Entidades de gobierno empezaron a parchear, pero el problema de fondo persiste
Un mes después volvimos a escanear los 134 sitios de gobierno para ver si han corregido vulnerabilidades.
El 14 de abril pasado Vector Crítico desarrolló un primer escaneo masivo de seguridad web del gobierno de Guatemala: 134 sitios, 64% con calificación D, promedio de 48.5 puntos sobre 100. Era parte del diagnóstico técnico de fondo de la crisis que ya se estaba desarrollando. El 14 de mayo repetimos el ejercicio para ver que había cambiado en un mes.
Lo que mide GovScan (y lo que no)
GovScan v1.0 analiza la postura de seguridad pública de cada dominio: si el certificado SSL es válido, si el sitio redirige de HTTP a HTTPS, y si implementa los siete encabezados de seguridad que los estándares internacionales recomiendan desde hace más de una década. No hackea nada. No accede a datos internos. Evalúa lo que cualquier navegador puede ver al conectarse a un sitio web.
La escala es 0 a 100. A partir de 85 es nota A; entre 40 y 54 es D. Debajo de 25 es F.
Lo que GovScan no mide es igual de importante: la seguridad de los sistemas internos, la postura de seguridad de los empleados, el estado de las contraseñas, la infraestructura de red. La crisis de abril no fue causada por la ausencia de encabezados HTTP — fue causada por credenciales robadas y APIs sin controles de acceso. El escaneo es una radiografía de la fachada. Las brechas ocurren por dentro.
Los tres momentos
Los números requieren explicación porque no se leen de manera intuitiva.

El descenso del promedio de 48.5 a 45.8 no significa que el gobierno empeoró de forma generalizada. Significa que varios sitios que estaban en 40-44 puntos (nota D, el rango más poblado) ahora puntúan entre 33-39, lo que los mueve a nota E. En muchos casos, la diferencia es de tres o cuatro puntos, no de cambios estructurales. La causa más común: un encabezado que apareció y desapareció, o una variación en la respuesta del servidor entre escaneos.
Lo que sí cambió de forma consistente y en la dirección correcta son los encabezados de seguridad.
La señal más clara: los encabezados de seguridad mejoran
Este es el hallazgo más positivo del tercer escaneo. Catorce sitios gubernamentales que no tenían CSP (Content Security Policy) en abril ya lo tienen en mayo. Catorce más implementaron Permissions-Policy. Doce añadieron X-Content-Type-Options. La tendencia es consistente y real.

Lo que no mejoró es HSTS, el encabezado más importante de todos. HSTS le indica al navegador que jamás acepte una conexión sin cifrar a ese dominio. Sin HSTS, un atacante puede interceptar la conexión de un usuario que escribe la dirección sin "https://". En un mes, el número de sitios con HSTS no cambió: 28 sitios, el 21% del gobierno. Exactamente donde estaba el 14 de abril.
Las instituciones que mejoraron
Catorce instituciones mejoraron más de cinco puntos entre el primer y tercer escaneo.
El Consejo Nacional de Atención al Migrante de Guatemala (CONAMIGUA) tuvo la mejora más grande del período: subió de 11 a 60 puntos, pasando de F a C. Implementó cinco de los seis encabezados de seguridad principales en el transcurso de un mes.
La Unidad de Conservación Vial (COVIAL) subió de 42 a 69, de D a C. El Registro Mercantil pasó de 41 a 65, y el Ministerio de Cultura y Deportes de 42 a 65.
El Ministerio de Salud Pública (MSPAS) subió de 44 a 60. Vale subrayarlo: el MSPAS fue víctima de un ataque de ransomware en abril. Su mejora técnica posterior, aunque no cierra las vulnerabilidades que permitieron ese ataque, sí representa una postura de seguridad web más robusta.
El patrón es claro: varias instituciones que tenían todos sus encabezados ausentes en abril han implementado la mayoría. El costo técnico de esta mejora es bajo. En muchos casos, un par de horas de trabajo de un administrador de sistemas. Que haya ocurrido sugiere que la crisis generó presión institucional suficiente para que equipos de TI priorizaran tareas que llevaban meses postergadas.
Las instituciones que no han vuelto
El portal del Ministerio de Trabajo y Previsión Social responde 503 (servicio no disponible) un mes después de que la brecha expusiera más de 200,000 registros laborales. El Ministerio confirmó el incidente en comunicado oficial el 27 de abril.
El dominio de DIGECAM no responde en absoluto. La brecha del 10 de abril fue la primera de la crisis. El sitio permaneció en 503 durante semanas y ahora da timeout completo.
Que ambos sitios sigan offline no es necesariamente malo. Puede ser parte de un proceso de reconstrucción controlada. Pero sí significa que los ciudadanos que necesitan servicios en línea de esas instituciones no los tienen disponibles un mes después.
El número que no cambió
El promedio general del gobierno guatemalteco en seguridad web lleva un mes oscilando alrededor de 46-49 puntos sobre 100. Un mes antes de la crisis: 48.5. Un mes después: 45.8.
Ese estancamiento tiene una explicación técnica: los encabezados que mejoraron son los más fáciles de implementar. Lo que no ha cambiado es la arquitectura subyacente. Un sitio que antes tenía SSL válido sin encabezados y ahora tiene SSL válido con cuatro encabezados pasó de 36 puntos a 52, sigue en D, pero por razones distintas.
La mejora real está ocurriendo en el margen. Lo que no ha ocurrido, lo que ningún escaneo de encabezados HTTP puede medir, es la parte que importa: la autenticación multifactor para empleados, la gestión de credenciales, los controles de acceso en las APIs internas, el monitoreo de endpoints en dispositivos de trabajo remoto. Esas son las vulnerabilidades que habilitaron la crisis de abril. No aparecen en ningún escaneo externo.
El encabezado HSTS, que no se mueve, es quizás el indicador más honesto del estado real: requiere una decisión arquitectónica deliberada, no solo agregar una línea de configuración. Que permanezca en 21% después de un mes de crisis pública sugiere que la respuesta sigue siendo reactiva, parchar lo visible, más que estratégica.
| Institución | Abr 14 | May 14 | Δ mes | HSTS | CSP | XFO | XCT | RP | PP | Estado |
|---|