves también cuestionó los motivos de los funcionarios involucrados y lamentó que “el pueblo de Costa Rica no debería perdonar” una acción de esta magnitud.
¿Qué podrían tener en la cabeza o en el corazón para hacer una cosa así?
La presidenta de la CCSS afirmó que ya se remitió el caso a la Auditoría Interna y que se trabaja en un plan conjunto con el MICITT para atender las recomendaciones del informe original y cerrar las brechas detectadas.
La ministra del MICITT, Paula Bogantes Zamora, confirmó que su equipo colabora con la Caja en la elaboración de un plan remedial para implementar las medidas de seguridad pendientes.
El diagnóstico ya está hecho. Nosotros debemos corroborar que incluye todas las áreas que consideramos de interés estratégico y, a partir de ahí, definir las acciones correctivas".
Taylor aseguró que la institución procederá de inmediato con la ejecución de las medidas contenidas en el informe original y reiteró su compromiso con la “cero tolerancia” frente a actos de encubrimiento o negligencia institucional.
