Auditoría encontró inconsistencias de hasta ₡3 mil millones en inventario de medicamentos en 3 hospitales y un área de salud

Un informe de la Auditoría Interna de la Caja Costarricense de Seguro Social (CCSS), del 10 de diciembre de 2024, reveló inconsistencias en el inventario de medicamentos y suministros de diferentes hospitales debido al hackeo que sufrió la institución en 2022.

El ciberataque tuvo un "impacto significativo", ya que generó diferencias de ₡3.209 millones en los inventarios de los hospitales San Juan de Dios, Calderón Guardia, México y el Área de Salud Mora-Palmichal. De ese monto, ₡1.000 millones corresponden a faltantes y ₡2.209 millones a sobrantes.

Según el órgano auditor, el Hospital San Juan de Dios enfrenta una situación compleja con su inventario, porque presenta "discrepancias significativas" por aproximadamente ₡335 millones. "Este desbalance pone de manifiesto la necesidad de una revisión exhaustiva de los procesos de manejo y control de inventarios en el hospital", aseguró Olger Sánchez, auditor interno de la CCSS.

La comparación con los montos de 2023 demuestra el impacto del ciberataque, ya que estos fueron menores. Las discrepancias en 2023 ascendieron a ₡151 millones, con faltantes provenientes principalmente del Hospital Dr. Rafael Ángel Calderón Guardia y el Hospital México.

Al comparar los períodos 2022 y 2023, se observó que en 2022 el total afectado fue de ₡3.209.172.647,86, mientras que en 2023 se redujo a ₡151.686.105,42, lo cual representa una disminución significativa en el impacto contable del 95,27 %. En términos absolutos, la diferencia entre los totales de ambos años asciende a ₡3.057.486.542,44, concluyó la Auditoría.

La Subárea de Control de Activos y Suministros de Servicios Institucionales está llevando a cabo un proceso de revisión para determinar las razones detrás de las discrepancias en los hospitales San Juan de Dios y México, que presentan inconsistencias por ₡335 millones y ₡7 millones, respectivamente.

En el 80 % de los casos revisados por la Auditoría, no se proporciona información clara y precisa sobre los documentos que evidencian las diferencias en el inventario. "La ausencia de una documentación adecuada y precisa podría afectar negativamente la transparencia y la exactitud de la información reportada, lo cual es fundamental para la integridad de los procesos de control interno y la toma de decisiones informadas", aseguró Sánchez.

El hackeo

Los sistemas y las plataformas de la CCSS fueron vulnerados el pasado 31 de mayo de 2022. Con el ciberataque, uno de los sectores más afectados fue el de prestación de servicios médicos por parte de las diferentes unidades clínicas de la institución, que tuvieron que regresar a la operación manual con expedientes físicos.

Precisamente, esa desconexión de los sistemas informáticos debido a la vulneración de los servidores y que obligó a la CCSS a retomar el trabajo manual, provocó que muchos asegurados que asistieron a sus citas fueran devueltos sin recibir la atención que requerían.

La institución argumentó que estas cancelaciones y reprogramaciones se debieron a la falta de información clínica, producto de la ausencia del Expediente Digital Único en Salud (EDUS). Dos meses después del ataque, ya se habían reprogramado 25.994 atenciones solo en el área de consulta externa.

El primer día del hackeo, las autoridades tomaron la decisión de desconectar y apagar los sistemas informáticos. Para continuar con el proceso de vacunación contra la COVID-19, informaron que el personal de salud documentaría la información mediante evidencia física u otros mecanismos para poder vacunar a la población.

Además, la institución informó que la fuente del ataque fue The Hive y no Conti. También, desde el primer día se comunicó que los sistemas financieros no estaban en riesgo.