Vencimiento de licencias de software desde junio en la CCSS expone institución a “amenazas cibernéticas significativas”, alerta auditoría interna

Más de 35 mil equipos de cómputo que conforman la plataforma tecnológica de la Caja Costarricense de Seguro Social (CCSS) fueron analizados por la auditoría interna de la institución, la cual reveló que, al menos, 866 poseen sistemas operativos Windows con licencias vencidas y sin soporte del fabricante, venciendo la misma el pasado 11 de junio.

Asimismo, la caducidad de la licencia de otros 15.280 equipos está fijada para el próximo 8 de octubre, de acuerdo con un análisis del inventario realizado por esta oficina.

Ante ello, se consideró que la falta de actualizaciones "podría exponer a la Caja a vulnerabilidades y amenazas cibernéticas significativas, comprometiendo la confidencialidad de los datos críticos".

Al mismo tiempo, se evitarían incompatibilidades con otras aplicaciones y sistemas operativos a fin de evitar interrupciones y pérdida de eficiencia en los procesos, según el oficio de advertencia AD-ATIC-0081-2024 emitido el pasado 23 de julio.

En ese orden, la Auditoría Interna instruyó a los despachos involucrados emitir un informe en un plazo de tres meses con las acciones realizadas ante tal prevención.

AmeliaRueda.com consultó con el departamento de prensa de la CCSS los avances respecto a lo indicado por dicha fiscalización, indicándose que se tramitaría la pregunta.

"En lo que respecta al informe de la Auditoría Interna referente a la finalización del ciclo de vida para el soporte técnico de productos Microsoft, la Dirección de Tecnologías de Información y Comunicación indicó que se encuentra en ejecución un plan de actualización de la infraestructura Microsoft Windows con la que cuenta la CCSS para cumplir con lo solicitado por el ente Fiscalizador", señalaron.

En 2022 los sistemas informáticos de la CCSS fueron severamente dañados por la introducción de un ataque cibernético bajo la modalidad del ransomware o secuestro de información, ejecutado por la organización criminal Hive.

Tal situación provocó una parálisis en varios de los servicios esenciales de la entidad, como el acceso a expedientes digitales, asignación de citas y cirugías, pérdida de registros sobre recetas médicas, así como otros de carácter financiero.