Hackeo masivo en la CSS expone nombres, firmas e historial médico de asegurados

El hackeo a la Caja de Seguro Social (CSS) dejó al descubierto información de miles de asegurados, incluyendo firmas, números de teléfono, historial médico, datos sobre préstamos y más. La respuesta de la institución al público se ha limitado a un comunicado, y aunque avanza la investigación en el Ministerio Público, toda la información sigue estando disponible para ser utilizada en estafas o cualquier otro delito.

Se trata de 3 terabites de data, que incluye información sobre pensiones, e historiales médicos. El responsable del hackeo se hace llamar The Gentlemen (Los Caballeros). Este medio pudo acceder al sitio, en el que con un buscador sencillo se puede encontrar toda la data publicada.

“Como caballeros, ofrecimos pagar un precio justo por el error cometido, luego de lo que toda la hubiera sido permanentemente borrada de nuestros servidores. La administración (de la CSS) decidió que su influencia en la opinión pública es tan fuerte que el incidente pasaría desapercibido, así que nos vemos obligados a publicar prueba del hackeo y colocar las bases de datos médicas y de pensiones del 80% de la población panameña a la venta como un paquete único”, señala un mensaje en el sitio web utilizado por los hackers.

Solo toma un par de clicks para encontrar las carpetas con los detalles personales de los asegurados y descargarlos.

“Tienen todas las actas donde ellos dicen por qué están pidiendo un préstamo, cuándo acaba el préstamo, por qué lo pidieron, de qué viven los familiares, los números, la firma física de ellos”, advirtió André Conte, un experto en ciberseguridad que por semanas ha advertido sobre la magnitud del hackeo y el riesgo para los ciudadanos. “Llevamos reportándoles diariamente a la CSS, organizaciones internacionales, de todo, diciendo señores, en Mi Caja Digital se les está filtrando toda la información, pensiones, hasta historia médica y radiografías”.

Falta de respuesta

La Estrella de Panamá consultó a la CSS sobre este tema, pero manifestaron que solo se pronunciarán a través de comunicados. A la fecha, solo hay un comunicado emitido por la institución con fecha del 27 de marzo que se enfoca más en la continuidad de los servicios y poco dice sobre la seguridad de los datos de los contribuyentes.

“La Caja de Seguro Social (CSS) informa a la ciudadanía que los servicios web de la institución se mantienen operativos. Actualmente se realiza una verificación exhaustiva del estado de la plataforma tecnológica y de la integridad de los sistemas, ante la posible detección de una intrusión no autorizada. De manera preventiva, y en coordinación con la Autoridad Nacional para la Innovación Gubernamental (AIG), se ha activado un plan de contingencia y respuesta, con el objetivo de mitigar cualquier posible impacto en el menor tiempo posible y garantizar la continuidad de los servicios en beneficio de nuestros asegurados”, señala el comunicado.

La modernización y digitalización de los servicios de la CSS ha sido uno de los programas insignia de la actual administración del director Dino Mon. Estos servicios son de gran utilidad para la población, pero también atractivos para ciberdelincuentes.

El director de la Autoridad Nacional para la Innovación Digital (AIG), Adolfo Fábrega, citó este lunes durante una entrevista a Telemetro el caso de Costa Rica, que sufrió ataques similares. Fábrega afirmó que no es viable realizar pagos a estos criminales.

“Tuvieron meses caídos porque los gobiernos no pueden emitir ese tipo de pagos. Imagínense el contralor refrendando un pago para un tipo de temas como este. El Gobierno no puede hacer ese tipo de pagos”, apuntó.

Conte coincide en que el gobierno no debe pagar, sin embargo critica el silencio de la institución a la ciudadanía. “Nosotros, la comunidad informática, estamos en total contra que se pague, pero lo que nosotros pedíamos es que si ya sabían de una vulnerabilidad en varios sistemas de la CSS, arréglenlos y no esperen a que salga la información”, explicó. Recomendó a los usuarios cambiar sus contraseñas para esta plataforma.

Por parte de la AIG, Fábrega reconoció que al entrar esta administración “no teníamos visibilidad alguna sobre las vulnerabilidades que existían en las diferentes plataformas y sistemas del gobierno”. Asegura que lo han logrado contrarrestar con herramientas obtenidas a través de un proceso de licitación. “El tema es que están implementadas hace aproximadamente dos meses por el simple hecho de que nos tomó prácticamente un año llevar adelante esos procedimientos. Sin embargo, esas plataformas hoy día nos dan total visibilidad de la superficie de ataque y de cuáles son las vulnerabilidades que tenemos. Estamos en este momento en el proceso de cerrarlas”, afirmó.

Una búsqueda en el portal de Panama Compras muestra dos licitaciones que entran en la descripción de Fábrega. Una para un “Sistema de Protección de aplicaciones y sitios web del Estado” adjudicada por 1.2 millones de dólares adjudicada a Smartbytes Inc. el 2 de marzo de este año y otra para “Licenciamiento de Solución de Detección y Respuesta a Amenazas” adjudicada por 2.5 millones de dólares a Sofistic, S.A. el 18 de diciembre de 2025.

Investigación en curso

La Estrella de Panamá contactó al Ministerio Público, desde dónde se confirmó que hay una investigación en curso aunque no se dieron detalles.

Encontrar a los responsables no es tarea fácil, y aún remover la información que ya ha sido comprometida, explicó Wladimir González, jefe de la División de Ciberdelito de la Dirección de Investigación Judicial (DIJ).

“Hay que tomar en cuenta que esta filtración de datos se hace en lo que se conoce como la Dark Web y ahí prácticamente es imposible lograr tumbar una página, porque ellos no tienen reglas. Entonces no podemos buscar y decir ¿qué empresa les presta el servicio? ¿Dónde están alojados sus servidores? Y decir ok, le vamos a tumbar la página y quitar la información”, explicó González. “Los ciudadanos deben tomar en cuenta que ya su información personal está en el Internet y que esa información puede llegar a manos de delincuentes que puedan querer utilizar esa información quizás para estafarlo o de alguna manera extorsionarlo y estar pendientes de este tipo de llamadas, mensajes, correos electrónicos que pudieran recibir en la que utilicen su información personal para tratar de engañarlo y llevar a cabo la comisión de un ciberdelito”, alertó.

La división de ciberdelitos persigue a quienes venden las bases de datos. En 2025 llevaron ante las autoridades competentes a 46 personas relacionadas con delitos facilitados por tecnología como estafa, hackeos y pornografía infantil.