Las claves de la crisis de ciberseguridad en Guatemala

Cuando a principios de abril se conoció el hackeo a DIGECAM, el registro nacional de armas de fuego, el dato que más llamó la atención fue la magnitud de lo robado: 62,000 registros de armas, datos de 21,700 personas. Pero había algo más revelador detrás de ese número. El sistema de DIGECAM tenía 14 vulnerabilidades de seguridad documentadas públicamente y sin corregir. El atacante no encontró una puerta blindada: encontró una puerta abierta.

 Tres semanas y varios ataques después, ese patrón no ha cambiado.

Lo que medimos antes y después de los ataques

El 14 de abril de 2026, días después del primer hackeo confirmado, escaneamos 134 sitios web del gobierno guatemalteco con GovScan, una herramienta de auditoría de seguridad web que desarrollamos como parte de esta investigación.

El resultado fue contundente: el 64% de los sitios obtuvo una calificación D, la nota más baja antes de reprobar del todo. El 3 de mayo realizamos un segundo escaneo con la misma metodología. El promedio bajó de 48.5 a 46.7 puntos sobre 100.

En términos de notas, el movimiento más llamativo no fue hacia arriba. Fue hacia abajo: los sitios con calificación F pasaron de 8 a 39. Parte de eso se explica porque varios portales siguen offline después de los ataques, incluidos DIGECAM y MINTRAB. Pero la otra parte refleja instituciones que simplemente continúan con los mismos problemas que tenían antes.

Sin embargo, hay algo que merece atención: algunas instituciones sí reaccionaron. En solo tres semanas, la adopción del encabezado de seguridad CSP, una de las protecciones más básicas contra ataques de inyección de código, subió del 13% al 20%. Las restricciones de permisos del navegador mejoraron del 17% al 24%. Son cambios pequeños, pero son la primera evidencia de que algunos administradores de sistemas escucharon la alarma.

Entre las mejoras individuales más notorias: COVIAL subió de D a B (de 42 a 75 puntos), la Procuraduría General de la Nación pasó de C a B, el Ministerio de Energía y Minas mejoró 27 puntos. Entre las caídas más significativas: la Vicepresidencia de la República pasó de D a F, el Ministerio de Gobernación de C a F, y el Registro General de la Propiedad suspendió servicios por una "eventualidad técnica" que coincidió exactamente con la ola de ataques.

El riesgo que no se fue

La crisis de abril no comenzó en abril. Eso es quizás el hallazgo más importante de esta investigación.

Al menos desde junio de 2025 (cuando empezamos a recopilar data de stealers logs), plataformas de inteligencia de amenazas detectaban credenciales de empleados gubernamentales guatemaltecos a la venta en mercados del cibercrimen. No eran contraseñas de una sola institución. Eran lotes que incluían el Ministerio Público, el Organismo Judicial, la Contraloría General de Cuentas, la SAT, el RENAP, la PNC, el MSPAS, el MINTRAB y más de 20 instituciones adicionales. El precio de cada lote: 10 dólares.

Esas credenciales nunca fueron rotadas masivamente. Los sistemas afectados nunca implementaron autenticación de dos factores de manera generalizada. Cuando llegaron los atacantes en abril, en muchos casos no necesitaron encontrar una vulnerabilidad técnica: simplemente usaron contraseñas que ya tenían.

La SAT, con 258,000 credenciales de usuarios comprometidas según plataformas de inteligencia y 805 empleados con datos expuestos, es la institución con mayor superficie de riesgo acumulada. El RENAP, con 40,300 usuarios comprometidos, es la segunda. Ninguna de las dos ha reportado una brecha confirmada. Pero las condiciones que permitieron los ataques de abril siguen vigentes en ambas.

Lo que el gobierno comunicó

El patrón de comunicación oficial durante la crisis fue consistente y, en retrospectiva, revelador.

Cuando DIGECAM fue hackeada, el MINDEF dijo primero que no tenía evidencia del hackeo. Horas después lo confirmó, pero minimizó el alcance. Cuando atacaron MINTRAB, el ministerio confirmó el incidente pero no especificó cuánta información fue extraída. Cuando el presidente fue consultado, dijo que el ataque había ocurrido en 2023. Cinco pruebas técnicas de fuentes públicas independientes demostraron que eso no era cierto.

El 29 de abril, después de cuatro brechas confirmadas y múltiples alertas adicionales, el gobierno emitió un comunicado general. Decía que se habían activado "protocolos de respuesta" y que Guatemala cuenta con "personal especializado y el acompañamiento de aliados internacionales". No mencionaba medidas específicas, plazos ni responsables.

Cuando atacaron al RENAP y la SAT, ambas instituciones emitieron comunicados descartando cualquier vulneración. Cuando atacaron a la PGN y la SIT, ambas negaron afectaciones. El MINEDUC, después de confirmar el hackeo del 30 de abril, publicó que su base de datos estaba "íntegra".

El portal oficial de prensa del gobierno, prensa.gob.gt, no registra comunicados específicos sobre ciberseguridad más allá del genérico del 29 de abril y las negativas puntuales de cada institución.

La Ley de Ciberseguridad, que varios legisladores pidieron aprobar tras el hackeo a DIGECAM, permanece sin avances en el Congreso.

Lo que encontrará en cibercrisis.vectorcritico.com

El portal cibercrisis.vectorcritico.com es de acceso libre y gratuito. No requiere registro. Está diseñado para que cualquier persona, con o sin conocimientos técnicos, pueda entender qué pasó, qué sigue en riesgo y cómo se midió la seguridad de los sitios del Estado.

Esto es lo que puede consultar:

Línea de tiempo doble. La columna izquierda muestra cuándo detectamos señales de alerta en plataformas de inteligencia (sin revelar detalles técnicos que puedan facilitar nuevos ataques). La columna derecha muestra los eventos públicos: cuándo anunciaron los atacantes sus acciones, cuándo respondieron las instituciones. El contraste entre ambas columnas es uno de los hallazgos más importantes: en todos los casos, la exposición previa precedió al ataque por meses.

Fichas de actores. Cinco actores han sido identificados por plataformas especializadas como responsables de operaciones contra instituciones guatemaltecas. Cada ficha incluye sus técnicas, el número de operaciones documentadas, los países donde han operado y sus ataques específicos en Guatemala.

Fichas de brechas. Cada incidente tiene su propia ficha con tres fuentes diferenciadas: lo que afirma el atacante, lo que el análisis técnico independiente puede verificar y lo que confirmó la institución afectada. Los hechos confirmados aparecen en rojo, los que tienen evidencia sólida pero sin comunicado oficial en amarillo y los afirmados sin evidencia suficiente en morado.

Instituciones en riesgo. Una sección específica sobre las instituciones que no han sufrido una brecha pública pero cuyos datos de empleados y usuarios aparecen en registros de inteligencia. La SAT, el RENAP, el Organismo Judicial, el Ministerio Público, la PNC y la Contraloría, entre otras, están documentadas aquí con la primera fecha de detección, las familias de malware involucradas y la cantidad de credenciales comprometidas.

Auditoría comparativa de 134 sitios. La tabla completa de los 134 sitios gubernamentales escaneados el 14 de abril y el 3 de mayo de 2026 con GovScan. Permite ver quién mejoró, quién empeoró y quién sigue igual. Los dominios aparecen en formato de seguridad (con corchetes en los puntos) para no facilitar que la lista sea usada con otros fines.

Fallas de seguridad. Ocho tipos de fallas explicadas en español para cualquier ciudadano: desde qué es un infostealer hasta por qué un WAF importa, con datos específicos de cuántas instituciones guatemaltecas tienen cada problema y qué costaría solucionarlo.

Metodología y glosario. Cómo se calculó cada puntaje, qué herramientas OSINT se usaron y un diccionario de 28 términos técnicos en español.

La investigación continúa. GovScan estará disponible próximamente para otros periodistas e investigadores que quieran replicar la metodología en sus países. Si tenés información relevante sobre la crisis, podés contactarnos en vectorcritico.com.

Si te gusta lo que hacemos puedes suscribirte en la versión pagada o hacer un donativo.