medico:medico

Un usuario, una contraseña, y los expedientes médicos de más de 156 mil panameños expuestos según reportes públicos. En paralelo, tres terabytes de datos reclamados por un grupo de ransomware contra la CSS. Sobre por qué seguimos sorprendiéndonos cuando nada en cómo construimos, regulamos y cubrimos el software en este país sugiere que debería ser distinto.

16 min de lectura
Página clasificada de un periódico en blanco y negro, enfoque selectivo
Photo by AbsolutVision on Unsplash

El usuario era medico. La contraseña, también. Según reportes públicos de inteligencia de amenazas y comunidades de ciberseguridad sobre el incidente de MiniMed Panamá y Radimagen, vinculados al proveedor LATAM MAXIA, la credencial medico:medico habría sido una credencial por defecto utilizada en el sistema, que según esos reportes habría permanecido activa sin rotación adecuada fn-1. Al momento de escribir esto, no existe una confirmación forense pública completa ni una determinación oficial de responsabilidad que permita validar todos los detalles técnicos reportados.

Aun así, el caso sirve para discutir un patrón de riesgo conocido y documentado: credenciales por defecto, credenciales no rotadas y ausencia de controles básicos en sistemas que manejan datos sensibles. Lo que más golpea no es la sofisticación del ataque. Es la mezcla de banalidad y desastre: alguien, en algún momento, habría dejado una credencial por defecto funcionando, probablemente sin maldad y sin entender el riesgo, y esa decisión de cinco segundos pudo terminar exponiendo la privacidad médica de más de ciento cincuenta mil personas.

Esto no es un post sobre un exploit sofisticado. Es un post sobre un país —el mío— que lleva años acumulando una deuda técnica, regulatoria y profesional cuyo interés ya no se puede pagar.

NOTA METODOLÓGICA Y LEGAL — clic para expandir

Este texto es un artículo de opinión, análisis técnico y comentario de interés público. No constituye asesoría legal, peritaje forense, acusación penal, determinación de responsabilidad civil, ni conclusión definitiva sobre la actuación de ninguna persona natural o jurídica mencionada.

La información aquí discutida proviene de fuentes abiertas, comunicados oficiales, reportes públicos, publicaciones de comunidades de inteligencia de amenazas, medios de comunicación y registros disponibles al momento de publicación. Cuando un dato proviene de actores de amenaza, comunidades OSINT, terceros o reportes no confirmados oficialmente, debe leerse como reporte, reclamo, alegación o información pendiente de confirmación forense pública, no como hecho judicialmente probado.

Las menciones a instituciones, empresas, proveedores o personas se hacen únicamente para contextualizar eventos de relevancia pública y analizar riesgos técnicos, regulatorios y profesionales. No se afirma, salvo que exista confirmación oficial o fuente expresamente citada, que dichas entidades hayan cometido delito, negligencia, dolo, mala fe, incumplimiento contractual o infracción administrativa.

Las opiniones expresadas son personales, se basan en la información disponible al momento de escribir y pueden cambiar si aparecen nuevos hechos, aclaraciones oficiales, auditorías independientes o resoluciones de autoridad competente. No escribo esto como perito forense ni como abogado: lo escribo como ingeniero de software que ha trabajado con datos sensibles.

#.El año que Panamá entró a la dark web

Si uno se sienta a ordenar lo que pasó entre septiembre de 2025 y mayo de 2026, el patrón es bastante claro. No fueron ataques aislados ni mala suerte: fue una temporada.

La siguiente tabla resume eventos reportados públicamente. No todos tienen el mismo nivel de confirmación. Algunos datos provienen de comunicados oficiales; otros, de reclamos de actores de amenaza, cobertura periodística, comunidades OSINT o reportes de terceros. La columna “Estado” intenta distinguir ese nivel de certeza y debe leerse con esa cautela.

Fecha Institución Qué se reportó Estado Vector
Sep 2025 MEF ~1.5 TB reclamados por INC Ransom; el MEF reconoció extracción de documentos no sensibles de Asesoría Legal Confirmado parcialmente; reclamo del actor Malware en estación de trabajo
Sep 2025 MINSA (SIMEPLANS) Brecha de credenciales; MINSA aclaró que SIMEPLANS guarda datos de pólizas, no historiales clínicos Confirmado oficialmente Acceso por credenciales
Mar 2026 CSS ~3 TB reclamados: historiales clínicos, firmas digitales, teléfonos, datos de préstamos y jubilaciones Intrusión confirmada por la CSS; cifras y contenido reclamados por el actor Atribuido al grupo The Gentlemen
Abr 2026 Contraloría General Toma de cuenta de Instagram (~20 min) usada para extorsión Confirmado oficialmente Account takeover, no brecha profunda
May 2026 MiniMed / Radimagen 156,869 expedientes, 521 credenciales de médicos reportadas en texto plano, 74,233 usuarios del sistema Reportado por comunidad/OSINT; sin confirmación forense pública completa Credenciales por defecto del proveedor LATAM MAXIA, según reportes

Tres terabytes, según el reclamo atribuido a The Gentlemen, podrían equivaler a millones de expedientes digitalizados. El grupo afirma tener datos del 80% de los panameños fn-2. Como toda comunicación de un actor de amenaza, esa cifra debe tratarse con cautela: puede mezclar datos reales, exageraciones o afirmaciones interesadas. Pero aunque el reclamo estuviera inflado, el orden de magnitud sigue siendo grave.

Lo importante no es que existan ataques. Eso ocurre en cualquier país y en cualquier industria. Lo anormal es que estén teniendo resultados tan baratos, rápidos y repetibles. Panamá ya sabía que estaba expuesto: en 2019, Bob Diachenko encontró una base Elasticsearch sin protección con datos de 3.4 millones de panameños, accesible desde cualquier navegador, asegurada 48 horas después de avisar a CSIRT Panamá fn-3. Llevamos al menos siete años sabiendo que estamos expuestos.

El patrón, simplificado, se ve así:

Anatomía de un riesgo conocido: credenciales por defecto Modelo ilustrativo en cinco pasos del riesgo asociado a credenciales por defecto: configuración inicial, ausencia de rotación, acceso no autorizado, exposición de datos y notificación tardía al ciudadano. Anatomía de un riesgo conocido: credenciales por defecto Lo que toma segundos en configurar puede tomar años en reparar. Modelo ilustrativo basado en patrones comunes y reportes públicos. No es una reconstrucción forense. 1 Credencial por defecto configurada El sistema sale del taller con una credencial genérica como medico:medico. segundos 2 La credencial queda activa Sin un proceso obligatorio de rotación y verificación, puede llegar intacta a producción. control omitido 3 Acceso no autorizado Herramientas automatizadas pueden detectar servicios expuestos y probar credenciales comunes a escala. minutos a horas 4 Datos reportados como expuestos Según reportes públicos, miles de expedientes habrían quedado fuera del control de sus responsables. horas a días 5 El ciudadano se entera tarde A veces por la prensa. A veces por phishing, fraude o extorsión. A veces, nunca. ¿meses? ¿nunca? El control más barato suele ser el más caro de ignorar.

#.Lo que la ley no dice (y debería)

Es útil poner lado a lado lo que pide la ley en otros lugares y lo que pide la nuestra. Sin polémica, sin adornos, solo la diferencia.

Aspecto HIPAA (EE. UU.) GDPR (UE) Ley 81 (Panamá)
Notificación de brechas 60 días a HHS si afecta a más de 500 personas 72 horas a la autoridad “Inmediatamente”, sin plazo numérico
Cifrado Addressable: implementarlo o documentar alternativa razonable Implícito por privacy by design (Art. 25) No especificado
Multas máximas Hasta ~$2M por violación idéntica/año Hasta el 4% de ingresos globales $1,000 a $10,000 por infracción
Responsabilidad de terceros Sí, vía Business Associate Agreements Sí, encargado del tratamiento (Art. 28) Mencionada, sin mecanismo claro
Supervisión y enforcement OCR investiga, audita y sanciona Autoridades nacionales supervisan y sancionan ANTAI como autoridad, con capacidad sancionadora más limitada

La Ley 81 fn-4 fue un avance importante: reconoce datos sensibles, exige consentimiento y establece a ANTAI como autoridad. Pero frente a incidentes de esta escala, sus vacíos pesan: notificación “inmediata” sin plazo numérico, multas de B/.1,000 a B/.10,000 por infracción y mecanismos limitados frente a terceros.

El contraste de magnitud es difícil de ignorar. Frente a una filtración reportada de 156,000 expedientes, un techo de B/.10,000 hace que muchas empresas prefieran simplemente asumir el riesgo: la sanción potencial es ínfima frente al costo real de hacer las cosas bien. Bajo GDPR, Meta recibió en 2023 una multa de mil doscientos millones de euros por transferencias de datos a Estados Unidos fn-5. No se trata de copiar GDPR —es complejo, costoso, y no aplica igual a un país de cuatro millones—, sino de reconocer que el costo de perder datos sensibles en Panamá parece mal calibrado.

También hay que reconocer avances. NIST publicó en 2024 la SP 800-66 Rev. 2, una guía técnica concreta para proteger datos médicos bajo HIPAA fn-6; Panamá no tiene un equivalente vinculante. Pero el Estado sí se mueve: en agosto de 2025 se sancionó la Ley 478 fn-7, que actualiza el Código Penal con nuevos tipos penales para delitos informáticos. En junio de 2025, mediante Decreto Ejecutivo 53, se creó el Centro de Ciberseguridad de Panamá fn-8. Y existe un anteproyecto de reforma a la Ley 81 que propone elevar las multas hasta B/.100,000. El aparato del Estado se está moviendo. Lo que aún falta es que la cultura, el mercado y la conversación pública se muevan con la misma seriedad.

#.La industria que cobra igual por hacerlo mal

Aquí quiero conectar con algo de lo que ya escribí en El olvidado arte del buen código: hemos cambiado la calidad por la inmediatez, aceptamos código generado sin pensar, y el resultado es una generación más enfocada en velocidad que en oficio. En abstracto, eso es deuda técnica. Aplicado a un sistema que guarda historiales clínicos, es la diferencia entre que una persona pueda o no pedir un préstamo el día que descubran que su diagnóstico está en Telegram.

En quince años de carrera he visto sistemas con contraseñas en texto plano entregados por proveedores que cobran lo mismo —a veces más— que los que sí saben lo que hacen, licitaciones públicas adjudicadas por precio donde la rúbrica de seguridad pesa cinco puntos sobre cien, auditorías que marcan “se utilizó cifrado” sin preguntar algoritmo ni manejo de llaves, y proyectos serios perder contra ofertas más baratas que no internalizan el riesgo.

Ross Anderson, en Security Engineering fn-9, lo explica desde la economía de la seguridad: si quien compra no sufre directamente la brecha, si quien construye no carga con el costo del fallo y si la reputación se recupera más barato que hacerlo bien, el equilibrio del mercado es producir software inseguro. Bergh Johnsson, Deogun y Sawano, en Secure by Design fn-10, lo miran desde el diseño: la seguridad no se “agrega” al final, se modela desde el principio. Cuando un proveedor entrega un producto con medico:medico como credencial por defecto, no es solo descuido: es que la cultura de diseño nunca contempló que la seguridad fuera una propiedad del sistema.

El resultado es predecible: el talento que sí sabe se mueve hacia mercados con tarifas internacionales donde la calidad se paga, mientras los proyectos críticos locales terminan operando con presupuestos, plazos y estándares que no siempre corresponden al riesgo real de los datos que manejan. Cuando el mercado no premia la calidad, la calidad desaparece.

Lo confirma el reporte de IBM Cost of a Data Breach 2024 fn-11: el sector salud lleva catorce años consecutivos como el más costoso del mundo en brechas, con un promedio de 9.77 millones de dólares por incidente. El vector inicial más común son las credenciales comprometidas: un 16% de todos los casos.

#.Los reguladores y los que miran para otro lado

Hay un detalle de marzo de 2026 que todavía me da vueltas: al menos en los primeros días, la información más detallada disponible públicamente sobre lo que pasó en la CSS pareció venir más de los claims de los atacantes que de una explicación institucional completa. No estoy pidiendo que la CSS publique el playbook del ataque. Estoy diciendo que, desde una perspectiva de comunicación de crisis, ningún firewall sustituye una explicación pública clara, oportuna y verificable.

La AIG existe y tiene equipo técnico, pero no parece contar públicamente con un marco vinculante equivalente a NIST ni con un mandato de auditoría y enforcement comparable al de OCR en Estados Unidos sobre entidades cubiertas por HIPAA. ANTAI, encargada por la Ley 81, opera —según especialistas locales— con limitaciones de presupuesto y personal técnico. El problema parece menos de voluntad individual que de diseño institucional.

La cobertura mediática que vi durante esta temporada, salvo excepciones puntuales, tendió a reproducir comunicados oficiales más que a traducir técnicamente el riesgo para el ciudadano. El reporte Verizon DBIR 2024 fn-12 lleva años explicando el patrón: alrededor del 38% de las brechas involucran credenciales robadas y un 68% involucran un elemento humano —errores, ingeniería social, mal uso. No son cifras secretas.

Y aquí quiero ser honesto: yo no soy un experto en seguridad. Soy un ingeniero que ha tenido que aprender de seguridad porque el oficio me lo pide. Pero hay personas en Panamá que sí lo son y que llevan años haciendo el trabajo de pedagogía pública gratis y sin agenda comercial. André Conte (@AndreBConte), analista vinculado a OWASP Panamá, es una de esas voces locales. IPANDETEC, organización panameña de derechos digitales, lidera la Mesa Multisectorial de Ciberseguridad y hace probablemente el trabajo de incidencia pública más sostenido del país fn-13. La UTP, a través de su Facultad de Ingeniería de Sistemas Computacionales, mantiene programas formales de ciberseguridad y un grupo de investigación, CyGISI fn-14. OWASP Panamá, Bsides Panamá, STIC Panamá mantienen comunidad. La gente que sabe está. Lo que falta no es expertise local — falta el puente entre esa expertise y la conversación pública.

#.¿Por qué te debería interesar?

Si llegaste hasta aquí, probablemente la pregunta que te queda es la más legítima: ¿esto qué tiene que ver conmigo? La respuesta depende de quién seas.

Las recomendaciones que siguen son medidas generales. No sustituyen asesoría legal, financiera, bancaria, médica o de ciberseguridad personalizada.

#.Como persona y usuario

Tu cédula, tu historial clínico, las contraseñas que reusas entre cinco servicios. Eso es lo que está en juego cuando hablamos de “datos personales”. Y aunque la conversación pública suele girar hacia “ten cuidado con lo que compartes”, la verdad es más incómoda: tú no decides cómo se almacena tu expediente en la clínica, cómo se cifra tu información en el banco, cómo se rota una credencial en un proveedor de software médico. Esas decisiones las toman otros, en tu nombre.

Por eso esta sección no te pide que hagas nada. Te explica por qué tu información debería importarle a tres grupos de personas que sí pueden cambiar las cosas.

A las empresas. Porque cuando un sistema falla y los datos terminan donde no deberían, el costo principal no lo paga la junta directiva: lo pagas tú. Tú con la llamada del estafador que sabe cuánto debes. Tú con el correo de phishing que conoce el nombre de tu médico tratante. Tú con la posibilidad de que un diagnóstico salga del consultorio y termine pesando en una decisión laboral que nadie te explica. Una empresa que cuida tus datos lo hace porque sabe que entre su balance y tu vida cotidiana hay una distancia que no debería existir.

A los ingenieros. Porque cada credencial que se decide no rotar, cada hash que se decide saltar, cada base de datos que se decide exponer “solo por ahora” son decisiones que afectan a personas concretas que nunca van a saber tu nombre. Tú no firmaste el contrato del sistema que guarda tu historial. No participaste en la revisión de código. Pero la decisión de cinco segundos que dejó la credencial activa pudo haber expuesto la privacidad médica de mucha gente durante años. El oficio de construir software se mide, al final, por el respeto que se le tiene a la persona que nunca va a leer una sola línea del código.

A los abogados, diputados y políticos. Porque sin reglas que duelan, los incentivos no cambian. Mientras no exista una autoridad con presupuesto, capacidad técnica y mecanismos de sanción comparables a los de marcos internacionales, los proveedores no van a sentir presión real. Las leyes y los procesos jurídicos son lo único que convierte una decisión técnica perezosa en un problema con consecuencias. Sin eso, tú —el ciudadano cuya información pudo haber sido reportada en la dark web— te quedas con un comunicado, una promesa y un patrón que se repite.

#.Como ingeniero de software

Esto te toca directamente. Si entregas software, eres parte de la cadena que decide si la próxima medico:medico existe o no.

Antes de la lista, una premisa que conviene no olvidar: los sistemas médicos no tienen que ser cómodos si esa comodidad compromete la seguridad. Al contrario: deben ser tan incómodos como sea necesario para proteger el tipo de información que custodian. La fricción bien colocada no es mala UX — es protección.

Lo mínimo no es aspiracional; es higiene profesional. La HIPAA Security Rule (45 CFR Part 164, Subpart C) y NIST SP 800-66 Rev. 2 fn-6 no son vinculantes en Panamá, pero funcionan perfectamente como piso técnico:

  • Cifrado en tránsito y en reposo, con manejo serio de llaves (HSM o KMS gestionado) y sin PHI/PII en logs, backups o colas. Cuando aplique —telemedicina, mensajería médico-paciente, transferencia de imágenes diagnósticas—, cifrado de extremo a extremo sin posibilidad de que ni el proveedor lea los mensajes en claro.
  • Hashing de contraseñas con Argon2id o bcrypt bien configurado, sal única por contraseña y parámetros de costo revisados periódicamente fn-15.
  • MFA y menor privilegio. MFA obligatorio en todo acceso administrativo, a producción y a datos sensibles; idealmente FIDO2/WebAuthn o passkeys — SMS no cuenta como segundo factor serio. Cada usuario, servicio o proceso con el mínimo acceso necesario, separando cuentas administrativas y operativas. HIPAA lo exige bajo Information Access Management (164.308(a)(4)).
  • Bases de datos privadas y auditables. Sin exposición directa a internet. Acceso solo por backend/API o vía VPN/bastion, con segmentación de red. Y registros inmutables de cada acceso a PHI: HIPAA lo exige bajo Audit Controls (164.312(b)). Si no puedes responder “¿quién leyó el expediente de esta persona el martes a las 3 PM?”, tienes un problema antes del incidente.
  • Cero credenciales por defecto y plan de respuesta a incidentes documentado y ensayado. OWASP Top 10 A07 y CIS Control 5 llevan años diciendo lo primero. HIPAA pide lo segundo bajo Security Incident Procedures (164.308(a)(6)). El momento para escribir el plan no es cuando ya estás dentro del incidente, mirando el reloj.

Si entregas un sistema con una credencial por defecto como medico:medico y permites que llegue a producción, no basta con decir “el cliente no lo exigió”: esa falla también es responsabilidad profesional de quien construye y entrega. Ya escribí en El olvidado arte del buen código sobre cómo aceptamos que generar código rápido sustituya escribir código bien. Esto es la versión donde ese código está guardando la historia clínica de gente real.

Y si quieres ir más allá: Anderson fn-9 y Bergh Johnsson et al. fn-10 son lecturas obligadas. Localmente, OWASP Panamá y Bsides Panamá son donde está la conversación viva.

#.Como periodista

Si trabajas en medios, esta sección es un favor: una de las historias más importantes de derechos ciudadanos del país está pasando ahora, y la cobertura ha tendido a reproducir comunicados con poca traducción técnica. No es mala fe; es el ritmo del newsroom. Pero “se detectó una intrusión” no le dice al ciudadano qué datos están en riesgo, qué puede hacerse con ellos ni qué tan distinto es “se filtraron credenciales” de “se filtraron historiales clínicos”.

La fuente existe y es gratis: voces técnicas locales, universidades, comunidades de ciberseguridad —las que ya mencioné en la sección anterior— pueden traducir estos eventos sin convertirlos en espectáculo. Lo que falta es la llamada.

#.Como abogado, diputado o político

Aquí corrijo algo que escribí en una versión anterior: decir que “no hemos visto una sola acción colectiva” era injusto. IPANDETEC lleva años haciendo incidencia pública en derechos digitales fn-13. Diputadas como Yarelis Rodríguez han impulsado legislación concreta —incluyendo la Ley 478 fn-7 y el anteproyecto de reforma a la Ley 81. La ANTAI, autoridad encargada por la Ley 81, todavía no se ha pronunciado formalmente sobre los incidentes de esta temporada al momento de escribir esto, y ese pronunciamiento —junto con la eventual aplicación de las primeras sanciones que correspondan— es algo que muchos estamos esperando ver.

Lo que sigue faltando es puente visible entre filtraciones que potencialmente afectan a millones de personas y mecanismos concretos de rendición de cuentas, protección colectiva y sanción. No me toca a mí proponer la figura jurídica: no soy abogado. Pero sí puedo señalar, como ciudadano e ingeniero, que ese vacío existe.

Si eres diputado, abogado o estás en posición de decisión política, tu voz desde tu campo puede ayudar a que los instrumentos existentes —y los que están en cola, como la reforma con multas de hasta B/.100,000— no se queden en papel.

#.Como empresa

Las recomendaciones para empresas son orientativas y deben adaptarse al sector, tamaño, obligaciones regulatorias, contratos aplicables y asesoría profesional correspondiente. No constituyen asesoría legal, de cumplimiento ni de ciberseguridad formal.

Si manejas datos de clientes, datos sensibles o datos médicos, esto te toca. Los reportes públicos sobre el caso atribuido a LATAM MAXIA, si son correctos, ilustran un riesgo conocido: cuando un proveedor falla o es comprometido, el impacto puede propagarse a sus clientes. Es un patrón clásico de cadena de suministro, y en salud el radio de explosión puede ser enorme.

Lo aburrido es lo importante:

  • Antes de firmar con un proveedor: pide evidencia documentada de seguridad — no un papel que diga “cumplimos con la Ley 81”. Pide el reporte de su última auditoría externa, cómo maneja el ciclo de vida de credenciales, cómo notifica incidentes y en qué plazo, y quién carga con la responsabilidad civil si algo se filtra.
  • Auditorías externas anuales, no internas — que las haga gente que no depende de tu nómina.
  • Plan documentado de notificación de incidentes, antes de necesitarlo.
  • Contrata a quien sepa. Si la seguridad pesa cinco puntos sobre cien en una licitación, el resultado probablemente reflejará esa prioridad. Pagar barato un sistema que guarda datos médicos es una decisión que se paga después, con intereses.

Tres preguntas incómodas antes de firmar siempre son más baratas que una brecha después.

El denominador común es simple: la información no es el problema. Panamá tiene universidades, comunidades técnicas, especialistas y organizaciones de derechos digitales capaces de entender esto. Lo que falta es que cada actor —empresa, ingeniero, periodista, abogado, regulador, político— acepte que le toca.

Volvamos al principio: medico:medico. Una credencial que parece placeholder. El día que eso nos dé vergüenza profesional antes de llegar a producción, empezamos a salir de la dark web. Y mientras tanto, los datos siguen ahí.

Actualización y derecho de aclaración. Si alguna institución, empresa, proveedor, especialista o autoridad mencionada considera que algún dato citado está incompleto, desactualizado o requiere aclaración, puede contactarme para revisar la fuente pública correspondiente y, de ser necesario, corregir o actualizar el texto. Este artículo busca contribuir a una conversación pública informada, no sustituir investigaciones oficiales ni atribuir responsabilidades que corresponden a las autoridades competentes.

  1. Reporte basado en publicaciones de comunidades de inteligencia de amenazas y ciberseguridad sobre el incidente de MiniMed Panamá y Radimagen, vinculado al proveedor LATAM MAXIA, mayo de 2026. Sin confirmación oficial al momento de publicar este post.
  2. Caja de Seguro Social de Panamá (2026). Comunicado oficial sobre incidente de ciberseguridad. Marzo de 2026. Cobertura en La Estrella de Panamá, RedPacket Security y Ransomware.live.
  3. DIACHENKO, Bob (2019). “Panama’s citizen records exposed online”. Security Discovery / CSIRT Panamá.
  4. Asamblea Nacional de Panamá (2019). Ley 81 de 26 de marzo de 2019, sobre Protección de Datos Personales. Gaceta Oficial No. 28743-A.
  5. Reglamento (UE) 2016/679 (GDPR), Artículos 9, 25 y 33. Decisión Comisión Irlandesa de Protección de Datos contra Meta Platforms Ireland Ltd., mayo de 2023.
  6. NIST (2024). Special Publication 800-66 Revision 2: Implementing the Health Insurance Portability and Accountability Act (HIPAA) Security Rule. Febrero de 2024.
  7. Asamblea Nacional de Panamá (2025). Ley 478 de 4 de agosto de 2025, originada como Proyecto de Ley 61, propuesta por la diputada Yarelis Rodríguez. Modifica el Código Penal, el Código Procesal Penal y la Ley 11 de 2015, tipificando delitos informáticos. Sancionada por el presidente José Raúl Mulino. Gaceta Oficial.
  8. Decreto Ejecutivo No. 53 de 11 de junio de 2025. Crea el Centro de Ciberseguridad de Panamá. Firmado por el presidente José Raúl Mulino.
  9. ANDERSON, Ross (2020). Security Engineering: A Guide to Building Dependable Distributed Systems. 3rd edition. Wiley.
  10. BERGH JOHNSSON, Dan; DEOGUN, Daniel; SAWANO, Daniel (2019). Secure by Design. Manning Publications.
  11. IBM Security (2024). Cost of a Data Breach Report 2024. IBM Corporation.
  12. Verizon (2024). 2024 Data Breach Investigations Report (DBIR). Verizon Business.
  13. IPANDETEC (Instituto Panameño de Derecho y Nuevas Tecnologías). Organización panameña sin fines de lucro de derechos digitales. Lidera la Mesa Multisectorial de Ciberseguridad de Panamá. https://ipandetec.org
  14. Universidad Tecnológica de Panamá — Facultad de Ingeniería de Sistemas Computacionales. Programas formales: Licenciatura en Ciberseguridad (https://fisc.utp.ac.pa/licenciatura-en-ciberseguridad) y Maestría en Seguridad Informática. Grupo de investigación CyGISI (Ciberseguridad y Seguridad Informática), https://fisc.utp.ac.pa/ciberseguridad-y-seguridad-informatica-cygisi. Laboratorio de ciberseguridad inaugurado en octubre de 2025 con financiamiento parcial de SENACYT.
  15. PROVOS, Niels; MAZIÈRES, David (1999). “A Future-Adaptable Password Scheme”. USENIX Annual Technical Conference. PHC: Password Hashing Competition (2015), Argon2 designado ganador.