Vulnerabilidad en el RGAE expone datos sensibles de proveedores del Estado
El grupo de cibercriminales dice haber exfiltrado 235 mil PDFs de documentos (324.5GB de data).
El cibercriminal GordonFreeman, ahora ascendido a VIP en el foro donde opera, dice haber extraído 130 mil registros y 235 mil documentos del Registro General de Adquisiciones del Estado. Vector Crítico verificó la existencia del sistema y encontró que las credenciales del Ministerio de Finanzas circulaban en mercados clandestinos desde hace años.
Lo que aseguran haber comprometido
El 14 de mayo de 2026 apareció una nueva publicación firmada por GordonFreeman. El texto, en inglés y dirigido al mismo público que ya había visto los robos contra DIGECAM, MINTRAB y los reclamos sobre RENAP y SAT, es directo:
"En este asedio digital contra Guatemala, continúo demostrando con evidencia que su infraestructura digital es una broma".
El blanco esta vez es el Sistema RGAE (Registro General de Adquisiciones del Estado), dependencia del Ministerio de Finanzas Públicas (MINFIN) que mantiene el padrón único de personas individuales y jurídicas habilitadas para contratar con el Estado. Toda empresa, profesional o cooperativa que aspira a un contrato público en Guatemala pasa por ahí.
El actor afirma haber extraído:
- 130 mil registros de inscripción correspondientes al periodo 2020 a 2026, con campos que incluyen identificador interno, NIT, CUI, nombre, dirección, teléfono, correo y tipo de organización (individual o jurídica).
- 235 mil documentos PDF que en conjunto pesan 324.5 GB, con contenido descrito como títulos universitarios, facturas SAT, escrituras de constitución, balances, certificaciones bancarias, contratos administrativos, declaraciones juradas, solvencias fiscales, patentes de comercio y DPIs escaneados.

Como prueba publicó dos archivos: un paquete con 200 PDFs y una hoja CSV con cinco mil filas. Vector Crítico revisó ambas muestras sin redistribuirlas; los registros son consistentes con la estructura esperada de un padrón nacional de proveedores y los DPIs siguen el patrón de 13 dígitos del Registro Nacional de las Personas.
Lo confirmado por Vector Crítico
El sistema existe y estaba activo. El dominio sistema.rgae.gob.gt resuelve a infraestructura CDN profesional, con certificado TLS vigente emitido el 12 de abril de 2026. Vector Crítico verificó que la plataforma operaba con normalidad antes del anuncio. Tras la publicación del actor, las respuestas en la raíz cambiaron a desafíos automatizados de Cloudflare: una reacción consistente con un endurecimiento de emergencia.

MINFIN | 838 días entre el aviso y la brecha
El 28 de enero de 2024 un reportero advirtió en público al Ministro de Finanzas Públicas que había credenciales de los sistemas del Ministerio a la venta. Nombró los subdominios. Adjuntó capturas. No hubo respuesta. El 14 de mayo de 2026 los mismos sistemas aparecieron en una brecha pública. Esta es la secuencia documentada de lo que ocurrió en medio.
28 de enero de 2024 · el aviso al Ministro
Dos años y tres meses antes del anuncio público de la brecha, este reportero publicó en X un mensaje dirigido al entonces Ministro de Finanzas Públicas, Jonathan Menkos. Adjuntó capturas con un mapa de subdominios y una tabla con muestras de credenciales en venta. El mensaje nombraba sistemas específicos, etiquetaba al funcionario y advertía expresamente que el problema requería una auditoría.
Oct 2025 – Nov 2025 · el mismo SSO en venta
SOCRadar empieza a catalogar credenciales de sso.minfin.gob.gt (el mismo subdominio nombrado en el tweet de 2024) en venta a 10 USD el paquete. Tres paquetes en seis semanas, desde tres proveedores de internet distintos. Cero respuesta institucional.
sso.minfin.gob.gt mismo subdominio del tweet 2024
bl####ow rango Diamond.
d0####ey Platinum. Mismo modus operandi que MINTRAB y RENAP después.
Mar 2026 – Abr 2026 · de SSO a sistemas internos DENSIDAD CRECIENTE
El patrón se acelera. Aparecen credenciales para sistemas internos de contabilidad y gestión, no solo el portal externo. El 23 de abril, un único paquete contiene credenciales simultáneas para cuatro sistemas críticos del Ministerio: una incluye sicoin, el otro subdominio que el tweet de 2024 había nombrado por su URL.
sso.minfin.gob.gt. Vendor Nu####ez Diamond.
sicoin mismo subdominio del tweet 2024, siges, sicoindes y soporte.minfin. Privilegios cruzados sobre los pilares contables del Estado, en manos de un solo empleado, vendido por 10 USD.
Abr 2026 · cae MINTRAB, luego RENAP+SAT
Tres días después del paquete de cuatro subdominios MINFIN, el mismo actor anuncia la brecha al Ministerio de Trabajo usando la misma técnica. Dos días después, RENAP y SAT. La infraestructura del Estado se desarma públicamente mientras las credenciales del Ministerio que aloja el sistema de contratación pública siguen en venta.
14 mayo 2026 · RGAE/MINFIN EVENTO PÚBLICO
GordonFreeman, ahora rango V.I.P en darkforums.su, anuncia en solitario la brecha del Sistema RGAE del Ministerio de Finanzas Públicas: 130 mil registros de proveedores del Estado y 235 mil documentos por 324.5 GB. Quinta institución golpeada en 35 días. 838 días después del aviso original.
La plataforma de inteligencia de amenazas SOCRadar, a la que Vector Crítico tuvo acceso, registra para el dominio minfin.gob.gt un total de 85 empleados comprometidos y 20,500 usuarios con credenciales expuestas. La distribución se concentra de manera abrumadora en el portal de autenticación único (sso.minfin.gob.gt), con más de 10 mil pares usuario y contraseña filtrados, seguido por sistemas de gestión interna, nómina y registros de bienes del Estado.
El MINFIN llevaba semanas siendo saqueado en silencio
La plataforma SOCRadar registra 85 empleados del Ministerio de Finanzas con credenciales filtradas en mercados clandestinos y más de 20 mil cuentas de usuario expuestas. La concentración está en el portal de inicio de sesión único, donde se autentica el acceso a todos los sistemas internos.
Dónde se concentra la exposición
El antes del anuncio: cinco brechas confirmadas en abril y mayo
| Fecha brecha | Usuario afectado | Fortaleza contraseña | Días previos al anuncio |
|---|---|---|---|
| 04 ABR 2026 | dcs****[email protected] | Excelente | 40 días |
| 12 ABR 2026 | svi****[email protected] | Fuerte | 32 días |
| 20 ABR 2026 | svi****[email protected] | Aceptable | 24 días |
| 20 ABR 2026 | pos****[email protected] | Débil | 24 días |
| 05 MAY 2026 | bgu****[email protected] | Excelente | 9 días |
Las brechas de datos identificadas confirma cinco episodios con fechas precisas entre el 4 de abril y el 5 de mayo de 2026, todos previos al anuncio público del 14 de mayo. La pestaña de logs de stealer en venta supera los cien paquetes, con fechas que se extienden hasta el 13 de mayo: un día antes del aviso. Los vendedores recurrentes (alias parcialmente redactados como Nu####ez y d0####ey) y los proveedores de servicios de internet que aparecen como punto de origen de las infecciones son los mismos identificados previamente en los casos de MINTRAB, MINEDUC y RENAP.
No hay sorpresa técnica. La superficie de ataque del MINFIN es amplia: Vector Crítico mapeó más de 80 subdominios activos. La mayoría están protegidos por una CDN comercial robusta. Pero al menos seis ambientes de QA (control de calidad o pruebas) están expuestos al internet público, entre ellos el de autenticación única y el de gestión de recursos humanos. Tener ambientes de pruebas accesibles desde el exterior es una mala práctica conocida; cuando esos ambientes replican lógica de producción, permiten al atacante estudiar el comportamiento de los sistemas reales sin tocar producción hasta el momento del golpe.
Además, varios servicios críticos del MINFIN están alojados fuera del paraguas de la CDN principal, en infraestructura comercial ubicada en el extranjero, lo que crea perímetros desiguales dentro de una misma institución.
Mismo guion, distintos ministerios
Las brechas confirmadas del MINTRAB y la afirmada del RGAE coinciden en los siete puntos que definen la firma técnica del actor. No es coincidencia: es metodología.
MINTRAB
RGAE · MINFIN
Cómo se rompe sin tocar el firewall
Lo que GordonFreeman describe es la misma técnica con la que se ejecutó la brecha del Ministerio de Trabajo el 26 de abril: una interfaz de programación (API) expuesta sin controles de acceso adecuados, capaz de devolver registros sin vslidar o verificar quién los pide. El actor lo dice sin ambigüedad: extrajo los datos "simulando tráfico real de personas comunes usando el sitio web, para evitar alertar al sistema", pese a que la institución tiene Cloudflare y un WAF.
Esta frase es clave. Resume el problema estructural que Vector Crítico ha venido documentando desde abril: los muros de las instituciones guatemaltecas son altos en la puerta principal y bajos en las puertas laterales. Una CDN comercial protege contra denegación de servicio y bots agresivos, pero no decide quién debería poder leer cada fila de la base de datos.
Lo paradójico es que muchos sitios de gobierno no se pueden visitar desde el extranjero por políticas agresivas contra DDoS, cuando estadísticamente e históricamente su problema es otro. En otras palabras protejen lo que nadie está atacando y dejan sin protección lo que se ha venido señalando como peligro crítico. Algo totalmente absurdo.
El patrón de credenciales infostealer también se repite. En el caso MINTRAB, las credenciales del personal aparecían en mercados clandestinos desde al menos junio de 2025. En el caso MINFIN, los registros de SOCRadar muestran un pico de exposición en torno a diciembre de 2024 a enero de 2025, con actividad continua durante 2025 y 2026 hasta horas antes del anuncio. El vector raíz es el mismo que confirmó oficialmente la SIT el 30 de abril: dispositivos personales o laborales infectados con malware que copia las credenciales del navegador y las vende al mejor postor.
De operador solitario a líder de grupo: la trayectoria de GordonFreeman
Cinco actos en 35 días. El actor que reclama todos los ataques contra el Estado guatemalteco desde abril empezó solo, formó grupo, y ahora vuelve a operar en solitario con estatus VIP.
2026
2026
2026
2026
Lo que no está confirmado
Vector Crítico no ha verificado de manera independiente el volumen exacto afirmado por el actor. La muestra publicada tiene cinco mil filas, no las 130 mil declaradas, y los 200 PDFs no permiten validar las 235 mil unidades del reclamo completo. El sitio oficial del RGAE, al cierre de esta nota, seguía operativo: una recuperación que el MINFIN tendría que explicar, considerando que MINTRAB pasó a estado caído tras el robo y aún hoy presenta servicios degradados.
Vector Crítico contactó al Gobierno antes de publicar y no obtuvo respuesta al cierre de esta nota.
Si se necesita editar o agregar algo lo haremos en este espacio.
Adjunto respuesta del Ministerio de Finanzas en redes sociales. Niegan el ataque.
