Al menos diez instituciones públicas, autónomas y privadas fueron afectadas entre abril y mayo por la filtración de sus bases de datos para posibles ventas de credenciales en el mercado de cibercrimen. Esto generó alarma y desveló las fallas que existen en la infraestructura digital.
Por Simón Antonio Ramón
Las filtraciones en sistemas informáticos de varias instituciones entre el 9 de abril al 2 de mayo evidencian fallas en la infraestructura digital y ausencia de protocolos de protección de datos, tanto de las instituciones públicas, autónomas y privadas y fueron las principales causas que permitieron esta crisis revela un análisis de la plataforma Vector Crítico que dirige el periodista y experto digital Luis Assardo.
El análisis publicado el 3 de mayo en Vector Crítico denominado “Las claves de la crisis de ciberseguridad en Guatemala”, señala que la “crisis de ciberseguridad” vivida en abril no comenzó en esta fecha, sino desde junio de 2025.
En 2026, comenzaron a surgir varios ataques, el primer caso que se conoció fue la filtración en la Dirección General de Control de Armas y Municiones (DIGECAM), el 9 de abril el cual al inicio el Ministerio de la Defensa Nacional (MINDEF) negó y después lo confirmó. Al este le siguieron otros más en varias instituciones del Estado.
Las fallas en la infraestructura
En junio de 2025, cuando comenzaron los ciberataques, se detectó por parte de expertos de plataformas de inteligencia de amenazas que credenciales de empleados públicos guatemaltecos estaban a la venta en mercados denominados cibercrimen a 10 dólares cada lote. Se encontraba información del Ministerio Público (MP); el Organismo Judicial (OJ); la Contraloría General de Cuentas (CGC); la Superintendencia de Administración Tributaria (SAT); el Registro Nacional de las Personas (RENAP); la Policía Nacional Civil (PNC); el Ministerio de Salud Pública (MSPAS); el SICOIN; el Ministerio de Trabajo (MINTRAB) y otras de 20 instituciones adicionales.
“Esas credenciales nunca fueron rotadas masivamente. Los sistemas afectados nunca implementaron autenticación de dos factores de manera generalizada. Cuando llegaron los atacantes en abril, en muchos casos no necesitaron encontrar una vulnerabilidad técnica: simplemente usaron contraseñas que ya tenían”, señala la publicación.
Entre el 21 y 23 de abril de este año, estuvieron a la venta en el mercado del cibercrimen 109 credenciales como se le denomina a los códigos de acceso a archivos y usuarios digitales en 29 sistemas gubernamentales. Tres días después se iniciaron las filtraciones en el sistema informático del Ministerio de Trabajo.
Las filtraciones las realizaron al menos tres usuarios que se autodenominan Gordon Freeman, Mr Goblinciano, Izanagi (Evil Zone y X Forum Bot), Cantpwn, YoSoyGroot (L4TAMFUCKERS) y Nemoris Hacking.
La ausencia de protocolos
Entre los hallazgos de Vector Crítico están vulnerabilidades a nivel institucional y en dispositivos de empleados públicos. En el sistema informático gubernamental se encontró que no hay autenticación de dos factores; sin detección de acceso desde ubicaciones o dispositivos inusuales; sin alertas por descarga masiva de datos; múltiples sistemas críticos en un solo servidor; sin ley de ciberseguridad, sin estándares obligatorios, sin autoridad de auditoría.
En el caso de los empleados, cuentan con dispositivos de trabajo infectados por virus denominados infostealer con lo cual se infectan sin que el o la usuaria se den cuenta cuando se están capturando todos sus datos; son los mismos dispositivos de trabajo gubernamental para uso personal para aplicaciones como Netflix, Roblox e Instagram; no se cuenta con antimalware que detecta los virus; contraseñas guardadas en el navegador sin cifrado adicional; y sin capacitación sobre riesgos de software pirata, phishin o extensiones.
“No se trata de culpar a los empleados individuales. Se trata de señalar que el Estado no les ha dado herramientas, capacitación ni protocolos para proteger la información que administran. Un empleado que usa la misma computadora para acceder al SICOIN y para ver Netflix no está violando una política, porque la política no existe”, señala la publicación.
La plataforma Vicert Analyzer propone que las instituciones guatemaltecas deben ser proactivas ante esta situación y no reactivas para evitar vulnerabilidades. “Guatemala no había anticipado un volumen de ataques de esta magnitud para este año. La digitalización acelerada de las instituciones no estuvo acompañada de salvaguardas de seguridad proporcionales, dejando vulnerabilidades que ahora están siendo explotadas sistemáticamente”, afirma.
Reacciones de las instituciones afectadas
El Ministerio de Trabajo informó que el ataque digital fue dirigido a la plataforma Tu Empleo. “Tras la verificación, se restableció el sistema con las medidas de seguridad necesaria, lo que permitió su restauración exitosa”, informó el ministerio dirigido por la ministra Miriam Roquel Chávez.
En un comunicado de prensa de la Universidad Rafael Landívar que circuló el martes 28 de abril, se indicó que al momento que se tuvo conocimiento de que su información estaba vulnerada se activaron los protocolos especializados para la detección de accesos anómalos, análisis de tráfico y evaluación de vulnerabilidades.
“No se ha comprometido el núcleo de capacidades informáticas que resguarda la arquitectura central de las bases de datos institucionales; no existe evidencia de acceso estructurado, masivo o sistemático a datos sensibles de miembros de la comunidad universitaria; y la información potencialmente expuesta no corresponde a repositorios críticos o confidenciales”, informó la Universidad fundada por la congregación Jesuita. Aunque en el comunicado no resaltan los daños, Vecert Analyzer informó de que, “han expuesto datos sensibles pertenecientes a miles de estudiantes y miembros del claustro”.
En la USAC la filtración fue en el Sistema de Integración e Información Financiera (SIIF). Marco Fuentes, jefe del Departamento de Procesamiento de Datos informó en redes sociales que la información no fue alterada. “Habiendo determinado que los sistemas, servicios y bases de datos no fueron alterados ni manipulados, el ataque llegó a través del módulo de reportes, el cual es información pública y accesible a todas las personas”, señaló.
A pesar que la USAC no reporta daños, expertos de Vecert Analyzer informaron que se expusieron datos personales de trabajadores como códigos del Documento Personal de Identidad (DPI), registros de nóminas y monto de depósitos y proyección de datos de 2025 y 2026.
La filtración a la SIT el jueves 30 de abril, una instancia del Ministerio de Comunicaciones, Infraestructura y Vivienda (MICIV) afectó también a la Procuraduría General de la Nación (PGN), informó el portal Vecert Analyzer. En un comunicado de prensa la SIT informó que se están haciendo los análisis sin mencionar las afectaciones a su sistema electrónico.
Mientras que el Ministerio de Educación señaló que se están realizando las evaluaciones a su sistema electrónico, posteriormente se informarán los alcances de los efectos de esta filtración.
A pesar de esta situación, Vector Crítico, detectó que varias instituciones públicas variaron sus mecanismos de seguridad, sin embargo, no todos mejoraron. En el análisis de ocho instituciones, la Vicepresidencia, el Ministerio de Gobernación y la Policía Nacional Civil (PNC), retrocedieron en su capacidad de seguridad digital. Mientras el portal de Guatecompras, el Ministerio de Energía y Minas (MEM); la PGN y la Unidad de Conservación Vial (COVIAL) reforzaron su seguridad; aunque no todos están en el mismo nivel, pero avanzaron para proteger su sistema de datos.
Ciberseguridad en gobierno es precaria
El periodista Luis Assardo en entrevista con Prensa Comunitaria, indicó que no hay un estándar de motivaciones de personas que vulneran los sistemas electrónicos y cuando hay vulnerabilidades en los sistemas gubernamentales se les facilita robar la información.
“Lo que sí es evidente en Guatemala, la infraestructura y la seguridad digital no está protegida de forma adecuada. La ciberseguridad en temas de gobierno es demasiada precaria, entonces deja expuesta la información a grupos que encuentran ese tipo de puertas y fácilmente entran”, señaló.
Otro de los temas que ha entrado en discusión con las filtraciones de estos días, es la discusión de leyes de ciberseguridad. En este caso debe proteger a la ciudadanía. “Lo que les ha funcionado en otros países, es la existencia de una ley de protección de datos personales. Esa ley, es la que regula a instituciones públicas y privadas que recopilan datos como metodologías de almacenamiento y la temporalidad de borrar esa información”, dijo otro experto que pidió no ser mencionado.
Rodrigo Porres, también experto en seguridad digital, plantea que lo ocurrido pudo haber sido una operación de scraping como se le denomina a una técnica que se utiliza para extraer datos de manera automatizada, porque hasta el momento ninguna institución ha denunciado la alteración de sus bases de datos porque sino habría un caos.
En su lugar, considera que esta situación se puede aprovechar por parte del Congreso para aprobar leyes de ciberseguridad que vulneren los derechos ciudadanos como el decreto aprobado en 2022, que fue muy criticado por organizaciones de prensa porque vulneraba la libertad de expresión y de prensa, por lo que fue engavetado en el Congreso.
“Yo creo que aquí tiene mucho que ver la política, que es en el sentido que puede pasar una ley que no nos conviene a los guatemaltecos, nos censura y nos vigila más”, señaló Porres.
El 29 de abril, el gobierno de Guatemala informó que se activaron todos los protocolos de ciberseguridad, pidió establecer una coordinación interinstitucional para mitigar los daños de esta crisis; informó que había implementado acciones acompañadas por los países de España, Estados Unidos y Taiwán.
A la fecha no se sabe qué instancia está coordinando el trabajo para reforzar la protección de datos; no hay un diagnóstico a cuánto escala el daño provocado por estas filtraciones en los sistemas informáticos de las instituciones públicas afectadas entre abril y mayo.
