Panamá invierte $26 millones en ciberseguridad tras ataques a 9 entidades del Estado
Nueve entidades estatales panameñas sufrieron ataques cibernéticos en los primeros meses de 2026 — ransomware, intrusiones y usurpación de identidad en cuentas oficiales. La respuesta del gobierno fue concreta: $26 millones destinados a ciberseguridad, distribuidos entre la Autoridad Nacional para la Innovación Gubernamental (AIG) y otras entidades del Estado. El caso de Panamá es un espejo de una tendencia que toda Latinoamérica está atravesando.
Lo que ocurrió: ataques concretos contra el Estado
Los incidentes no fueron hipotéticos. Entre los casos más visibles se registraron afectaciones en la Contraloría General de la República y alertas en la Caja de Seguro Social (CSS), uno de los organismos más críticos del país por el volumen de datos ciudadanos que gestiona.
El patrón es el mismo que se repite en toda la región: instituciones con alta digitalización, alta dependencia de sistemas legacy, y equipos de seguridad subdimensionados para el nivel de exposición actual. A eso se suma la visibilidad política que tienen los ataques a organismos del Estado, lo que los convierte en objetivos atractivos tanto para cibercriminales como para actores con motivaciones geopolíticas.
La inversión: $26 millones y una estrategia clara
El presupuesto destinado se distribuye de la siguiente manera:
| Organismo | Inversión | Foco |
|---|---|---|
| Autoridad Nacional para la Innovación Gubernamental (AIG) | $6 millones | Identificación y cierre de vulnerabilidades, refuerzo del CSIRT nacional |
| Otras entidades estatales | $20 millones | Seguridad distribuida en organismos con infraestructura crítica |
Adolfo Fábrega, director de la AIG, fue directo en su diagnóstico: “Ataques hay todos los días, pero el punto es cómo se gestionan.” El énfasis no está en la prevención absoluta — que es imposible — sino en la capacidad de detección, respuesta y contención.
El CSIRT nacional panameño recibió capacitación especializada y apoyo internacional como parte de esta estrategia. Y se incorporaron proyectos de infraestructura digital, incluyendo una plataforma para certificar diplomas académicos — un sistema que, en otros países, ha sido blanco de falsificaciones.
La decisión que marca la diferencia: no pagar rescates
El Estado panameño logró contener los impactos críticos sin pagar rescates. Esta es una postura que no todos los gobiernos logran sostener bajo presión, especialmente cuando los sistemas afectados son críticos para la operación del Estado.
Pagar un rescate no solo representa una pérdida económica inmediata — alimenta el modelo de negocio del ransomware y convierte al organismo que paga en un objetivo conocido para ataques futuros. Los grupos de ransomware comparten esta información entre sí: saben quién paga.
La ecuación que toda organización debe entender
Fábrega lo resumió con claridad: “A mayor digitalización, mayor superficie de ataque y mayor visibilidad para los ciberdelincuentes.” Esta frase describe exactamente el dilema que enfrentan tanto los Estados como las organizaciones privadas en toda la región.
La transformación digital es necesaria e irreversible. Pero cada nuevo sistema conectado, cada proceso migrado a la nube, cada servicio digitalizado es también un nuevo vector de ataque potencial. La ciberseguridad no puede tratarse como un proyecto paralelo a la digitalización — tiene que ser parte del mismo proceso desde el diseño.
Dato regional: Latinoamérica concentra una proporción creciente de ataques de ransomware a escala global. Países con alta digitalización gubernamental y baja inversión en seguridad representan los objetivos de mayor rentabilidad para los grupos criminales.
¿Qué nos deja el caso Panamá?
Tres lecciones concretas que aplican más allá de las fronteras panameñas:
- La inversión reactiva siempre es más cara: los $26 millones que Panamá destina ahora son, en parte, consecuencia de incidentes que ya ocurrieron. Invertir en seguridad antes del ataque es sistemáticamente más eficiente.
- Un CSIRT funcional es la diferencia entre un incidente contenido y una crisis: tener el equipo, los procesos y la capacitación antes de necesitarlos define cómo se responde cuando el ataque ocurre.
- No pagar rescates es una política, no una decisión de momento: debe estar definida, comunicada y respaldada técnicamente (con backups funcionales) antes de que ocurra el incidente.
Lo que pasa cuando la digitalización avanza más rápido que la seguridad
El caso de Panamá no es aislado — es el patrón que vemos en toda la región, incluyendo Argentina. Organismos que digitalizan procesos críticos sin actualizar paralelamente su postura de seguridad terminan con una superficie de ataque amplia y equipos de respuesta sin los recursos para gestionarla.
En el sector privado argentino, la situación es similar: empresas que migraron a la nube, digitalizaron operaciones y adoptaron trabajo remoto durante la pandemia, pero cuya inversión en seguridad no acompañó ese crecimiento. La superficie creció; los controles, no.
La pregunta que toda organización debería hacerse no es “¿nos van a atacar?” sino “¿cuándo nos ataquen, cuánto tiempo tenemos expuestos y qué capacidad tenemos de responder?”. Si no tenés esa respuesta clara, es el momento de trabajarla. En AllSafe podemos ayudarte a evaluarlo — contactanos para una primera conversación.
