Denuncian penalmente a dos funcionarios de la CCSS por aparentemente “eliminar” 37 páginas de informe sobre riesgos de ciberseguridad en institución

Dos funcionarios de la Caja Costarricense de Seguro Social (CCSS) de apellidos Berrocal Zúñiga y Vidas Umaña, respectivamente, fueron denunciados ante la Fiscalía por presuntamente haber eliminado 37 páginas de un informe de auditoría externa que contenía una serie de "riesgos" en ciberseguridad a nivel institucional.

Así lo informó este miércoles la presidenta ejecutiva de la CCSS, Mónica Taylor, quien afirmó que tal situación puso en estado de "vulnerabilidad" a la institución, a la luz de los ataques informáticos perpetrados en 2022 por la organización cibercriminal Hive Ransomware y de las cuales se siguen teniendo afectaciones.

Según explicó Taylor, se contrató a la firma Deloitte para la realización del informe, a fin de ser analizado en conjunto con el Ministerio de Ciencia y Tecnología (Micitt) como ente rector en la materia. 

"Hemos estado en seguimiento de todos esos aspectos y los informes periódicos que tenía que dar la empresa Deloitte, y nos damos cuenta que (los funcionarios) alteran este informe. ¿Y qué fue lo que alteraron? La parte más importante; (...) ellos lo que hicieron fue omitir el apartado donde estaban los riesgos que la CCSS tiene que administrar y ocuparse hoy para evitar precisamente un ciberataque", indicó la jerarca.

De acuerdo con Taylor, en reuniones sostenidas con el Micitt los funcionarios aseguraron que "todo estaba bien", no obstante, al remitirse el informe a dicho Ministerio y revisarlo "esas 37 páginas se echaron de menos con aspectos fundamentales para que la Caja pueda trabajar en evitar esos riegos que dice el informe".

La alta funcionaria fue enfática en que al conocerse la alteración de este documento "privado" los sospechosos habrían incurrido en posibles delitos de incumplimiento de deberes, lo que motivó a presentar la denuncia correspondiente.

Paula Bogantes, ministra del Micitt, indicó que se trabaja en un "plan remedial" que incluye un análisis por parte de la cartera "para entender bien qué tan vulnerables están las redes de la institución y con base en ello empezar a trabajar en las herramientas que debe de instalar (la CCSS) y las acciones correctivas".

Ante estas declaraciones, el presidente de la República, Rodrigo Chaves, le replicó a Bogantes que "lo que usted está diciendo es que están haciendo un diagnóstico (...) el diagnóstico está hecho", refiriéndose al documento elaborado por Deloitte.

Seguidamente Bogantes indicó que "tenemos que corroborar (...) que el diagnóstico incluye todas las áreas de interés y líneas de protección del Micitt".

El ataque cibernético contra la CCSS fue perpetrado en mayo del 2022, provocando una parálisis institucional que obligó a la institución a cancelar procedimientos, citas médicas, entregas de medicamentos y otra serie de tareas que pusieron en riesgo la salud de miles de asegurados al mantenerse de baja el Expediente Digital Único en Salud (Edus), entre otras afectaciones.