A finales de marzo de 2026, aproximadamente 600 fotografías de cédulas panameñas aparecieron listadas para venta en un foro de la dark web. La fuente no fue una empresa privada. Fue EmpleosPanamá — el portal oficial del Ministerio de Trabajo y Desarrollo Laboral (MITRADEL), donde ciudadanos panameños suben su documentación personal para postular a ofertas laborales.
El actor identificado como NyxarGroup publicó muestras verificables de los documentos y fijó un precio de venta. MITRADEL reconoció un “intento de ciberataque” contra la plataforma y procedió a suspender el servicio de forma preventiva.
Qué pasó
El 25 de marzo de 2026, fuentes de inteligencia de amenazas reportaron la publicación de una oferta en un foro clandestino que incluía fotografías de documentos de identidad panameños. Las muestras corresponden a imágenes de alta resolución de cédulas con datos completos: nombre, número de documento, fecha de nacimiento y fotografía del titular.
MITRADEL emitió un comunicado ese mismo día confirmando la detección de actividad maliciosa y la activación de protocolos de seguridad en coordinación con la Autoridad Nacional para la Innovación Gubernamental (AIG) y su proveedor tecnológico. El portal fue suspendido temporalmente.
NyxarGroup es un actor con historial documentado de exfiltración y venta de datos de portales gubernamentales en América Latina. Según fuentes CTI, el actor acumula al menos 29 brechas reportadas con foco en gobierno y salud, con actividad observada en Chile, Colombia y Panamá desde inicios de 2026.
Por qué importa: la diferencia entre datos tabulares y documentos de verificación
Una filtración de registros de base de datos — nombres, correos, números de cédula — es un evento grave pero contenido en su impacto directo. Una filtración de fotografías de documentos de identidad tiene implicaciones distintas.
Numerosos procesos de verificación de identidad en la región aceptan una imagen de cédula como evidencia. Onboarding de clientes, alta de proveedores, contratación de personal, trámites gubernamentales digitales, portabilidad numérica y procesos de seguros son flujos donde una fotografía de documento real puede satisfacer los controles vigentes. Cuando el material filtrado es el mismo que el proceso de verificación solicita, la superficie de fraude se amplía para cualquier organización que dependa de ese mecanismo.
Además, un portal de empleo almacena contexto adicional: historial laboral, referencias personales, datos de contacto actualizados. Esa combinación de documento de identidad más contexto personal incrementa la efectividad de intentos de ingeniería social dirigida.
Un patrón regional
Este no es un evento aislado. NyxarGroup ha seguido un patrón consistente: identificar portales gubernamentales que aceptan y almacenan documentos de ciudadanos, y monetizar los datos extraídos a través de foros especializados.
La secuencia observada incluye el portal de la Ley del Lobby en Chile, el Servicio Civil chileno, entidades de salud y gobierno en Colombia, y ahora el portal de empleo de Panamá. El elemento común es el modelo: portales públicos diseñados para facilitar trámites ciudadanos que almacenan documentos sensibles, desarrollados con estándares de seguridad que no siempre corresponden al nivel de sensibilidad de la información que manejan.
Este modelo se replica en toda América Latina. Cada país de la región cuenta con portales similares — de empleo, salud, transparencia, servicios civiles — que solicitan y almacenan documentación de identidad. La exposición no es exclusiva de Panamá.
Preguntas relevantes para organizaciones que operan en Panamá
Cualquier organización que verifique identidad de personas — sea para abrir una cuenta, contratar un empleado, activar una póliza, registrar un proveedor o autorizar un trámite — debería evaluar lo siguiente:
- ¿Su proceso de verificación de identidad depende exclusivamente de fotografías de documentos? Controles adicionales como detección de liveness o verificación cruzada con fuentes oficiales reducen la exposición ante documentos legítimos presentados por terceros no autorizados.
- ¿Tiene capacidad de detectar documentos comprometidos en sus flujos? Bases de documentos filtrados, hash perceptual de imágenes y detección de duplicados son controles que permiten identificar reutilización — aplicables tanto en onboarding de clientes como en procesos de contratación y alta de proveedores.
- ¿Sus equipos de recursos humanos y contratación verifican identidad con el mismo rigor que su área de cumplimiento? Los procesos de selección de personal, especialmente remotos, son un punto de entrada que frecuentemente tiene controles menos maduros que los procesos regulados.
- ¿Ha evaluado sus obligaciones bajo la normativa vigente? La Ley 81 de 2019 establece obligaciones de protección de datos personales para toda organización que trate datos de ciudadanos panameños. Para el sector financiero, el Acuerdo SBP 001-2022 añade requisitos específicos de notificación.
- ¿Monitorea fuentes de inteligencia para exposición de datos de sus clientes, empleados o proveedores? La detección temprana de datasets filtrados permite activar controles preventivos antes de que se materialicen campañas de fraude.
Escenarios de riesgo derivados
Con documentos de identidad verificables en circulación, los escenarios de riesgo más relevantes por sector incluyen:
Ingeniería social contextualizada. Un atacante con datos de postulación laboral puede construir pretextos convincentes: comunicaciones que hacen referencia a empleadores, posiciones y fechas específicas. Esto afecta a cualquier organización cuyos colaboradores o clientes hayan utilizado el portal — el atacante tiene contexto suficiente para personalizar el engaño.
Fraude en verificación de identidad. Documentos de identidad reales presentados en procesos de onboarding remoto — apertura de cuentas, emisión de pólizas, activación de servicios, solicitudes de crédito — pueden satisfacer controles que no incorporan verificación biométrica activa. El riesgo aplica a banca, seguros, telecomunicaciones y cualquier servicio con alta digital.
SIM swap y toma de cuentas. La combinación de nombre completo, número de cédula e información de contacto facilita intentos de portabilidad numérica fraudulenta, comprometiendo mecanismos de autenticación basados en SMS en cualquier plataforma que los utilice.
Fraude en contratación y proveedores. Documentos legítimos presentados en procesos de selección de personal o registro de proveedores habilitan esquemas de suplantación de identidad. Organizaciones con contratación remota o procesos de alta de terceros con verificación documental básica tienen exposición directa.
Fraude contra el sector público. Cédulas reales pueden utilizarse para trámites gubernamentales fraudulentos: solicitudes de subsidios, registros ficticios, o suplantación en portales de servicios al ciudadano.
Para profundizar en este análisis
Nuestro equipo de CTI ha emitido un informe técnico detallado que incluye el perfil completo del actor, cronología de operaciones en la región, mapeo MITRE ATT&CK, indicadores de compromiso y ataque, contexto regulatorio panameño, y recomendaciones específicas de detección y respuesta por sector. Disponible bajo TLP:AMBER para clientes con servicio CTI activo.
Referencia: INF-CTI-2026-005. Solicítelo a cti@develsecurity.com o a su punto de contacto en Devel Group.
