ERP. “Digitadores” usan números de DNI como contraseña para registrar y editar información de vacunados. La Contraloría General de la República alertó al Ministerio de Salud (Minsa) sobre riesgos que podrían afectar la seguridad, integridad y confiabilidad del registro de la información relacionada a las personas vacunadas contra la COVID-19 en el sistema de información HISMINSA, en el marco de la campaña de vacunación desplegada a nivel nacional.
Se pudo verificar que el sistema HISMINSA a cargo del MINSA, cuenta con diferentes módulos y uno de ellos es el “Módulo de Inmunizaciones”, que permite consultar la información nominal de vacunados a nivel nacional durante la ejecución de las campañas de vacunación, como es el caso de la campaña nacional contra la COVID-19. De esta manera, el sistema permite contar con la información de inmunizados en tiempo real, brindando apoyo necesario para la toma de decisiones.
Como resultado de la intervención preventiva de un equipo de control, se ha emitido el Informe de Orientación de Oficio N° 29319-2021-CG/SADEN-SOO, cuyo período de evaluación va del 14 al 16 de diciembre del presente año, el cual revela que usuarios del HISMINSA tienen perfiles de “Administrador” y “Digitador” que han registrado para las contraseñas y códigos de usuarios a sus números de DNI, lo que evidencia que no se ha cumplido con las disposiciones normativas referidas a la seguridad para el uso de contraseñas.
El documento denominado “Registro Nominal de Vacunación Electrónica” de la Organización Panamericana de la Salud (OPS) y la Oficina Regional para las Américas de la Organización Mundial de la Salud (OMS) señala que los sistemas de información del sector salud son clave para producir la información que guiará las decisiones estratégicas, gerenciales y operativas de los programas de inmunizaciones dentro de cada país.
Al digitar un número de DNI como código de usuario y como contraseña, los auditores de la Contraloría pudieron acceder al sistema HISMINSA, y con ello, a las opciones de registro y edición de personas vacunadas, pacientes, entre otros. Esta situación contraviene la Norma Técnica Peruana "NTP ISO/IEC 17799:2007 EDI. Tecnología de la Información. Código de buenas prácticas para la gestión de la seguridad de la información. 2a. Edición", donde se indica que “los usuarios deben seleccionar contraseñas de buena calidad y que no estén basadas en algo que cualquiera pueda adivinar u obtener usando información relacionada al usuario”.
En base a las pruebas realizadas por la comisión de control, se pudo verificar que un usuario con perfil de “Digitador” dispone de acciones funciones, dentro del sistema HISMINSA, como registrar vacunas, consultas y descargas de información sobre registro de vacunas, listado de vacunados, ver vacunaciones, ver historiales, búsqueda de vacuna y búsqueda de vacunados.
Mientras que en la revisión del “Manual de Usuario: Módulo de Inmunización en Campañas de Salud” se pudo conocer que los usuarios con perfil de “Digitador” tienen acceso a la opción de inmunizaciones y pueden realizar la búsqueda de un paciente a través de filtros como DNI, apellidos y nombres, descripción o por rango de edad.
En cuanto al registro de personas, en dicho manual de usuario se indica que el “Digitador” tiene acceso a las opciones de registro y edición de pacientes, y de personas vacunadas.
Ante estos hechos, el informe de control recomienda hacer de conocimiento del Ministro de Salud todo lo detectado, con la finalidad que se adopten medidas inmediatas para salvaguardar el registro de la información en el sistema informático HISMINSA, con la finalidad de asegurar el logro de objetivos del proceso de personas vacunadas contra la COVID-19.
También se recomienda al titular del Minsa que debe comunicar al Órgano de Control Institucional (OCI) de la entidad, su plan de acción, con las medidas que vayan a ser implementadas.
El informe elaborado por la Subgerencia de Atención de Denuncias de la Contraloría está publicado en el Buscador de Informes de Servicios de Control del portal institucional www.gob.pe/contraloria en aras de la transparencia y acceso a la información.