Qué ocurrió
Una entidad del sector salud en Panamá —responsable del sistema de seguridad social que sirve al 84% de la población del país— fue víctima de un ataque de ransomware de doble extorsión por el grupo The Gentlemen.
Los hechos confirmados:
- La institución confirmó oficialmente una posible intrusión no autorizada y activó un plan de contingencia con autoridades gubernamentales.
- The Gentlemen se atribuyeron el ataque desde su cuenta verificada y publicaron evidencia de haber extraído el archivo completo de base de datos de Active Directory, lo que implica compromiso total del dominio —todas las credenciales fueron exfiltradas.
- El grupo reclama haber exfiltrado 3 TB de datos (pensiones, registros médicos, información de inversiones) y publicó un timer de ~10 días para la publicación masiva, estimada para el ~7 de abril de 2026.
- FalconFeeds.io, fuente reconocida de monitoreo de ransomware, confirmó el listing de forma independiente.
Por qué es crítico
La entidad afectada administra el sistema de seguridad social y salud de Panamá.
Si la exfiltración de 3 TB se confirma y los datos incluyen registros de pensiones e historiales médicos, este sería uno de los incidentes de mayor impacto en datos personales en la historia de Centroamérica.
La evidencia de extracción del archivo de Active Directory es particularmente significativa: implica que todas las credenciales del dominio fueron comprometidas, no solo cuentas aisladas.
Cualquier organización con relaciones, integraciones o credenciales compartidas con el dominio comprometido debe actuar de inmediato.
Implicaciones para la región
Este caso confirma que The Gentlemen tiene a América Latina —y específicamente al sector salud y seguridad social— dentro de su scope de targeting activo.
Organizaciones similares en Guatemala, El Salvador, Honduras, Nicaragua, República Dominicana y el resto de LATAM deben considerar este incidente como una señal directa de que el riesgo es real y presente.
Acciones Inmediatas
Ejecutar en las próximas 24 horas
MÁXIMA PRIORIDAD
Evaluar exposición directa a la entidad comprometida
¿Tiene su organización sistemas, VPNs, integraciones o usuarios compartidos con el dominio comprometido?
Si existe CUALQUIER relación, asuma que las credenciales compartidas están comprometidas y rótelas inmediatamente.
El archivo completo de Active Directory fue exfiltrado.
PRIORIDAD CRÍTICA
Confirmar aislamiento de backups — hoy
Este actor elimina shadow copies y servicios de respaldo como paso previo al cifrado.
Verifique HOY que sus copias de seguridad no son accesibles desde la red de producción.
Esta es la mitigación #1.
PRIORIDAD CRÍTICA
Revisar exclusiones de protección endpoint y cuentas privilegiadas
Este actor neutraliza defensas agregando exclusiones de procesos y abusa cuentas de dominio privilegiadas.
Revise exclusiones no documentadas y audite logons de administradores de dominio de las últimas 2 semanas.
PRIORIDAD ALTA
Buscar herramientas no autorizadas y validar Group Policies
Busque AnyDesk, Advanced IP Scanner, PsExec en hosts no administrativos.
Verifique que no existan GPOs modificadas fuera de ventanas de cambio.
Busque archivos README-GENTLEMEN.txt y extensión .7mtzhh.
