Vulnerabilidad en el RGAE expone datos sensibles de proveedores del Estado

El grupo de cibercriminales dice haber exfiltrado 235 mil PDFs de documentos (324.5GB de data).

Vulnerabilidad en el RGAE expone datos sensibles de proveedores del Estado

El cibercriminal GordonFreeman, ahora ascendido a VIP en el foro donde opera, dice haber extraído 130 mil registros y 235 mil documentos del Registro General de Adquisiciones del Estado. Vector Crítico verificó la existencia del sistema y encontró que las credenciales del Ministerio de Finanzas circulaban en mercados clandestinos desde hace años.

Lo que aseguran haber comprometido

El 14 de mayo de 2026 apareció una nueva publicación firmada por GordonFreeman. El texto, en inglés y dirigido al mismo público que ya había visto los robos contra DIGECAM, MINTRAB y los reclamos sobre RENAP y SAT, es directo:

"En este asedio digital contra Guatemala, continúo demostrando con evidencia que su infraestructura digital es una broma".

El blanco esta vez es el Sistema RGAE (Registro General de Adquisiciones del Estado), dependencia del Ministerio de Finanzas Públicas (MINFIN) que mantiene el padrón único de personas individuales y jurídicas habilitadas para contratar con el Estado. Toda empresa, profesional o cooperativa que aspira a un contrato público en Guatemala pasa por ahí.

El actor afirma haber extraído:

  • 130 mil registros de inscripción correspondientes al periodo 2020 a 2026, con campos que incluyen identificador interno, NIT, CUI, nombre, dirección, teléfono, correo y tipo de organización (individual o jurídica).
  • 235 mil documentos PDF que en conjunto pesan 324.5 GB, con contenido descrito como títulos universitarios, facturas SAT, escrituras de constitución, balances, certificaciones bancarias, contratos administrativos, declaraciones juradas, solvencias fiscales, patentes de comercio y DPIs escaneados.

Como prueba publicó dos archivos: un paquete con 200 PDFs y una hoja CSV con cinco mil filas. Vector Crítico revisó ambas muestras sin redistribuirlas; los registros son consistentes con la estructura esperada de un padrón nacional de proveedores y los DPIs siguen el patrón de 13 dígitos del Registro Nacional de las Personas.

Lo confirmado por Vector Crítico

El sistema existe y estaba activo. El dominio sistema.rgae.gob.gt resuelve a infraestructura CDN profesional, con certificado TLS vigente emitido el 12 de abril de 2026. Vector Crítico verificó que la plataforma operaba con normalidad antes del anuncio. Tras la publicación del actor, las respuestas en la raíz cambiaron a desafíos automatizados de Cloudflare: una reacción consistente con un endurecimiento de emergencia.

MINFIN: 838 días entre el aviso y la brecha

MINFIN | 838 días entre el aviso y la brecha

El 28 de enero de 2024 un reportero advirtió en público al Ministro de Finanzas Públicas que había credenciales de los sistemas del Ministerio a la venta. Nombró los subdominios. Adjuntó capturas. No hubo respuesta. El 14 de mayo de 2026 los mismos sistemas aparecieron en una brecha pública. Esta es la secuencia documentada de lo que ocurrió en medio.

838
días entre el aviso y la brecha
8
paquetes documentados en mercado
10 USD
precio por paquete de credenciales
Advertencia pública
Goteo silencioso
Escalada documentada
Brecha anunciada
FASE 1 · advertencia pública

28 de enero de 2024 · el aviso al Ministro

Dos años y tres meses antes del anuncio público de la brecha, este reportero publicó en X un mensaje dirigido al entonces Ministro de Finanzas Públicas, Jonathan Menkos. Adjuntó capturas con un mapa de subdominios y una tabla con muestras de credenciales en venta. El mensaje nombraba sistemas específicos, etiquetaba al funcionario y advertía expresamente que el problema requería una auditoría.

@luisassardo 28 ene 2024, 19:51 · 2,155 vistas
Todo esos son subdominios del minfin. Ellos tienen una infraestructura con varias vulnerabilidades fáciles de explotar. Una muestra de ello es que hay varios lotes de credenciales y data a la venta. Lo razonable es que en horas/días pudieran levantar un backup en otra instancia aunque usaran otro dominio. Parece ineptitud y negligencia, pero solo se sabrá luego de una auditoría.
Subdominios mencionados explícitamente en la imagen adjunta al tweet:
sso.minfin.gob.gt sicoin.minfin.gob.gt
resultado No hay registro público de respuesta institucional. Sin auditoría conocida. Sin cambio visible en la arquitectura de los sistemas mencionados. DÍA 0
FASE 2 · goteo silencioso

Oct 2025 – Nov 2025 · el mismo SSO en venta

SOCRadar empieza a catalogar credenciales de sso.minfin.gob.gt (el mismo subdominio nombrado en el tweet de 2024) en venta a 10 USD el paquete. Tres paquetes en seis semanas, desde tres proveedores de internet distintos. Cero respuesta institucional.

03 oct 2025 Primer paquete con credenciales sso.minfin.gob.gt mismo subdominio del tweet 2024 Tigo · 614 días después del aviso
12 oct 2025 Segundo paquete. Infostealer rhamadanthys. Vendor bl####ow rango Diamond. Infinitum · Quetzaltenango
04 nov 2025 Tercer paquete. Vendor d0####ey Platinum. Mismo modus operandi que MINTRAB y RENAP después. Redes Híbridas
FASE 3 · escalada documentada

Mar 2026 – Abr 2026 · de SSO a sistemas internos DENSIDAD CRECIENTE

El patrón se acelera. Aparecen credenciales para sistemas internos de contabilidad y gestión, no solo el portal externo. El 23 de abril, un único paquete contiene credenciales simultáneas para cuatro sistemas críticos del Ministerio: una incluye sicoin, el otro subdominio que el tweet de 2024 había nombrado por su URL.

03 mar 2026 Cuarto paquete sso.minfin.gob.gt. Vendor Nu####ez Diamond. Comcel
04 mar 2026 Quinto paquete en 24 horas. Mismo subdominio, diferente vendor. Cablecolor
05 mar 2026 Sexto paquete. Empleado conectado desde infraestructura panameña. Ufinet Panamá
15 abr 2026 Paquete incluye sistemas auxiliares y referencias al MINFIN. Stealer Lumma. Servicios Innovadores
23 abr 2026 Un solo paquete, cuatro subdominios MINFIN simultáneos: sicoin mismo subdominio del tweet 2024, siges, sicoindes y soporte.minfin. Privilegios cruzados sobre los pilares contables del Estado, en manos de un solo empleado, vendido por 10 USD. Tigo GT · acreed
FASE 4 · ataque en cadena al Estado

Abr 2026 · cae MINTRAB, luego RENAP+SAT

Tres días después del paquete de cuatro subdominios MINFIN, el mismo actor anuncia la brecha al Ministerio de Trabajo usando la misma técnica. Dos días después, RENAP y SAT. La infraestructura del Estado se desarma públicamente mientras las credenciales del Ministerio que aloja el sistema de contratación pública siguen en venta.

26 abr 2026 GordonFreeman anuncia brecha MINTRAB en darkforums.su. Equipo L4TAMFUCKERS (con Izanagi, cantpwn). Caso 3
28 abr 2026 Mismo equipo anuncia RENAP y SAT. Se suma YoSoyGroot. Casos 4 y 5
FASE 5 · brecha anunciada

14 mayo 2026 · RGAE/MINFIN EVENTO PÚBLICO

GordonFreeman, ahora rango V.I.P en darkforums.su, anuncia en solitario la brecha del Sistema RGAE del Ministerio de Finanzas Públicas: 130 mil registros de proveedores del Estado y 235 mil documentos por 324.5 GB. Quinta institución golpeada en 35 días. 838 días después del aviso original.

14 may 2026 17:24 UTC · Post público en darkforums.su anunciando brecha del Sistema RGAE. Vector IDOR/BOLA en APIs sin autenticación. Reclamo: 130 mil registros, 235 mil PDFs, 324.5 GB. Muestra publicada (PoC): 5 mil filas y 200 documentos. DÍA 838
Vector Crítico · vectorcritico.com Datos: SOCRadar + análisis propio · Mayo 2026

La plataforma de inteligencia de amenazas SOCRadar, a la que Vector Crítico tuvo acceso, registra para el dominio minfin.gob.gt un total de 85 empleados comprometidos y 20,500 usuarios con credenciales expuestas. La distribución se concentra de manera abrumadora en el portal de autenticación único (sso.minfin.gob.gt), con más de 10 mil pares usuario y contraseña filtrados, seguido por sistemas de gestión interna, nómina y registros de bienes del Estado.

MINFIN: la brecha que ya ocurrió antes del anuncio

El MINFIN llevaba semanas siendo saqueado en silencio

La plataforma SOCRadar registra 85 empleados del Ministerio de Finanzas con credenciales filtradas en mercados clandestinos y más de 20 mil cuentas de usuario expuestas. La concentración está en el portal de inicio de sesión único, donde se autentica el acceso a todos los sistemas internos.

85
Empleados comprometidos
credenciales corporativas en venta
20.5K
Usuarios comprometidos
cuentas internas + ciudadanos
100+
Paquetes en venta
stealer logs activos en marketplace

Dónde se concentra la exposición

SSO · inicio de sesiónportal único de autenticación
10,300
SIGESsistema de gestión interna
2,400
SICOIN GLcontabilidad gobiernos locales
1,600
SICOINcontabilidad integrada del Estado
1,500
SICOIN DEScontabilidad descentralizada
1,000
Servicios GLservicios gobiernos locales
893
DICABI en línearegistro de bienes inmuebles
609
Nóminagestión de planillas
598
Lectura. Más de la mitad de las credenciales expuestas corresponden al portal de inicio de sesión único. Comprometer una credencial ahí abre la puerta a varios sistemas internos sin volver a autenticarse. Es el equivalente digital de una llave maestra del edificio.

El antes del anuncio: cinco brechas confirmadas en abril y mayo

Fecha brecha Usuario afectado Fortaleza contraseña Días previos al anuncio
04 ABR 2026 dcs****[email protected] Excelente 40 días
12 ABR 2026 svi****[email protected] Fuerte 32 días
20 ABR 2026 svi****[email protected] Aceptable 24 días
20 ABR 2026 pos****[email protected] Débil 24 días
05 MAY 2026 bgu****[email protected] Excelente 9 días
El detalle decisivo. Tres de las cinco contraseñas comprometidas son fuertes o excelentes. La fortaleza de la contraseña es irrelevante cuando el malware infostealer la copia directamente del navegador del empleado: el problema no es la calidad de la contraseña, es la integridad del dispositivo desde el que se escribe. La SIT confirmó este vector como origen estructural el 30 de abril.
Fuente: SOCRadar Cyber Threat Intelligence Platform · datos consultados el 14 de mayo de 2026 · identificadores redactados por Vector Crítico

Las brechas de datos identificadas confirma cinco episodios con fechas precisas entre el 4 de abril y el 5 de mayo de 2026, todos previos al anuncio público del 14 de mayo. La pestaña de logs de stealer en venta supera los cien paquetes, con fechas que se extienden hasta el 13 de mayo: un día antes del aviso. Los vendedores recurrentes (alias parcialmente redactados como Nu####ez y d0####ey) y los proveedores de servicios de internet que aparecen como punto de origen de las infecciones son los mismos identificados previamente en los casos de MINTRAB, MINEDUC y RENAP.

No hay sorpresa técnica. La superficie de ataque del MINFIN es amplia: Vector Crítico mapeó más de 80 subdominios activos. La mayoría están protegidos por una CDN comercial robusta. Pero al menos seis ambientes de QA (control de calidad o pruebas) están expuestos al internet público, entre ellos el de autenticación única y el de gestión de recursos humanos. Tener ambientes de pruebas accesibles desde el exterior es una mala práctica conocida; cuando esos ambientes replican lógica de producción, permiten al atacante estudiar el comportamiento de los sistemas reales sin tocar producción hasta el momento del golpe.

Además, varios servicios críticos del MINFIN están alojados fuera del paraguas de la CDN principal, en infraestructura comercial ubicada en el extranjero, lo que crea perímetros desiguales dentro de una misma institución.

El patrón se repite: MINTRAB y RGAE comparten manual

Mismo guion, distintos ministerios

Las brechas confirmadas del MINTRAB y la afirmada del RGAE coinciden en los siete puntos que definen la firma técnica del actor. No es coincidencia: es metodología.

Coincidencia técnica
7 de 7 puntos del manual operativo coinciden entre ambas brechas

MINTRAB

26 ABR 2026 · CONFIRMADO POR EL MINISTERIO
Sistema afectado
Portal Tu Empleo
Actor
GordonFreeman + Izanagi + cantpwn (L4TAMFUCKERS)
Vector declarado
API sin controles de acceso
Método extracción
Simulación de tráfico humano
Defensa visible
CDN comercial + WAF degradado (de Imperva a balanceador)
Volumen
200,000+ registros, 40 GB de CVs
Vector raíz
Infostealer en empleados (confirmado por SIT)

RGAE · MINFIN

14 MAY 2026 · EN VERIFICACIÓN
Sistema afectado
Registro de proveedores del Estado
Actor
GordonFreeman (solo, ahora VIP)
Vector declarado
API sin controles de acceso (IDOR/BOLA)
Método extracción
Simulación de tráfico humano
Defensa visible
CDN comercial + WAF (intactos en el perímetro)
Volumen afirmado
130,000 registros + 235,000 PDFs (324.5 GB)
Vector raíz
Infostealer (85 empleados, 20.5K credenciales en SOCRadar)

Cómo se rompe sin tocar el firewall

Capa 1 · perímetro
CDN + WAF comercial
Filtra ataques conocidos (inyecciones, payloads). Protege el sitio principal y bloquea bots groseros. Sigue funcionando durante el ataque.
Capa 2 · aplicación
API interna sin autorización
Endpoint que devuelve datos a quien sepa pedirlos, sin verificar quién es el solicitante. Esta capa decide el "quién puede ver qué", y aquí está la falla.
técnica del atacante
Solicitudes válidas, sostenidas, espaciadas
Cada solicitud individual luce como un usuario legítimo navegando el sistema. La CDN no tiene cómo distinguirla de un ciudadano real.
consecuencia
Extracción completa sin alertas
El sistema continúa operando normalmente. La institución no se entera hasta que el actor publica los datos en un foro.
Capa intacta Capa rota El firewall perimetral no decide quién puede leer cada fila. Esa decisión la toma la lógica de la aplicación.
Fuente: análisis comparativo Vector Crítico · ambas brechas atribuidas al mismo actor.

Lo que GordonFreeman describe es la misma técnica con la que se ejecutó la brecha del Ministerio de Trabajo el 26 de abril: una interfaz de programación (API) expuesta sin controles de acceso adecuados, capaz de devolver registros sin vslidar o verificar quién los pide. El actor lo dice sin ambigüedad: extrajo los datos "simulando tráfico real de personas comunes usando el sitio web, para evitar alertar al sistema", pese a que la institución tiene Cloudflare y un WAF.

Esta frase es clave. Resume el problema estructural que Vector Crítico ha venido documentando desde abril: los muros de las instituciones guatemaltecas son altos en la puerta principal y bajos en las puertas laterales. Una CDN comercial protege contra denegación de servicio y bots agresivos, pero no decide quién debería poder leer cada fila de la base de datos.

Lo paradójico es que muchos sitios de gobierno no se pueden visitar desde el extranjero por políticas agresivas contra DDoS, cuando estadísticamente e históricamente su problema es otro. En otras palabras protejen lo que nadie está atacando y dejan sin protección lo que se ha venido señalando como peligro crítico. Algo totalmente absurdo.

El patrón de credenciales infostealer también se repite. En el caso MINTRAB, las credenciales del personal aparecían en mercados clandestinos desde al menos junio de 2025. En el caso MINFIN, los registros de SOCRadar muestran un pico de exposición en torno a diciembre de 2024 a enero de 2025, con actividad continua durante 2025 y 2026 hasta horas antes del anuncio. El vector raíz es el mismo que confirmó oficialmente la SIT el 30 de abril: dispositivos personales o laborales infectados con malware que copia las credenciales del navegador y las vende al mejor postor.

Evolución del actor: GordonFreeman

De operador solitario a líder de grupo: la trayectoria de GordonFreeman

Cinco actos en 35 días. El actor que reclama todos los ataques contra el Estado guatemalteco desde abril empezó solo, formó grupo, y ahora vuelve a operar en solitario con estatus VIP.

10 ABR
2026
Confirmado Solo
DIGECAM
digecam.mil.gt · Dirección General de Control de Armas y Municiones
21,700 usuarios, 62,000 armas, 52,500 certificados. Confirmado por el MINDEF. Sitio caído desde el ataque.
62
posts
32
threads
26
reputación
$1.5K
precio dark web
26 ABR
2026
Confirmado L4TAMFUCKERS
MINTRAB
tuempleo.mintrabajo.gob.gt · Ministerio de Trabajo
200,000+ registros, 40 GB de CVs. Confirmado por el MINTRAB. La presidencia intentó atribuirlo a un ataque de 2023; Vector Crítico refutó la versión con cinco pruebas técnicas.
3
actores
200K+
registros
40 GB
CVs
API
vector
28 ABR
2026
En disputa L4TAMFUCKERS + YoSoyGroot
RENAP + SAT
renap.gob.gt · sat.gob.gt
Afirmación de 18M y 5.6M registros, demanda de 2 BTC. Evidencia parcial: 25 certificados RENAP vía portal público y PDFs SAT generados por sistema de reportes. Sin dump confirmado.
4
actores
23.6M
afirmados
2 BTC
extorsión
PoC
parcial
14 MAY
2026
En verificación VIP Solo otra vez
RGAE · MINFIN
sistema.rgae.gob.gt · Registro General de Adquisiciones del Estado
130 mil registros de proveedores del Estado + 235 mil PDFs (324.5 GB). Mismo vector que MINTRAB: API expuesta sin controles de acceso, extracción mediante simulación de tráfico humano. SOCRadar confirma 20.5K credenciales del MINFIN expuestas previamente.
68
posts
37
threads
41
reputación
324 GB
afirmados
Operación solo Acto individual. DIGECAM (Reg. ene 2026, 26 rep) y RGAE (VIP, 41 rep).
Grupo L4TAMFUCKERS Formado entre el 10 y el 26 de abril. Integrantes: GordonFreeman (líder), Izanagi, cantpwn, y para RENAP/SAT se sumó YoSoyGroot.
Promoción a VIP Ocurrió entre el 28 de abril y el 14 de mayo. En estos foros suele requerir aportes verificados que sostengan la reputación del usuario.
Patrón estructural Tres de los cinco actos coinciden en vector: API auxiliar sin controles, extracción tipo low-and-slow, paraguas CDN intacto pero sin protección a nivel de aplicación.
Fuente: foros de venta de filtraciones, MINDEF, MINTRAB, SOCRadar, OSINT propio Vector Crítico

Lo que no está confirmado

Vector Crítico no ha verificado de manera independiente el volumen exacto afirmado por el actor. La muestra publicada tiene cinco mil filas, no las 130 mil declaradas, y los 200 PDFs no permiten validar las 235 mil unidades del reclamo completo. El sitio oficial del RGAE, al cierre de esta nota, seguía operativo: una recuperación que el MINFIN tendría que explicar, considerando que MINTRAB pasó a estado caído tras el robo y aún hoy presenta servicios degradados.

Vector Crítico contactó al Gobierno antes de publicar y no obtuvo respuesta al cierre de esta nota.


Si se necesita editar o agregar algo lo haremos en este espacio.

Adjunto respuesta del Ministerio de Finanzas en redes sociales. Niegan el ataque.