TVN Noticias Edición Mediodía
En vivo
AIG da 30 días a entidades públicas para aplicar medidas contra ciberataques
La resolución obliga a entidades públicas a actualizar sistemas y reforzar accesos digitales.
Panamá/La Autoridad Nacional para la Innovación Gubernamental (AIG) estableció de cumplimiento obligatorio para los órganos Ejecutivo, Legislativo y Judicial, así como para entidades autónomas, semiautónomas, descentralizadas y empresas estatales, incluyendo sus dependencias y entidades adscritas, la resolución de controles mínimos de protección en ciberseguridad para los sistemas informáticos de las entidades públicas en Panamá, con el objetivo de fortalecer la seguridad digital y reducir riesgos ante amenazas cibernéticas.
La normativa que fue publicada en la Gaceta Oficial No. 30524 B se da, luego de registrarse al menos cinco ciberataques contra instituciones del país en lo que va del año.
La resolución también exige mantener actualizados y con parches de seguridad todos los servidores, aplicaciones, servicios y dispositivos de red, dando prioridad a aquellos que estén expuestos a internet.
Puede leer: AIG activará nuevas medidas para frenar ciberataques en entidades públicas
Además, las instituciones deberán implementar autenticación multifactor (MFA) para accesos remotos mediante VPN, correos electrónicos institucionales fuera de la red interna y plataformas en modalidad SaaS, incluyendo redes sociales.
Otro de los requisitos contempla que las entidades utilicen sistemas operativos vigentes y con soporte del fabricante tanto en redes internas como externas. En caso de que existan limitaciones técnicas u operativas para actualizarlos, estos equipos deberán permanecer aislados de la red institucional y contar con medidas de mitigación.
La normativa también obliga a las entidades a instalar soluciones activas de protección contra malware en estaciones de trabajo y servidores, manteniendo actualizadas las firmas y mecanismos de detección de amenazas.
En materia de protección perimetral, la resolución establece que los sistemas y servicios expuestos a internet deberán ubicarse en una zona desmilitarizada (DMZ) o en segmentos de red equivalentes, protegidos además mediante un Web Application Firewall.
Asimismo, prohíbe que activos expuestos directamente a internet permanezcan alojados dentro de la red interna sin controles de segmentación adecuados. La resolución también restringe los accesos administrativos desde internet a sistemas expuestos, como SSH, RDP, SMB y accesos a bases de datos, exigiendo controles adicionales de acceso y evitando su disponibilidad directa desde redes públicas.
Entre las medidas adoptadas figura además la obligación de realizar al menos una prueba de penetración externa anual para evaluar vulnerabilidades en los activos tecnológicos expuestos a internet y documentar los hallazgos junto con las acciones correctivas correspondientes.
También puede leer: Global Big Day Panamá 2026: unas 790 especies de aves fueron registradas durante el evento
Las entidades también deberán implementar mecanismos de filtrado de navegación web para bloquear sitios maliciosos, fraudulentos o asociados a malware, phishing y otras amenazas cibernéticas. En cuanto al correo electrónico institucional, la resolución exige controles de seguridad capaces de detectar y bloquear mensajes maliciosos, enlaces fraudulentos, archivos adjuntos peligrosos e intentos de suplantación de identidad.
La normativa establece además que las entidades obligadas deberán presentar ante la Autoridad Nacional para la Innovación Gubernamental, en un plazo máximo de 30 días calendario desde la entrada en vigencia de la resolución, un informe de autogestión sobre el nivel de cumplimiento de las medidas.
Cuando una institución cumpla con un control, deberá adjuntar evidencia documentada que respalde su implementación. En caso de incumplimiento, deberá presentar un plan de acción que tendrá que ejecutarse en un plazo máximo de 45 días calendario.
