Un informe de la Auditoría Interna de la Caja Costarricense de Seguro Social (CCSS) reveló que al menos 7.282 equipos informáticos están desactualizados, lo que representa una amenaza para el funcionamiento del Expediente Digital Único en Salud (EDUS) y evidencia una fragilidad en los sistemas de ciberseguridad de la institución.
Alfredo Chirino, catedrático de la Facultad de Derecho de la Universidad de Costa Rica, advierte que una eventual vulneración obligaría a desactivar todos sus sistemas informáticos de manera preventiva, afectando la atención en hospitales y clínicas porque EDUS quedaría fuera de servicio.
Así también consta en el documento AS-ATIC-0018-2025, donde se pide a las gerencias tomar las medidas inmediatas para gestionar oportunamente estos riesgos y garantizar que todos los equipos informáticos, sistemas operativos y aplicaciones cumplan con los niveles de seguridad óptimos.
“Estos equipos representan un punto crítico de vulnerabilidad, ya que si no se implementan actualizaciones periódicas, configuraciones adecuadas y parches de seguridad, se aumenta significativamente el riesgo de exposición a ciberataques, fallos en el sistema, pérdida de datos o interrupciones operativas”, señala el texto.
La falta de actualizaciones de estos dispositivos permitiría la proliferación de software malicioso, intrusiones no autorizadas e incluso el incumplimiento de normativas de seguridad, lo que derivaría en consecuencias legales y reputacionales para la CCSS.
“Un nuevo incidente no solo afectaría la prestación de servicios médicos, sino que podría exponer información médica y personal de millones de costarricenses, con consecuencias graves en términos de privacidad y seguridad de los datos”, manifestó Rayner Robles, experto en ciberseguridad.
“Similar a 2022”
Pese a que la Caja sufrió un hackeo masivo hace tres años, el cual puso en jaque la salud pública, parece que continúa con problemas similares que potenciarían un escenario similar.
“Esta noticia es de alta criticidad para el país. No solo para las personas que utilizamos los servicios de la Caja, sino para la información y los datos sensibles de los costarricenses, especialmente considerando el antecedente del ciberataque sufrido en 2022 a manos del ransomware Hive, por causas similares”, amplió.
La filtración de información médica puede tener graves consecuencias, desde estafas hasta extorsión porque los delincuentes pueden utilizar datos robados como nombres, cédulas y diagnósticos para suplantar identidades y obtener créditos, medicamentos o atención médica ilegalmente.
En algunos casos emplean ransomware para exigir dinero a cambio de no divulgar diagnósticos sensibles, lo que puede llevar a extorsión o chantaje personal. La falta de protección adecuada de estos datos representa un riesgo tanto financiero como emocional para los afectados.
“Con una infraestructura de 7.200 computadoras desactualizadas el riesgo se incrementa considerablemente. Los sistemas obsoletos son un blanco fácil para los ciberdelincuentes, ya que suelen carecer de parches de seguridad”, acotó.
¿Cuáles computadoras están en riesgo?
De acuerdo con el informe, los hospitales nacionales (Calderón Guardia, México y San Juan), así como los especializados (de Niños, Carit y Geriátrico) son los que más computadores desactualizados tienen con 1.373, seguidos de la Región Central Norte con 1.104 y la Central Sur con 1.036.
También se incluyen 25 de la presidencia ejecutiva, 43 de la Gerencia Financiera y 66 de Pensiones.
Esta situación no es nueva para los departamentos de la CCSS, ya que desde antes del hackeo de 2022 existían diversos oficios de alerta que evidenciaban una problemática similar a la actual.
“La Auditoría Interna de la Caja ha sido proactiva al emitir múltiples advertencias sobre la necesidad de fortalecer la ciberseguridad. Antes del ataque de 2022 se enviaron oficios e informes con recomendaciones para mejorar la seguridad en Tecnologías de la Información y la Comunicación (TIC)”, expresó Chirino.
Diario Extra le pidió a la CCSS una reacción ante los hallazgos de la Auditoría, no obstante, al cierre de edición no recibimos respuesta.
Alfredo Chirino
Abogado experto en ciberseguridad
“La desactualización de equipos es una puerta abierta para ataques que pueden paralizar servicios críticos y comprometer la confidencialidad de la información médica y personal de los ciudadanos”.
Rayner Robles
Consultor en seguridad informática
“Si no se toman medidas urgentes, como la modernización de infraestructura y la implementación de protocolos de seguridad más robustos, la Caja podría enfrentar otro ataque de gran magnitud”.
