Carlos Enrique Ungo, presidente del Consejo Asesor de Centroamérica de Ciberilatam
Carlos Enrique Ungo Experto Ciberseguridad en el sector logístico panameño

Ciberseguridad e infraestructuras críticas en el ‘hub’ logístico de Panamá

Panamá

Panamá no es solo una simple línea de tránsito en los mapas del comercio mundial. Es un punto de intercambio logístico global, con puertos de clase mundial, aeropuertos, zonas francas, cables submarinos y un sólido sistema financiero que sostienen no solo la economía nacional, sino también las cadenas de suministro regionales y globales.

No obstante, para los que laboramos en la gestión de la infraestructura tecnológica de dos de las terminales portuarias más relevantes del país, esta realidad es una carga mayor: se trata de garantizar la resiliencia ciberfísica del sector logístico nacional.

La digitalización acelerada de nuestras infraestructuras críticas avanza más rápidamente que nuestra propia capacidad regulatoria, presupuestaria y estratégica para protegerla.

Infraestructuras críticas en Panamá: Vacío normativo

La protección de las infraestructuras críticas debe abordarse bajo el enfoque de la seguridad nacional. Las normativas como la Directiva NIS2 en Europa, el CISA en los Estados Unidos o las directrices del Foro Económico Mundial se cruzan en un principio fundamental: sin reglas, responsabilidades definidas y coordinación entre el sector público y el sector privado, la ciberseguridad se convierte en una reacción tardía y no en una política de Estado.

Hoy, Panamá se encuentra en una encrucijada. Aunque hay anteproyectos de ley y esfuerzos institucionales en el horizonte, no existe aún un marco nacional general que estructure la protección de las infraestructuras críticas desde un enfoque digital. Llenar ese vacío no puede hacerse mediante normas dispersas y poco vinculadas a la vida operativa diaria de los distintos sectores. La regulación solo podrá salir de un diálogo sincero entre el sector público, los operadores de la infraestructura crítica, los reguladores, la academia y los cuerpos de seguridad.

Sectores como el portuario, financiero, energético y de telecomunicaciones acumulan experiencia práctica, capacidades técnicas y lecciones aprendidas que son esenciales para construir normas aplicables, sostenibles y ajustadas al riesgo real.

La inversión puntual

Uno de los errores estructurales más comunes en la gestión pública de la tecnología tiene que ver con tratarla como si fueran proyectos puntuales y limitados. Históricamente, la modernización tecnológica del Estado ha girado en torno a inversiones puntuales: la compra de un sistema, la renovación de equipos o la implementación de plataformas específicas, habitualmente alineadas a ciclos políticos de cinco años.

Pero la ciberseguridad no funciona así. Es un proceso intensivo, continuado, polivalente. No es un producto que hay que comprar una sola vez; es una postura que hay que mantener en constante cambio ante amenazas que incorporan en el presente inteligencia artificial, automatización y modelos criminales de alta profesionalidad y globales.

Pretender proteger las infraestructuras críticas con presupuestos intermitentes es, en la práctica, aceptar un riesgo estructural. El Estado tiene que garantizar la existencia de fondos recurrentes y sostenibles no solo para la evolución tecnológica, sino también para el mantenimiento continuo de las capacidades humanas. Un aparato estatal que es estático ante amenazas dinámicas es, por definición, un aparato vulnerable.

El factor humano

La discusión de los presupuestos, generalmente, se realiza en términos de tecnología, pero el verdadero elemento diferencial de la resiliencia se encuentra en las personas. Los analistas, ingenieros, especialistas en OT, arquitectos de seguridad y equipos de respuesta de incidentes no se crean de la noche a la mañana; su evolución sólo puede ser sostenida a largo plazo con planteamientos de carrera, certificaciones, ejercicios y práctica.

En este sentido, la brecha entre la Administración Pública y privada es evidente. La privada, sobre todo en las industrias que están expuestas al riesgo global como la portuaria, opera por lo general en esquema de especialización, en planificación a largo plazo, en gasto operativo con evolución de capacidades, etcétera. La Administración Pública, por el contrario, es objeto de limitaciones estructurales como la retención de talento, el tratamiento multianual y la actualización tecnológica.

Esta brecha no debe ser entendida como una debilidad inevitable, sino como una oportunidad estratégica para definir modelos híbridos de colaboración, transferencia de conocimientos y desarrollo conjunto de capacidades. La ciberseguridad nacional no puede ser construida sólo a partir de la madurez de unos pocos, sino como un estándar país.

La pregunta no es si Panamá debe regular la ciberseguridad de sus infraestructuras críticas, sino cómo hacerlo bien

El sector privado

Dentro de sectores muy expuestos a riesgo, como la cadena logística, la resiliencia no puede tomarse como opcional. La necesidad de planes de continuidad de negocio, la madurez en OT, los ejercicios de simulación de crisis, el gobierno de datos a largo plazo o la ejecución de pruebas de fallos son condiciones básicas que permiten a las organizaciones protegerse, fortalecer la estabilidad del ecosistema logístico nacional y preparar a todos los actores para tiempos difíciles.

Cabe recordar que ninguna infraestructura crítica opera de forma aislada. Si un componente de la cadena logística que puede ser pública o privada falla, el resto de la cadena se verá afectada. La ciberseguridad de un país no es más fuerte que su eslabón más débil. Por ello, el sector privado no debe asumirse como un sujeto regulado, sino como un aliado estratégico en la construcción de capacidades nacionales.

La experiencia en compartir buenas prácticas, en participar activamente en el diseño normativo y en contribuir al fortalecimiento del denominado talento nacional es una inversión directa en la estabilidad y la competitividad del ecosistema que sustenta la economía del país, y no una cuestión de filantropía.

La evolución tecnológica no esperará a que estemos listos. Cada día que pasa sin un marco regulatorio robusto y efectivo, sin presupuestos sostenibles y sin visión de Estado a largo plazo es abrir una ventana más al riesgo. La pregunta no es si Panamá debe regular la ciberseguridad de sus infraestructuras críticas, sino cómo hacerlo bien. Estamos construyendo un castillo de naipes digital o una verdadera fortaleza. Implica proteger el rol de Panamá como hub logístico de las Américas, y esto exige mucho más que firewalls y centros de monitoreo. Exige continuidad institucional, inversión sostenida, desarrollo de talento y una alianza entre quienes operan la tecnología y definen las reglas del juego.

Panamá ya es un hub y ahora el desafío que tenemos es convertirlo en un país referente en resiliencia y seguridad digital.