Nueva ley de ciberdelincuencia obliga a las empresas a reforzar su seguridad digital

La entrada en vigor de la Ley 478 de 2025, que actualiza el marco penal contra la ciberdelincuencia en Panamá, marca un antes y un después para las empresas del país. La norma refuerza las sanciones por delitos informáticos y modifica el Código Procesal Penal, introduciendo obligaciones inéditas para el sector privado: desde la preservación de evidencia digital hasta la colaboración obligatoria con el Ministerio Público.

De acuerdo con Francisco Javier Vanegas, abogado senior de EY Law, la nueva legislación “representa el cambio más profundo en materia digital desde la aprobación de la Ley 81 de 2019 sobre Protección de Datos Personales”.

El especialista advierte que también plantea un reto de cumplimiento sin precedentes para las empresas locales y multinacionales que operan en Panamá.

“La Ley 478 penaliza expresamente la suplantación de identidad digital, la interferencia en sistemas informáticos y la divulgación no consentida de información sensible. Esto obliga a las organizaciones a revisar sus políticas de uso de sistemas, la gestión de identidades y la trazabilidad digital”, señaló Vanegas a este medio.

A nivel regional, las empresas también incrementan su gasto en ciberseguridad.

El estudio “EY Global Cybersecurity Leadership Insights Study” revela que entre 2023 y 2024 las organizaciones latinoamericanas invirtieron entre 10 y 49 millones de dólares en el fortalecimiento de sus sistemas, y que la mitad de ellas aumentó su presupuesto para proteger la información ante amenazas cada vez más sofisticadas.

Un informe de Boston Consulting Group (BCG), “When Cybersecurity Becomes Cyber Strategy”, indica que el costo promedio de reparar una brecha de ciberseguridad asciende a $52 millones, con un tiempo de contención promedio de 258 días. Los sectores financiero, salud y telecomunicaciones son los más vulnerables.

Para Fabiana Ramírez C., investigadora de seguridad de ESET Latinoamérica, la evolución del crimeware —software malicioso con fines económicos— revela la magnitud del problema.

“Los spyware recopilan información y registran la actividad del usuario de forma oculta. Luego esa información se vende o utiliza para fraudes”, explicó Ramírez.

Según datos de ESET, las campañas de spyware bancario dominan actualmente el panorama regional. La familia Spy.Banker concentra el 65.9 % de las detecciones y se especializa en el robo de credenciales bancarias, mientras que Spy.Guildma representa el 14.4 %, enfocándose en el acceso remoto y control de equipos. En tercer lugar se ubica Spy.Agent con un 9.9 %, utilizada para suplantación de identidad y robo de datos personales. Le sigue Spy.LummaStealer (6.2 %), centrada en el robo de contraseñas y cookies, y finalmente Spy.AgentTesla (3.6 %), conocida por su capacidad de registrar pulsaciones de teclado y realizar espionaje corporativo. Estas cinco variantes concentran el 100 % de las principales detecciones de spyware en América Latina.

“En América Latina, el Spy.Banker y el Spy.Agent concentran la mayoría de las detecciones. En Panamá la tendencia es similar, aunque no contamos con cifras específicas”, añadió Ramírez.

La especialista destacó además los avances del país a La Estrella de Panamá, como la creación del Centro Nacional de Ciberseguridad y la Estrategia Nacional de Ciberseguridad 2021–2024, iniciativas de la Autoridad Nacional para la Innovación Gubernamental.

Uno de los puntos más relevantes de la Ley 478 es que agrava las penas cuando los ataques informáticos afecten infraestructuras críticas —bancos, hospitales, compañías de energía o telecomunicaciones—.

Esto obliga a muchas empresas a revaluar si forman parte de este grupo y reforzar sus controles.

El nuevo artículo 338A del Código Procesal Penal autoriza al Ministerio Público a ordenar la retención de datos informáticos hasta por 90 días, prorrogables.

Las empresas deberán establecer protocolos de preservación y entrega segura de información, en coherencia con la Ley 81 de 2019, garantizando confidencialidad y trazabilidad.

“La privacidad y la ciberseguridad ahora se integran. La protección de datos deja de ser solo confidencialidad: pasa a ser también cumplimiento penal”, explicó Vanegas.

Desde EY Law recomiendan tres acciones inmediatas para las organizaciones:

Aunque la ley no exige nuevas estructuras formales, sí impone responsabilidad directa al directorio y la alta gerencia.

“Ya no basta con que la ciberseguridad dependa del área de TI. La supervisión activa del Board es obligatoria, porque un descuido puede generar responsabilidad penal corporativa”, subrayó Vanegas.

El especialista sugiere elaborar un mapa de riesgos penales digitales y coordinar la gestión entre el Chief Information Security Officer (CISO), el área legal y el Oficial de Protección de Datos, para garantizar una respuesta rápida ante incidentes y solicitudes judiciales.

Uno de los mayores retos será garantizar que la evidencia digital tenga validez jurídica. La Ley 478 exige autenticidad, integridad y trazabilidad en la recolección y análisis de información.

EY recomienda adoptar marcos internacionales como ISO/IEC 27001, NIST Cybersecurity Framework o ISO/IEC 27037, que establecen procedimientos técnicos para preservar evidencia digital.

“Solo con trazabilidad completa se evita cualquier impugnación y se asegura la admisibilidad judicial”, puntualizó Vanegas.

Las empresas deben revisar sus políticas internas de retención de logs y accesos.

Aunque la ley fija un plazo de 90 días prorrogables, EY sugiere extenderlo, siempre que sea compatible con la Ley 81. “Esto convierte a las empresas en custodios de evidencia digital, responsables de conservarla sin alteraciones”, explicó el abogado.

La Ley 478 también fortalece la cooperación internacional de Panamá.

Las autoridades podrán compartir información digital con otros Estados, conformar equipos conjuntos de investigación y utilizar canales electrónicos seguros para intercambiar pruebas.

Esto alinea al país con estándares globales y lo posiciona como un aliado regional contra la ciberdelincuencia transfronteriza.

Sin embargo, Vanegas advierte que la obtención de evidencia en la nube o en jurisdicciones con leyes distintas sigue siendo un desafío.

Más allá de las sanciones penales, las organizaciones enfrentan riesgos reputacionales y económicos.

“La pérdida de confianza de clientes y socios tras una filtración de datos es prácticamente irreversible”, advirtió Vanegas.

El impacto financiero puede incluir interrupciones de operaciones, pérdida de propiedad intelectual o pago de rescates por ransomware.

Es recomendable la creación de matrices de riesgos cibernéticos para priorizar inversiones y demostrar diligencia ante las autoridades.

Para empresas con recursos limitados, el experto sugiere concentrarse en tres inversiones esenciales:

Estas medidas, aunque simples, reducen la exposición penal y reputacional, y muestran cumplimiento activo.

La Ley 478 no solo busca castigar el delito, sino transformar la cultura corporativa digital.

En la economía actual, la ciberseguridad deja de ser un tema técnico para convertirse en una responsabilidad de gobernanza y confianza empresarial.

“En la economía digital, la confianza es el activo más difícil de recuperar cuando la ciberseguridad falla”, concluyó Vanegas.