El Ministerio de Finanzas Públicas (Minfin) fue blanco de un nuevo ciberataque atribuido a los actores “LAT4MFUCK3RS.” y “Gordon Freeman”, 16 días después de que la Superintendencia de Administración Tributaria (SAT) y el Registro Nacional de las Personas (Renap) negaran haber sido vulnerados, pese a alertas difundidas por una cuenta de análisis de vulnerabilidades.

Lla cuenta especializada en ciberseguridad VECERT Analyzer adviertió sobre un presunto ataque informático contra el Registro General de Adquisiciones del Estado (RGAE), del Ministerio del Minfin, que habría comprometido miles de archivos y registros sensibles.

Según la publicación atribuida a los atacantes, fueron exfiltrados 130 mil registros correspondientes al período 2020-2026, además de 235 mil archivos PDF, equivalentes a 324.5 GB de información.

Entre los datos expuestos figurarían nombres completos, Número de Identificación Tributaria (NIT), Código Único de Identificación (CUI), direcciones, teléfonos, correos electrónicos y documentación financiera y legal, incluidos estados de cuenta bancarios, contratos administrativos, escrituras notariales y certificados fiscales.

Los atacantes también describieron presuntas fallas en la infraestructura tecnológica del portal, entre estas vulnerabilidades tipo “IDOR/BOLA” en interfaces de programación (API), así como accesos sin autenticación vinculados con sistemas de la SAT.

LECTURAS RELACIONADAS

Ciberataques en Guatemala: 87% de sitios del Estado carece de seguridad básica, señala experto

Vicepresidencia y Mingob retroceden en ciberseguridad tras hackeos a otras instituciones

Alerta sobre vulnerabilidad en Minfin desde 2024

Luis Assardo, experto en seguridad digital y periodista de investigación, indicó que los sistemas vinculados con el Minfin presentan vulnerabilidades que podrían facilitar ataques desde hace más de dos años.

“Todos esos son subdominios del Minfin. Ellos tienen una infraestructura con varias vulnerabilidades fáciles de explotar. Una muestra de ello es que hay varios lotes de credenciales y data a la venta”, afirmó en enero del 2024.

Añadió que la institución podría restablecer servicios mediante respaldos en otra infraestructura.

“Lo razonable es que en horas o días pudieran levantar un backup en otra instancia aunque usaran otro dominio. Parece ineptitud y negligencia, pero eso solo se sabrá luego de una auditoría”, expresó.

Le podría interesar: La cronología de los hackeos en Guatemala: tres piratas informáticos habrían vulnerado sitios de instituciones del Estado

Otros ataques a instituciones del Estado

El nuevo incidente ocurre luego de una cadena de ataques y alertas registradas durante abril del 2026 contra instituciones públicas y universidades del país.

El primer caso ocurrió el 7 de abril, cuando la Dirección General de Control de Armas y Municiones (Digecam) reportó un acceso no autorizado que comprometió información de unos 18 mil usuarios.

Otto Rosito, director de la Digecam, indicó que identificaron al actor conocido como “Gordon Freeman”, vinculado con ataques similares en América Latina.

El 13 de abril, el Ministerio de Salud Pública y Asistencia Social confirmó un incidente de seguridad informática que afectó parcialmente equipos del Laboratorio Nacional de Salud.

La cartera indicó que el evento fue contenido tras la activación de protocolos institucionales y que no existía evidencia de acceso no autorizado a datos sensibles.

Según la evaluación técnica, el incidente se limitó a la encriptación de archivos internos, los cuales fueron recuperados mediante respaldos.

Las autoridades añadieron que no hubo vulneración de información de pacientes ni usuarios y que reforzaron controles de seguridad, actualización de sistemas y revisión de accesos.

El 27 de abril, el portal Tu Empleo, del Ministerio de Trabajo y Previsión Social (Mintrab), sufrió una vulneración que habría permitido la extracción de más de 200 mil registros y 40 GB de información.

Ese mismo día también se reportaron filtraciones en la Universidad de San Carlos de Guatemala (Usac) y la Universidad Rafael Landívar (URL).

También podría leer: Hacker exigen Q1.2 millones para frenar ataques y evitar divulgación de datos de guatemaltecos

Instituciones del Estado con poca protección

En medio de estos incidentes, Assardo divulgó el 15 de abril un análisis sobre 134 sitios web del Gobierno de Guatemala.

El informe advertía que el 64% de las plataformas evaluadas obtuvo calificación D; el 87% carecía de políticas de seguridad y el 92% permitía accesos sin cifrado.

El 28 de abril, “Gordon Freeman” afirmó haber obtenido información de la SAT y del Renp; sin embargo, ambas instituciones descartaron afectaciones y señalaron que mantenían monitoreo permanente y refuerzo de protocolos.

Dos días después, el 30 de abril, el Ministerio de Educación (Mineduc) también reportó análisis técnicos tras otro ataque atribuido al mismo actor.

“Hasta este momento no se han identificado fallas de esta naturaleza en los sistemas electrónicos institucionales”, indicó el Mineduc en esa ocasión.

Ese mismo día, el grupo “NemorisHacking”, vinculado con JXLLTEAM y el alias “KeyBreaker”, se atribuyó ataques contra plataformas de la Procuraduría General de la Nación (PGN) y la Superintendencia de Telecomunicaciones (SIT). Ambas instituciones también negaron un hackeo.

El 29 de abril, el Gobierno de Guatemala informó que activó protocolos de respuesta para contener incidentes, proteger información y reforzar la seguridad de sistemas estatales.

Instituciones señaladas en ataques, filtraciones o alertas cibernéticas

Estas son las instituciones que han confirmado incidentes, activado protocolos o negado vulneraciones tras las alertas de ciberataques registradas desde abril del 2026.

1. Digecam (confirmado por autoridades)
2. Portal Tu Empleo, del Mintrab (confirmado por el Mintrab)
3. Universidad de San Carlos de Guatemala (Usac) (confirmó ataque, pero negó alteraciones en sistemas)
4. Universidad Rafael Landívar (URL) (confirmó incidente y activación de protocolos)
5. SAT (negó vulneración)
6. Renap (negó vulneración)
7. Ministerio de Educación (Mineduc) ( negó fallas)
8. Procuraduría General de la Nación (PGN) (negó hackeo)
9. Superintendencia de Telecomunicaciones (SIT) (negó hackeo)
10. Ministerio de Salud Pública y Asistencia Social (confirmó incidente de seguridad informática)
11. Ministerio de Finanzas Públicas (Minfin) (nuevo ataque atribuido por actores cibernéticos; pendiente de postura oficial)