Los recientes ataques informáticos contra la Caja de Seguro Social y otras entidades del Estado no son solo tristes incidentes tecnológicos. Son el síntoma más visible de una enfermedad sistémica que Panamá ha preferido ignorar durante demasiado tiempo: una arquitectura institucional insuficiente para la gestión de riesgos de ciberseguridad y la protección de datos personales.
Cuando una entidad que administra información médica, laboral y financiera de una parte sustancial de la población activa del país sufre una intrusión de esta naturaleza, las preguntas más pertinentes ya ni siquiera son las evidentes. Aunque las respuestas sean importantes, las interrogantes necesarias no son precisamente: ¿qué vulnerabilidad fue explotada? o ¿cuántos registros fueron comprometidos?, sino ¿bajo qué marco normativo operaban estos sistemas antes del ataque?, ¿con qué estándares de seguridad funcionaban? y ¿cuál era su nivel de rendición de cuentas y sobre qué bases se sustentaba?
Me temo que ninguna de esas preguntas encuentra respuestas satisfactorias en términos de exigibilidad, verificabilidad y actualización.
Desde 2021 está vigente en Panamá la Ley 81 de 2019 sobre Protección de Datos Personales. Aunque muchos la celebraron como un avance normativo que marcaría el inicio de una era de madurez digital, la ley no puede operar en el vacío. La protección efectiva de datos personales requiere que las organizaciones implementen controles técnicos y organizativos robustos, auditables y alineados con estándares internacionales reconocidos. Y justamente allí aparecen las grietas.
Las normas ISO 27001, sobre gestión de seguridad de la información, e ISO 27701, sobre gestión de privacidad de la información, son marcos maduros ampliamente reconocidos como referentes mínimos de buenas prácticas y llevan varios años vigentes a nivel internacional. Sin embargo, hasta la fecha, la Comisión Panameña de Normas Industriales y Técnicas (Copanit) aún no las adopta oficialmente, lo que dificulta exigir esos estándares a las entidades públicas. ¿Existe actualmente algún marco obligatorio que sirva de base para las auditorías de sistemas, asumiendo que efectivamente se realizan?
Quizás, en el concierto de la ciberseguridad estatal, sus intérpretes han preferido tocar de oído, sin consecuencias frente al incumplimiento de controles básicos de seguridad. En ese contexto, los ataques no son una sorpresa. Son un resultado previsible y, en cierta medida, anunciado.
Lo que ha quedado en evidencia tras estos ataques es que la seguridad y privacidad de los datos personales de los panameños descansa, en buena parte, sobre una frágil institucionalidad. No sobre sistemas auditados ni políticas verificables de gestión de riesgos. En el mejor de los casos, dependen de la buena voluntad de técnicos con recursos insuficientes y responsabilidades poco claras. En el peor —y quizás más frecuente—, descansan en la simple suerte de no haber despertado antes el interés suficiente para ser atacados.
Esta situación no puede seguir tratándose como un problema técnico menor o una casualidad de la realidad digital. Un país que opera infraestructura crítica vinculada al comercio global, que aspira a consolidarse como hub regional de servicios y cuyas instituciones públicas gestionan datos sensibles de millones de ciudadanos en medio de una creciente digitalización, no puede darse el lujo de carecer de estándares adecuados de seguridad. Eso equivaldría a una negligencia institucional de primer orden.
La adopción formal de las normas técnicas pertinentes por parte de Copanit, la incorporación de requisitos de seguridad de la información en la contratación pública tecnológica, la creación de mecanismos de auditoría independiente y la asignación de responsabilidades legales concretas frente a brechas de seguridad no pueden seguir siendo aspiraciones de largo plazo. Son exigencias mínimas de un Estado que toma en serio la protección de los derechos fundamentales de sus ciudadanos en el entorno digital.
Mientras esas condiciones no existan, cada nuevo ataque será una confirmación de que, como país, todavía preferimos reaccionar ante las crisis antes que prevenirlas.
El autor es abogado especializado en derecho digital.
