EscucharMinutos antes de las 2 a. m. de este martes 31 de mayo, funcionarios de la Caja Costarricense de Seguro Social (CCSS) detectaron las primeras “incongruencias en el flujo de datos” en los servidores de la entidad.
Los primeros reportes llegaron desde el Hospital San Vicente de Paúl, en Heredia, donde se encontraron módulos de información de pacientes incompletos. Poco después, también hubo informes de irregularidades en los sistemas del Hospital de Liberia, a los siguieron avisos de otros centros médicos de la Gran Área Metropolitana.
Así fue como las autoridades de la Caja se percataron de que sus plataformas estaban siendo víctimas de un ataque cibernético, calificado por el mismo presidente ejecutivo como “excepcionalmente violento”.
LEA MÁS: Hospitales trabajan con las computadoras apagadas
El hackeo, que según las autoridades logró “atajarse” antes de que se encapsularan las bases de datos y robara información de asegurados y cotizantes, aún no ha sido atribuido a ningún grupo de piratas cibernéticos, aunque se tiene identificado que el virus introducido fue el llamado Hive (colmena), el cual según el director de Tecnologías de Información (TI) de la Caja, Roberto Blanco “se expande por todos los sistemas”.
:quality(70)/cloudfront-us-east-1.images.arcpublishing.com/gruponacion/XBJ3LVTOHFGOJOCFPYVFA3HYYI.jpg)
Decenas de asegurados se devolvían este martes a sus casas sin ser atendidos por efectos de "hackeo", mientras la Caja asegura que mantienen atención con expedientes físicos. (Rafael Pacheco Granados)
Por esta razón, la primera medida fue cortar la conexión a Internet y bajar todos los sistemas, entre ellos el Expediente Digital Único en Salud (EDUS) y el Sistema Centralizado de Recaudación (Sicere).
LEA MÁS: ‘Nos dijeron que nos llamarían para reprogramar‘, contó asegurada afectada por ‘hackeo’ en CCSS
El presidente ejecutivo de la Caja, Álvaro Ramos, insistió que fue la institución la que apagó los sistemas para evitar la encriptación de estos, lo cual habría ocasionado que no pudieran entrar posteriormente.
Ramos tiene la hipótesis de que lograron evitar ese robo de información, porque hasta esta tarde ningún grupo criminal había pedido rescate por las bases de datos.
La estimación de la entidad es que al menos 30 servidores fueron infectados de unos 1.500 que tiene la Caja.
Según dijo Blanco, debido a que el ataque fue en horas de la madrugada estiman que los equipos afectados fueron los que se encontraban encendidos a esa hora, por lo que la mayoría corresponden a sistemas en hospitales, que evidentemente atienden emergencias 24/7.
LEA MÁS: Caja asegura realizar esfuerzos para continuar servicios
Sin embargo, como parte del plan de atención de esta crisis, deberán revisar uno a uno todos los servidores, de los cuales muchos son virtuales.
“Dependemos de un esfuerzo muy grande que hará la Dirección de TI para ir restableciendo los servidores, uno por uno, con herramientas informáticas que afortunadamente disponemos de ellas para limpiar la infección, si existiese, o para verificar si el servidor no está infectado antes de activarlo de nuevo. Una vez que hayamos podido levantar suficientes servidores se levantarán los sistemas. Vamos a ir en ese proceso de verificación”, agregó Ramos.
De acuerdo con el funcionario, en total unos 300 informáticos realizan la tarea de revisar todos los equipos en todo el país. Además, un grupo de expertos en ciberseguridad se encuentran preparando las soluciones a corto plazo para levantar en el menor tiempo posible (que no fue determinado), los servicios más críticos.
El encargado de Tecnologías de Información, aseguró que la entidad venía desde hace algunas semanas con un proceso de “vacunación” para prevenir este tipo de ataques.
“Hemos venido trabajando desde hace tres semanas con esto pero no, nos agarraron tan fuera de base. Hoy tenemos nuestras bases de datos intactas, es un tema que se aplicó únicamente sobre equipos físicos que esperamos resolver en el menor tiempo posible”, enfatizó.
LEA MÁS: ‘Hackeo’ en CCSS: qué deben saber los asegurados
Por su parte, el presidente ejecutivo insistió en que no se trató de un pequeño hackeo, sino de un “ataque muy fuerte y violento”.
A pesar de esas características, afirmó que de momento no existe evidencia de que se haya vulnerado información de ninguna base de datos, ni sistemas críticos.
Las autoridades aclararon también que no se ha girado la instrucción de cancelar citas o suspender procedimientos, y se mantiene un plan de contingencia que principalmente contempla la atención con expedientes en físico.
:quality(70)/s3.amazonaws.com/arc-authors/gruponacion/ead078ac-5948-45c3-beb0-0dc5999d8ad7.jpg)