Finalmente fue publicada en Gaceta Oficial la Resolución No. 07 del 11 de mayo de 2026, mediante la cual la Autoridad Nacional para la Innovación Gubernamental (AIG) establece por primera vez controles mínimos obligatorios de ciberseguridad para los sistemas informáticos de las entidades públicas.
La medida surge en medio del aumento de amenazas cibernéticas y vulneraciones tecnológicas registradas en instituciones del Estado durante los últimos meses que han comprometido datos, y busca reforzar la protección de la infraestructura digital gubernamental.
El documento reconoce que la ciberseguridad se ha convertido en un tema crítico para proteger la información estatal, garantizar la continuidad de los servicios públicos y prevenir ataques informáticos contra entidades gubernamentales.
Monitorean más de 500 mil dispositivos gubernamentales en Panamá ante amenazas de hackers
La resolución será de cumplimiento obligatorio para los órganos Ejecutivo, Legislativo y Judicial, además de entidades autónomas, semiautónomas, descentralizadas y empresas estatales.
En el caso de municipios, juntas comunales y consejos provinciales o comarcales, las disposiciones funcionarán como guía técnica de referencia.
La AIG establece que las instituciones deberán aplicar medidas mínimas de protección antes y durante la operación de sus sistemas informáticos.
¿Qué dicen estas disposiciones?
Llevar un registro actualizado de todos los sistemas y equipos conectados a Internet.
Mantener servidores y plataformas con actualizaciones y parches de seguridad.
Implementar verificación en dos pasos para accesos remotos y correos institucionales.
Utilizar sistemas operativos vigentes y con soporte técnico.
Contar con protección activa contra virus y malware.
Separar los sistemas expuestos a Internet de las redes internas del Estado.
Restringir accesos administrativos desde redes públicas.
Realizar pruebas anuales para detectar vulnerabilidades.
Bloquear páginas web maliciosas o fraudulentas.
Reforzar la seguridad del correo institucional contra phishing y suplantación de identidad.
¿Qué pasa si no se cumple?
De acuerdo con la resolución las instituciones tienen un plazo de 30 días calendario desde la entrada en vigencia de la resolución para enviar un informe de autogestión sobre el nivel de cumplimiento de las medidas de ciberseguridad, lo cual deberán justificar con evidencia que deben adjuntar.
De acuerdo con la resolución, si una entidad pública no cumple con alguno de los controles de ciberseguridad establecidos, deberá presentar un plan de acción correctivo en un plazo máximo de 45 días calendario “contados a partir del envío del informe de autogestión”.
Panamá Emprende sufre ataque cibernético; MICI y la AIG investigan
Sin embargo; no se señala si se impondrán sanciones económicas ni castigos específicos por incumplimiento, pero sí deja a la AIG como la entidad encargada de supervisar y verificar la aplicación de las medidas dentro del Estado.
Esta resolución marca un antes y un después en la ciberseguridad estatal panameña, pero deja abierta una gran interrogante: qué tan efectivas serán estas medidas si no existen sanciones claras para las instituciones que incumplan.
Casos de ciberataques
Hasta el momento, se han confirmado al menos cinco incidentes de alto impacto que afectaron infraestructuras estatales y la información que administran.
Entre los casos más recientes figuran la Caja de Seguro Social, la plataforma Panamá Emprende, el Ministerio de Salud, el Ministerio de Economía y Finanzas y la Contraloría General de la República.
Con esta resolución, Panamá da uno de sus pasos más importantes en materia de ciberseguridad estatal y reconoce oficialmente que las amenazas digitales ya representan un riesgo real para el funcionamiento del Gobierno.
Sin embargo, el reto ahora no solo será implementar las medidas, sino garantizar que las instituciones realmente las cumplan en un escenario donde, por ahora, no existen sanciones claras para quienes ignoren los nuevos controles.
