Guatemala enfrenta una seguidilla de incidentes de ciberseguridad que, en menos de un mes, ha afectado a portales web de instituciones del Estado y del sector educativo, en medio de advertencias de falencias en los sistemas de seguridad de las plataformas y la falta de una ley que regule y sancione las acciones en el ciberespacio.
La Hora habló con tres ingenieros expertos en ciberseguridad, quienes teorizaron sobre quienes han estado detrás de estos ataques. Los especialistas en el tema coinciden en que no son ataques complejos, y que se tratan de ataques de seguridad locales que exponen la vulneración de las entidades públicas.
Por ello, proponen que el Estado tome con seriedad la ciberseguridad, por lo cual debe dejar de accionar «reactivamente». De esta cuenta, se deben de establecer sistemas de control, así como aprobar marcos normativos para evitar que este tipo de incidentes continúen ocurriendo.
ESTO SE SABE SOBRE LOS CIBERATAQUES
Ataques y filtraciones han impactado entidades como la Dirección General de Control de Armas y Municiones (Digecam), la Universidad de San Carlos de Guatemala, el Ministerio de Trabajo, el Ministerio de Salud, la Universidad Rafael Landívar, y presuntamente el Renap y la Superintendencia de Administración Tributaria.
La filtraciones evidencian la vulnerabilidad de sistemas digitales institucionales. El primero ocurrió en el sitio web de la Digecam, que se identificó el pasado 9 de abril, cuando se sustrajo información sensible sobre armas de fuego y los datos de los usuarios de las mismas; posteriormente se reportó el intento de infiltración en el portal del Laboratorio Nacional de Salud que, según Salud, fue contenido de inmediato.
Los más recientes iniciaron el pasado domingo 26 de abril, con la caída del portal “Tu Empleo” del Ministerio de Trabajo, de donde habrían sustraído información de personas que buscan empleo, y cargan al portal su información personal y sus hojas de vida.
El lunes 27 en horas de la tarde, en simultáneo, se confirmó que hackers vinculados a los anteriores ciberataques, se infiltraron en el sistema financiero de la Universidad de San Carlos y habrían expuesto cuentas bancarias de personal y datos de estudiantes; de igual manera ocurrió en el sitio de la Universidad Rafael Landívar, cuya entidad se pronunció de inmediato confirmando una posible filtración de datos, pero que se encontraba aún en investigación.
Ciberataque ocurre días después de la Feria Nacional del Empleo y habría hurto de datos de los DPI
De acuerdo con el servicio de inteligencia de ciberamenazas, Vecert Threat Intelligence, 2026 registra la mayor concentración de incidentes de ciberseguridad en la historia reciente del país, con al menos cuatro eventos críticos en una sola semana y más de 172 mil líneas de datos que habrían sido extraídas.
VALENZUELA: SE NECESITA ESTAR A LA ALTURA
Emerson Valenzuela, experto Chief Technology Officer (CTO) de EW Consulting, resaltó que identificar quien es el atacante en estos procesos siempre es complejo, porque involucra un proceso de investigación de cibercrimen, por lo cual, remarcó que Guatemala necesita estar a la altura de los desafíos de la gobernación del ciberespacio, ya que es parte de una red de países que se encuentran bastante expuestos a delitos del cibercrimen.
Según destacó, Guatemala enfrenta desafíos en materia de legislación, ya que la normativa sobre ciberdelitos aún no ha sido aprobada y tampoco se han incorporado plenamente las herramientas del Convenio de Budapest para la prevención, protección y persecución de este tipo de delitos. Por ello, subrayó que la ciberseguridad debe convertirse en una prioridad política, para que el Estado la asuma como un tema clave para la soberanía nacional.
Señaló que en la mayoría de los casos los ataques provienen desde el interior de las propias instituciones, ya sea por exempleados inconformes o por personas con acceso sensible a los sistemas que, al retirarse, aprovechan esa información para vulnerarlos. Aunque reconoció que existen grandes organizaciones dedicadas al ciberdelito que están vinculadas a países como Corea del Norte o China.
Alertan de posible hackeo en registros vehiculares de la SAT e información de identidad en el Renap
“También existen oportunistas que muchas veces son gente joven que encontró algún tipo de herramienta o algún tipo de vulnerabilidad, la explotaron y pueden generar un tipo de beneficio económico. Llámese los ataques de ransomware”, indicó.
Agregó que este tipo de ataques también pueden ser producidos por el factor humano, al producirse descuidos por dejar las claves en el computador, no tener sistemas actualizados o no tener la infraestructura adecuada.
Sin embargo, remarcó que este tipo de ataques, la mayoría de las veces, son elementos internos.
El experto indicó que recientemente se han presentado ataques automatizados como parte del lanzamiento de Claude Mythos, la cual mostró un nuevo capacidades increíbles para poder encontrar automáticamente vulnerabilidades y atacarlas.
“Hoy en día también hay muchos ataques que ya no es el hacker tradicional desde su computadora atacando directamente a un exploit o una ventana de oportunidad, un back door que pueda tener un sistema, sino que hay muchas veces sistemas que están atacando de manera autónoma y encontrando de manera autónoma vulnerabilidades. Eso complejiza aún más el escenario de la ciberseguridad”, indicó.
De acuerdo al experto, algunos de estos atacantes muchas veces quieren fama o ventajas económicas, pero también hay atacantes políticos como grupos anarquistas, así como internacionales, pero recalcó que suelen ser mínimos.
Sin embargo, el experto afirma que normalmente estos ataques tienen una naturaleza de venganza o son de un ex empleado oportunista.
Para el experto, aunque en algunos casos existen autoataques originados desde las propias instituciones, consideró que este no es el caso de las entidades guatemaltecas, las cuales más bien enfrentan deficiencias en infraestructura tecnológica actualizada y una limitada disponibilidad de capital humano altamente capacitado para responder a este tipo de amenazas.
MINTRAB investiga posible ataque cibernético al portal Tu Empleo tras caída del sistema
De esta cuenta, remarcó que existe una debilidad institucional transversal, por la cual el Estado debe priorizar un apolítica de ciberdefensa, así como de transformación digital completa.
“La transformación digital involucra tres elementos que son los procesos, las personas y la cultura. Finalmente, es la tecnología, si nosotros tenemos capacidades técnicas, tenemos procesos interoperacionales que son de calidad y tenemos una cultura de digitalización de ver esto como una prioridad, obviamente, vamos a estar mejor parados en en el caso de que existan este tipo de ataque, ya sea por la naturaleza que sea”, indicó.
Por ello, remarcó que la capacidad del Estado se debe fortalecer a nivel horizontal para hacer frente a este tipo de amenaza.
Tras hackeo en Mintrab, Arévalo dice que ya toman acciones para reforzar los portales web estatales
ATAQUE LOCAL
Un experto en seguridad que prefirió no ser citado resaltó que el 90% de los ataques vienen desde adentro, ya sea por alguien que conozca los sistemas porque trabaja o laboró en un puesto clave, con lo cual tiene conocimiento de la infraestructura de la entidad.
Según explicó, se trata de grupos locales “inexpertos” que se hacen llamar “hackers”, ya que los ataques de Rusia o China pasan desapercibidos y no estarían interesados en datos de la Digecam de Guatemala.
También, resaltó que los hackers profesionales dan a conocer sus acciones en un día específico, pero estuvieron atacando desde tiempo atrás.
El experto resaltó que la acción también podría ser parte de un ataque por parte de las propias instituciones para justificar la compra o contracción de un sistema “carísimos”.
De acuerdo al experto en ciberseguridad, este tipo de ataques se pueden evitar con un Security Operation Center (SOC) externo, el cual monitorea las brechas de seguridad constantemente.
El SOC tendría que ser contratado a una empresa extranjera, según detalló, para que esté monitoreando constantemente los ataques y puedan contrarrestarlos para fortalecer el sistema interno.
Al mismo tiempo, resaltó que actualmente existe una gran cantidad de cursos, información e incluso herramientas de inteligencia artificial que facilitan investigar cómo vulnerar sistemas.
Explicó que, mediante escaneos a una entidad, los atacantes colocan bots y comienzan a “probar por todos lados” hasta encontrar una falla en algún puerto, red o incluso en el equipo de un usuario, lo que finalmente les permite ingresar.
Una vez hayan ingresado buscan la base de datos de las entidad gubernamentales, ya que esta información es valiosa, según el experto, quien recalcó que los atacantes son locales porque están buscando distintas entidades, y como el tema no genera relevancia, vulneran el sistema de las instituciones.
A su vez, sostuvo que hay temas que coinciden, ya que el Instituto Guatemalteco de Seguridad Social (IGSS) buscó comprar un sistema informático, que finalmente compró el Renap, con lo cual se cambiará todo el sistema del Registro.
“Yo supongo, que en algún momento, para poder hacer un estudio, una cotización de esa magnitud para cambiar todos los sistemas y todo esto tuvieron que haber dado algún tipo de información a alguien”, indicó.
El experto añadió que pueda que hay una fuga de información o tienen muchas puertas ilegales para que la gente pueda vender la información o los accesos, por lo cual cualquiera con un poco de conocimiento puede ingresar e ir “un poquito más allá”.
Recalcó que se trata de un tema de malas prácticas, por lo cual enfatizó en la necesidad de una entidad internacional que no sea estatal y que tenga todas las certificaciones para que evalúe a las entidades con una auditoría y poder implementar todos los medios de seguridad.
De acuerdo con el experto, al realizar una auditoría en las entidades que fueron vulneradas es posible identificar malas prácticas, accesos no autorizados o errores involuntarios que facilitaron el ataque, lo que permite detectar de forma consciente los problemas y corregir las fallas de seguridad.
AGUILAR: FRAGILIDAD
Erick Israel Aguilar Paau, ingeniero de automatización en Sistemas Aplicados (Sisap), remarcó que estos ataques no son casualidad ni hechos aislados, sino que son, en buena medida, una consecuencia previsible de años de rezago institucional en seguridad digital.
Sostuvo que cuando una API, es decir, una “puerta” digital que permite que sistemas y aplicaciones se comuniquen y compartan datos, gubernamental opera sin controles de acceso, cuando servidores siguen usando protocolos obsoletos o cuando sistemas universitarios con información financiera quedan expuestos con facilidad, el problema central no es la “sofisticación” del atacante, sino la fragilidad de la infraestructura de la infraestructura y la ausencia de controles básicos de seguridad.
“Lo más grave de esta oleada es el tipo de información comprometida: registros de armas, nóminas con cuentas bancarias, fotografías biométricas, historiales laborales, e información tributaria y de identidad civil”, mencionó.
Según expresó, no se trata de datos administrativos menores, sino de insumos que pueden facilitar la suplantación de identidad, extorsión y fraude financiero, y en el caso de Digecam, incluso elevar el riesgo para la seguridad física de las personas.
A criterio de Aguilar Paau, este tipo de acciones envían una señal peligrosa al ecosistema criminal, el cual indica que Guatemala está resultando como un blanco relativamente fácil y rentable.
Destacó que investigaciones identifican a los atacantes con seudónimos que operan coordinados para atacar otras entidades de la región. “La naturaleza de sus publicaciones en foros de cibercrimen, el idioma utilizado y los patrones de ataque sugieren actores de habla hispana, posiblemente latinoamericanos, aunque la atribución definitiva es siempre compleja”, indicó.
Al igual que los demás expertos, Aguilar Paau coincidió en que estos perfiles no corresponde a ciberataques de Estado ni operaciones de espionaje sofisticado, sino que se trata de un patrón de hacktivistas con motivación de notoriedad, o de actores criminales que buscan vender o monetizar información.
“Seguramente no necesitaron herramientas avanzadas porque las vulnerabilidades eran demasiado básicas”, añadió el experto, quien remarcó que actores sofisticados están observando este tipo de ataques.
Por ello, recalcó que, si ataques relativamente simples han comprometido bases de datos de millones de guatemaltecos, el incentivo para intentar ataques más serios contra otras entidades es evidente.
Para atender este tipo de acciones, Aguilar Paau propone atender el tema desde tres niveles de forma simultánea, no secuencial. Siendo los siguientes:
- A nivel técnico e inmediato, las instituciones deben realizar auditorías urgentes de sus sistemas para identificar y cerrar vulnerabilidades: actualizar protocolos de comunicación, implementar controles de acceso en APIs, activar autenticación multifactor y segmentar redes para que un ataque a un sistema no comprometa a toda la infraestructura. Esto no requiere grandes presupuestos, requiere voluntad y criterio técnico.
2. A nivel institucional y de gobernanza, Guatemala necesita con urgencia un CSIRT nacional —un equipo especializado de respuesta a incidentes cibernéticos— con mandato claro, presupuesto propio y capacidad de actuar de forma preventiva, no solo reactiva.
También es indispensable aprobar una Ley de Ciberseguridad moderna y una Ley de Protección de Datos Personales. Pero la ley debe de tener bases sólidas como ISO 27001, y no deben, en la medida de lo posible, dar lugar a tergiversaciones, la ley debe de ser formulada por expertos en seguridad informática y en derecho penal. Y claro, así como la informática evoluciona constantemente, la ley de ciberseguridad debe de ser también revisada y actualizada constantemente, digamos cada año o dos años.
3. A nivel cultural y de formación, el eslabón más débil en cualquier sistema de seguridad es el ser humano. Se necesita capacitación continua para funcionarios públicos, protocolos obligatorios de respuesta ante incidentes y una cultura institucional donde la ciberseguridad sea vista como inversión estratégica, no como gasto prescindible.
Por último, indicó que Guatemala lleva años respondiendo a los ataques de forma reactiva, ya que se parchea lo que explotó, se hace la denuncia y se espera el siguiente incidente, por lo cual, recalcó que mientras no exista estrategia nacional proactiva, con recursos, coordinación y marco legal actualizado, el país seguirá siendo un blanco fácil, y el costo lo seguirán pagando los ciudadanos con sus datos.
