La Contraloría General de la República hizo un informe en el cual advierte a la Caja Costarricense de Seguro Social sobre el nivel de la seguridad de la información que hay en el Expediente Digital Único en Salud (EDUS).

La Contraloría General habla en el documento de las deficiencias encontradas y le dice a la CCSS que deben ser corregidas.

Entre lo hallado por la Contraloría está esto:

• 1.002 funcionarios (pensionados o fallecidos) aún tienen un acceso creado y activo a EDUS.
• 1.345 funcionarios que no atienden pacientes cuentan con acceso a la información de estos.
• 6.619 personas tienen accesos creados y no aparecen registrados en planilla (de setiembre y octubre del 2021).
• No se han definido medidas para hacer frente a riesgos de seguridad, lo cual resulta relevante para proteger al sistema contra ataques cibernéticos, incidentes en sistemas, bases de datos o aquello que puede reducir la continuidad del servicio y comprometer la integridad, disponibilidad y confidencialidad de EDUS.
• Esta base de datos (el EDUS), que posee la información sensible sobre salud y pensiones de los costarricenses, no se ha terminado de inscribir ante la Agencia de Protección de Datos de los Habitantes (Prodhab) aunque comenzaron a hacerlo en el 2017.

LEA MÁS: Gobierno descarta nuevos ataques de piratas informáticos a instituciones

La CCSS respondió que respeta las observaciones hechas por la Contraloría, reconoce que se debe hacer una limpieza de las cuentas activas de funcionarios jubilados y fallecidos y que ya comenzó a hacerlo.

Afirma la Caja que en el caso de quienes dejaron de ser funcionarios, estos ya no pueden entrar al EDUS .

LEA MÁS: La maña de piratear programas para la compu o abrir links desconocidos expone a ciberataques

“Todas las acciones que realizan los usuarios dentro del EDUS quedan registradas en una bitácora electrónica, por lo cual existe una trazabilidad de cada uno de los ingresos y transacciones a los expedientes de los usuarios”, añadieron.

O sea, se puede saber quiénes entran al EDUS y a qué.

Más control

En el EDUS se encuentra toda la información de citas y atenciones médicas recibidas por los asegurados, así como su esquema de vacunación y los datos de su pensión. Se trata de información muy delicada.

Conversamos con el especialista en ciberseguridad José Adalid Medrano, quien asegura que lo que está pasando en la Caja es increíble.

“Realmentre es un relajo haber detectado que hasta guardas, choferes y personal que no debería tener acceso a cierta información, porque no ha firmado ningún acuerdo de confidencialidad, lo tenga; eso quiere decir que los mecanismos para garantizar la confidencialidad están fallando”, explicó Medrano.

“Eso le permite a una persona tener acceso a información sensible, como hospitalizaciones y enfermedades que padece un paciente, aunque desconozco la profundidad de los hallazgos de la Contraloría”, agregó el especialista.

LEA MÁS: Experto en ciberseguridad: "Datos de clientes pueden estar en riesgo"

Esta situación de una seguridad débil es alertada por la Contraloría en momentos en que varias instituciones del Gobierno, incluida la CCSS, han sido atacadas por “hackers”.

Medrano añade que debería subir la frecuencia con la cual la Contraloría audita lo que se está haciendo con algo tan importante como el EDUS y ve fundamental que la Prodhab actúe porque inscribir dicha base de datos garantiza al menos un mínimo la seguridad de la información.