¿Puede un certificado prevenir las estafas digitales?
23 de Marzo de 2026
Exclusivo para Contrapeso
El pasado miércoles 18 de febrero, miércoles de ceniza, como a eso de las 11:30 de la mañana recibí una llamada a mi celular. Parecía la típica llamada de un call center. El sonido de fondo era el usual y la vocecita pregrabada en español que decía: “esta llamada será grabada para control de calidad”. Mi interlocutor sonaba a un panameño joven que me llamaba por mi nombre y me decía que lo hacía del centro de llamadas del banco en el cual tengo una cuenta. El joven me informaba que con mi tarjeta se había hecho una transacción en Chiriquí en la plataforma de Mercado Libre para comprar unos audífonos, y que el banco quería verificar si yo había hecho esa transacción.
Como todo me pareció normal, le respondí al joven que “no”. Acto seguido me dijo que debía transferirme con un especialista del departamento de devolución. Transfirió la llamada con todos los sonidos usuales de esa rutina y me contestó un chico con acento colombiano, tecleando en una terminal. Me repitió mis datos (el teléfono, el banco y el tipo de cuenta que tenía) y me pidió que entrara al portal del banco y buscara la información que ellos iban a necesitar. Mientras eso sucedía, mi esposa miraba la cuenta de banco y se percató de que no hubo transacción alguna en Chiriquí. Inmediatamente cerré el teléfono y nos fuimos a la sucursal más cercana del banco. Como era miércoles de ceniza, tuvimos que esperar hasta la 1:00 pm para que el banco abriera y una atenta oficial hiciera toda la verificación de la cuenta e insertara el número de teléfono del cual me hicieron la llamada en la base de datos del banco. Se comprometió a que el banco le daría el seguimiento al tema.
Lo que estuvo a punto de pasarme ese miércoles de ceniza se denomina “vishing”, que es una forma de estafa telefónica en la que se usan datos conocidos de la víctima como su nombre, su número de teléfono y el banco emisor de su tarjeta. En alguna parte de Panamá, en las semanas previas, hice un pago con mi tarjeta y dejé mi teléfono celular, quizás para recibir la factura electrónica o tal vez para participar en alguna futura promoción del establecimiento. Tengo una lista corta de posibles sospechosos, pero en todo caso hay que estar alertas y muy despiertos ante todas estas clases de estafas.
El proyecto de ley 302
En el año 2025, el diputado Jamis Acosta del partido Realizando Metas presentó un anteproyecto de ley "por el cual se establecen medidas para prevenir y sancionar estafas mediante uso de páginas web". La iniciativa de solo 9 artículos representa el intento más reciente de enfrentar este fenómeno criminal con un nuevo marco jurídico. El anteproyecto fue prohijado el 19 de agosto de 2025, lo que lo convirtió en el proyecto de ley 302, el cual fue aprobado de forma unánime en la Comisión de Comercio y Asuntos Económicos de la Asamblea Nacional, y sin modificaciones el 13 de enero de 2026.
La intención del proyecto de ley es importante, y quizás la contribución más relevante del mismo está en el artículo 2 del documento, el cual define las conductas antijurídicas así:
“Artículo 2. Definiciones. A los efectos de la presente ley, se entenderá por:
a) Phishing: suplantación de identidad mediante correos electrónicos o sitios web fraudulentos, cuyo objetivo es obtener información confidencial, como contraseñas o datos bancarios.
b) Smishing: variante del phishing en la que se utilizan mensajes de texto (SMS) para engañar a la víctima y obtener información confidencial.
c) Vishing: uso de llamadas telefónicas para obtener información confidencial mediante engaño.
d) Web spoofing: creación de sitios web falsos que imitan a sitios legítimos con el fin de engañar a los usuarios y robar su información.
e) Pharming: redireccionamiento de usuarios a sitios web falsos sin su conocimiento para obtener información confidencial.
f) Baiting: engaño en el que se ofrece una recompensa o beneficio falso para que la víctima descargue software malicioso o acceda a sitios peligrosos.
g) Spear phishing: variante del phishing en la que se dirigen ataques a personas o grupos específicos, utilizando información personalizada para hacer el fraude más creíble.
h) CEO fraud: fraude dirigido a empleados de empresas en el que se hacen pasar por altos ejecutivos para solicitar transferencias de dinero o datos confidenciales.
i) SIM swapping: fraude en el que los ciberdelincuentes transfieren el número de teléfono de la víctima a una nueva tarjeta SIM para acceder a sus cuentas protegidas por autenticación de dos factores.
j) Carding: uso fraudulento de tarjetas de crédito robadas o clonadas para realizar compras en línea.
Ante todo nuevo fenómeno criminal, es vital identificar claramente la conducta antijurídica que se pretende evitar o castigar. Esa es la contribución que hace este artículo de este proyecto de ley.
El certificado
El mecanismo principal con el cual este proyecto de ley busca prevenir las ciberestafas es por medio de la emisión de un “certificado de conformidad” por la Dirección General de Comercio Electrónico del Ministerio de Comercio e Industrias. Este certificado, gratuito y que se tramitaría por vía digital, serviría como validación de que la empresa o persona cuyo sitio de internet ofrece bienes y servicios es una persona natural o jurídica real.
Además, todo sitio web que ofrezca productos en el mercado panameño deberá tener un pie de página o “footer” en el cual se detallarán todos los aspectos del domicilio físico. Esto debería servir para la apropiada identificación de la parte que ofrece el bien o servicio, facilitando su localización para efectos de reclamos o responsabilidad penal. Sin embargo, también expone a las personas que ofrecen bienes o servicios por internet a que su intimidad o vida familiar sea afectada. Por ejemplo, una joven modelo que ofrezca productos de belleza puede, a su vez, ser víctima de acoso.
Aunque tanto el certificado como el pie de página pueden contribuir a mejorar la transparencia en los negocios por internet, el esquema propuesto está rezagado con respecto a las prácticas comerciales en el mundo digital, en las cuales una cuenta de cualquier red social o una cuña de YouTube puede servir para la oferta de bienes y servicios. Además, quedan por fuera muchísimas otras prácticas que castigan a consumidores y usuarios de redes sociales y del mundo digital.
Una visión holística
De acuerdo con la Policía Nacional en Panamá, cada día hay 17 víctimas nuevas de una ciberestafa o un delito asociado. El presidente de la Asociación Bancaria de Panamá, Ernesto Boyd, dijo a TVN-2 que el año pasado se dieron pérdidas por 20 millones de dólares por este delito. Además, informó que en el año 2025 hubo unos 150 millones de ataques cibernéticos contra el sistema bancario panameño. De ese tamaño es el problema.
En una estafa cibernética no solo se ven afectados los consumidores, sino también las instituciones legítimas dentro del sistema económico. El Estado panameño necesita tener una base de datos centralizada de todos estos casos, y de los teléfonos, cuentas de redes sociales, páginas web y de las direcciones IP de los atacantes o estafadores.
Panamá es un mercado muy pequeño y los gigantes de internet no van a cambiar sus reglas para evitar las estafas u otros delitos por vía digital en un país de 4.2 millones de habitantes. Un ejemplo de esto lo vivió el Tribunal Electoral en el año 2024, cuando las grandes plataformas de redes sociales se prestaron a divulgar campañas sucias y noticias falsas sobre las elecciones panameñas, y por mucho que el Tribunal Electoral intentó, las mega-compañías incumplieron la ley electoral panameña.
Un remedio para esto sería que la Autoridad de los Servicios Públicos le ordenara a los proveedores de internet y empresas de telefonía celular suspender los servicios de dichas plataformas para Panamá. El primer desafío de semejante medida sería el aspecto técnico para hacerla cumplir. Sin embargo, el desafío más grande sería adoptar una medida que equivale a un acto de censura: suspender una red social porque una persona con una cuenta en dicha red estafó a alguien en Panamá sería desmesurado. Esta situación es la que lleva a un aparente callejón sin salida en este tema.
Existe la Convención contra la Ciberdelincuencia o Convenio de Budapest (2001), que en Panamá es la Ley 79 de 2013, la que sirve para facilitar la investigación de los ciberdelitos. Aunque es cierto que países como Corea del Norte, Rusia y Ghana se han convertido en la sede de mafias de ciberdelincuencia, también es cierto que en Panamá, lamentablemente, existen grupos organizados e individuos que la practican. Esto entonces va a requerir el fortalecimiento de las capacidades investigativas del Ministerio Público y de la Policía Nacional, y también la creación de una unidad de abogados defensores de las víctimas de estos ciberdelitos, ya que en la práctica a la estafa se debe agregar el enorme sentimiento de indefensión de las víctimas de estos delitos.
La discusión del proyecto de ley 302 está suspendida a la espera de que algunas autoridades hagan sus aportes a dicha iniciativa. Este proyecto debería volver a primer debate para una consulta más amplia y un rediseño en colaboración con especialistas nacionales y extranjeros. Si el proyecto 302 hubiese sido ley el pasado 18 de febrero, y “voluntariamente” yo le hubiera entregado mi información financiera a los estafadores, toda la pérdida de dinero, la afectación a mi historial de crédito, así como el gasto de tiempo y recursos para obtener una actuación del Ministerio Público en este tema, no estaría amparada en forma alguna por lo establecido en el contenido del proyecto de ley 302. La Asamblea Nacional tiene la oportunidad de hacer una norma jurídica que de verdad proteja a los panameños y panameñas, establezca mecanismos de investigación más sofisticados, y garantice la integridad, la intimidad y el patrimonio de la ciudadanía.
Compartir en WhatsApp
Por: Rodrigo Noriega
Abogado
Más de Contrapunto