Un virus y lotes de credenciales comprometidas detrás de los hackeos a sitios de gobierno
Lotes de credenciales obtenidas con infostealer se venden a $10. En esos lotes hay decenas de credenciales de empleados estatales.
En las últimas tres semanas, al menos cinco instituciones del gobierno de Guatemala han sido atacadas por el mismo grupo de cibercriminales. Después de analizar centenares de registros técnicos, la pregunta que importa ya no es quién atacó ni qué datos robó. La pregunta es cómo un grupo que se presenta como adolescentes en un foro del mercado negro pudo penetrar los sistemas del registro de armas, el ministerio de trabajo, el ministerio de educación, y afirmar haber accedido al registro civil y a la administración tributaria. Todo en 20 días.
La respuesta que encontramos es simple, pero muy grave. No necesitan esforzarse, solo necesitan comprar y la mitad del hackeo está hecho.
Las computadoras de empleados del gobierno de Guatemala están infectadas con software malicioso que captura todo lo que escriben, incluyendo las contraseñas que usan para acceder a los sistemas internos del Estado. Esas contraseñas se venden en mercados clandestinos de internet por precios tan bajos como diez dólares. Cualquier persona que las compre puede entrar a esos sistemas como si fuera el empleado legítimo.
Es importante anotar que no se trata de algo dirigido porque apenas so unas decenas de empleados estatales entre decenas de miles de usuarios de internet que han sido infectados. Es usual cuando la gente no actualiza dispositivos, o tiene antivirus (en caso use Microsoft, por ejemplo).
Anatomía de un lote de credenciales robadas
Qué contiene, cuánto cuesta, y qué sistemas del gobierno expone
8 lotes identificados (21-23 abril 2026)
Credenciales por institución
Lo que encontramos: 109 credenciales, 29 sistemas, diez dólares
Nuestra investigación identificó lotes de credenciales robadas que incluyen acceso a sistemas internos de al menos diez instituciones gubernamentales. No se trata de datos antiguos ni hipotéticos: los registros que analizamos están fechados entre el 21 y el 23 de abril de 2026, apenas días antes de que los ataques contra el Ministerio de Trabajo, la SAT, el RENAP y el Ministerio de Educación fueran hechos públicos.
Las credenciales robadas incluyen acceso a:
El sistema de procesos internos y certificados del Ministerio de Educación. El sistema de contabilidad del Estado (SICOIN, Ministerio de Finanzas). El portal de la Superintendencia de Administración Tributaria, incluyendo sistemas de declaraciones, fiscalización y reclutamiento. El portal del Registro Nacional de las Personas. Sistemas del Ministerio de Salud, la Policía Nacional Civil, el Organismo Judicial, la Contraloría General de Cuentas y el Ministerio Público.
Cada lote se vende por diez dólares. Un solo lote contiene credenciales para múltiples instituciones porque proviene de la misma computadora infectada, un empleado que accede a varios sistemas gubernamentales desde el mismo dispositivo.
La ruta: del dispositivo infectado al sistema estatal
Cómo credenciales robadas por $10 abrieron las puertas del gobierno
Contraseñas de sistemas de trabajo (SICOIN, SAT, BPM)
Contraseñas personales (Netflix, Instagram, Roblox)
Cookies de sesiones activas
Datos de formularios y tarjetas guardadas
109 credenciales de 29 sistemas gubernamentales
Incluyen: MINEDUC, SAT, RENAP, MINFIN, MSPAS,
PNC, OJ, Contraloría, Min. Público, MINTRAB
✗ Autenticación de dos factores
✗ Detección de acceso desde ubicación inusual
✗ Alertas por descarga masiva de datos
✗ Segmentación entre sistemas
21,700 registros de armas (DIGECAM) — confirmado
200,000 CVs de desempleados (MINTRAB) — confirmado
150,000 PDFs del Min. Educación — evidencia fuerte
Afirmaciones sobre SAT y RENAP — en evaluación
en un solo lote
comprometidos
La cronología lo confirma
La conexión entre las credenciales robadas y los ataques no es especulativa. Es cronológica.
Los lotes de credenciales que analizamos aparecieron entre el 21 y el 23 de abril. El Ministerio de Trabajo fue atacado el 26 de abril (tres días después). Las afirmaciones sobre la SAT y el RENAP se publicaron el 28 de abril (cinco días después). El Ministerio de Educación fue atacado el 30 de abril (siete días después).
El sistema exacto del Ministerio de Educación que fue comprometido (el sistema de procesos internos y formularios) aparece siete veces en los lotes de credenciales robadas. No es coincidencia. Es causa y efecto.
Esto también explica algo que nos generaba dudas: cómo un mismo grupo podía atacar tantas instituciones diferentes tan rápidamente. No las hackeó una por una. Compró acceso ya listo a todas a la vez, por el precio de un almuerzo.
Dos niveles de responsabilidad
Por qué credenciales de $10 pudieron abrir las puertas del Estado
Qué es un infostealer y por qué debería importarte
Un infostealer es un tipo de software malicioso (un virus, en términos simples) que se instala en una computadora o teléfono sin que el usuario lo sepa. A diferencia de otros virus que dañan archivos o piden rescate, un infostealer no hace nada visible. Solo observa. Captura las contraseñas que el usuario guarda en su navegador, las cookies de sus sesiones activas, y los datos que escribe en formularios web. Luego envía esa información a un servidor controlado por los criminales.
El usuario nunca se entera. Su computadora sigue funcionando normalmente. Pero todas sus contraseñas: las del trabajo, las del banco, las de las redes sociales y cualquier otra, ya están en manos de alguien más.
En los registros que analizamos, encontramos que las mismas computadoras infectadas tenían guardadas contraseñas para sistemas internos del gobierno junto con cuentas personales de Netflix, Roblox, Instagram y Spotify. Esto indica que se trata de dispositivos que los empleados usan tanto para trabajo como para actividades personales, una práctica que multiplica exponencialmente el riesgo de infección.
Lo que esto significa para usted
Nuestros datos están en algún sistema del gobierno de Guatemala como el resto de ciudadanos y debemos entender que la protección de esa información depende, en parte, de las prácticas de seguridad digital de los empleados que la manejan.
No se trata de culpar a los empleados individuales. Se trata de señalar que el Estado no les ha dado herramientas, capacitación ni protocolos para proteger la información que administran. Un empleado que usa la misma computadora para acceder al SICOIN y para ver Netflix no está violando una política, porque la política no existe.
Los ataques van a continuar. Los mismos criminales lo han anunciado explícitamente. Mientras las credenciales de acceso a sistemas gubernamentales se vendan por el precio de una entrada al cine, no hay parche tecnológico que resuelva el problema.
Guatemala necesita, con urgencia:
- Una política obligatoria de autenticación de dos factores para todos los sistemas gubernamentales que manejen datos de ciudadanos (Con TOTP o llaves de seguridad sería genial).
- Un programa de detección de software malicioso en todas las estaciones de trabajo del Estado. Separación estricta entre dispositivos de uso personal y profesional.
- Capacitación básica en seguridad digital para todos los empleados que acceden a sistemas críticos.
- Continuar trabajando en la mejor versión posible de la Ley de Ciberseguridad, es decir sin la manipulación de diputados. ¿Por qué un diputado ignorante de temas de ciberseguridad se tiene que meter a modificar una ley tan importante? Que dejen que las mesas técnicas (reales, no las de amigos políticos) trabajen y entreguen algo que sea aprobado.
Area para adjuntar ediciones al texto.
