A través del monitoreo pasivo de foros del cibercrimen (específicamente BreachForums), se ha detectado una publicación de fecha 5 de julio de 2026 en la que un actor de amenazas afirma haber comprometido y filtrado información perteneciente a múltiples instituciones gubernamentales de Panamá. Los sectores presuntamente afectados abarcan infraestructura de transporte (aviación), gestión de identidad del Estado, educación superior y regulación de recursos marítimos y acuáticos.
Veredicto Analítico
- Estado: Presunto compromiso / No confirmado. Hasta la fecha de este reporte, no hay confirmación oficial ni validación forense pública por parte de las autoridades tecnológicas panameñas.
- Confianza: Moderada. La evaluación se basa en capturas de pantalla de una base de datos expuesta en la Dark Web; requiere validación cruzada para confirmar la autenticidad de los registros.
- Riesgo para SOC, TDIR y Redes: Crítico (Riesgo de Cadena de Suministro y BEC). La exposición masiva de datos transaccionales de contratistas del Estado eleva significativamente el riesgo de campañas de phishing altamente dirigidas o Compromiso de Correo Empresarial (BEC) contra el sector privado.
- Urgencia Operativa: Alta. Se requiere la activación de protocolos de verificación de identidad para cualquier transacción financiera vinculada a proveedores del Estado en estos sectores.
- Base del Veredicto: Publicación de un conjunto de datos estructurados que contiene entidades contratantes, órdenes de compra, facturas, actas de reuniones preliminares y registros detallados de proveedores.
Hallazgos Clave
El conjunto de datos expuesto, según las muestras publicadas por el atacante, contiene un nivel profundo de trazabilidad comercial:
- Sectores Afectados: Transporte aéreo internacional, emisión de pasaportes/documentos de identidad, universidades marítimas estatales y autoridades de recursos acuáticos.
- Información de Proveedores Expuesta: Datos de identificación fiscal (RUC), nombres de representantes autorizados, direcciones físicas, números de teléfono y direcciones de correo electrónico.
- Trazabilidad Financiera y Operativa: Detalles de órdenes de compra, números de resolución de actos públicos, códigos de materiales (MEF), unidades de medida, precios unitarios, desglose de impuestos (ITBMS, ISC), condiciones de entrega y métodos de pago.
Análisis Técnico: Vectores Potenciales
Dado que la información agrupa a instituciones de sectores completamente distintos pero unificadas por procesos de compra y facturación, las hipótesis iniciales sugieren:
- Explotación de Plataformas Centralizadas: Un posible compromiso de un sistema centralizado de compras públicas o un portal de contrataciones compartido por estas entidades.
- Ataque a la Cadena de Suministro: Compromiso de un proveedor de servicios informáticos o integrador de software (ERP/Contabilidad) que preste servicios simultáneamente a estas instituciones.
Tácticas, Técnicas y Procedimientos (MITRE ATT&CK)
- Recopilación: Datos de Bases de Datos (Data from Local Database – T1039) o Repositorios de Información (T1213) enfocados en módulos financieros y de compras.
- Exfiltración: Exfiltración a través de Servicios Web (Exfiltration Over Web Service – T1567) hacia ecosistemas criminales.
Recomendaciones Operativas
Para Administración de TI y Finanzas (Acción Prioritaria)
- Auditoría de Portales de Proveedores: Revisar los registros de acceso (logs) de los sistemas ERP, facturación y plataformas de compras estatales en busca de exportaciones masivas de datos o accesos desde direcciones IP anómalas.
- Alerta a Contratistas: Emitir una alerta preventiva a todos los proveedores registrados advirtiendo sobre la posible filtración de sus datos de contacto y facturación.
Para el Centro de Operaciones de Seguridad (SOC / CERT)
- Prevención de Fraude Financiero (BEC): Reforzar los controles de validación para cualquier solicitud de cambio en la información bancaria de los proveedores. Toda modificación debe verificarse estrictamente mediante canales de comunicación alternativos (ej. llamada telefónica a un contacto previamente verificado) y no aceptar cambios enviados únicamente por correo electrónico.



