Una alerta difundida este jueves 14 de mayo por la cuenta especializada en ciberseguridad VECERT Analyzer advierte sobre un presunto ataque informático contra el Registro General de Adquisiciones del Estado (RGAE), del Ministerio de Finanzas Públicas (Minfin), que habría comprometido miles de archivos y registros sensibles.

Según la publicación, el actor identificado como “GordonFreeman”, vinculado al grupo LAT4MFUCK3RS, se atribuyó el acceso total al sistema del RGAE mediante la explotación de vulnerabilidades en interfaces de programación de aplicaciones (API), con lo cual habría evadido sistemas de protección perimetral y extraído información de proveedores y personas registradas en la plataforma estatal.

La advertencia señala que habrían sido exfiltrados 130 mil registros correspondientes al período 2020-2026, además de 235 mil archivos PDF, equivalentes a 324.5 GB de información.

Entre los datos presuntamente comprometidos figuran nombres completos, Número de Identificación Tributaria (NIT), Código Único de Identificación (CUI), direcciones, números telefónicos y correos electrónicos.

También se mencionan documentos como títulos universitarios, copias de DPI, facturas de la Superintendencia de Administración Tributaria (SAT), certificados fiscales, licencias comerciales, escrituras notariales, estados de cuenta bancarios, balances financieros y contratos administrativos.

La cuenta especializada indicó que el atacante habría aprovechado vulnerabilidades del tipo IDOR/BOLA, relacionadas con accesos indebidos a secciones internas de solicitudes, así como endpoints presuntamente expuestos sin autenticación.

VECERT Analyzer recomendó al Ministerio de Finanzas auditar y cerrar de inmediato las API comprometidas, reforzar los mecanismos de autenticación y aplicar controles bajo el principio de privilegio mínimo.

La publicación también alertó sobre posibles riesgos de suplantación de identidad, phishing y extorsión, debido a la exposición de documentos personales y financieros.

Hasta el momento, el Ministerio de Finanzas informó únicamente que verifica la veracidad de la advertencia.

Contexto de ciberataques en Guatemala

La alerta ocurre en medio de una serie de incidentes de ciberseguridad registrados en Guatemala durante abril del 2026, que afectaron instituciones públicas y centros de educación superior.

Entre los actores mencionados en distintos ataques figuran “Gordon Freeman”, “MrGoblinciano” y “NemorisHacking”.

El primer caso reportado ocurrió el 7 de abril, cuando la Dirección General de Control de Armas y Municiones (Digecam) sufrió un ataque que permitió el acceso a información de unos 18 mil usuarios.

El 21 de abril del 2026, Otto Rosito, director de la Digecam, afirmó que identificaron como responsable al hacker “Gordon Freeman”, quien habría ejecutado acciones similares en otros países de América Latina.

Señalan debilidades en sistemas estatales

En medio de estos incidentes, el periodista e investigador Luis Assardo divulgó el 15 de abril un análisis sobre vulnerabilidades en portales estatales.

Según la evaluación, realizada en 134 sitios web del Gobierno de Guatemala:

• El 64% obtuvo calificación D
• El 87% carece de políticas de seguridad
• El 92% permite accesos sin cifrado
• Ataque al portal Tu Empleo

El 27 de abril, el portal Tu Empleo, del Ministerio de Trabajo y Previsión Social (Mintrab), también fue objeto de un ataque informático.

De acuerdo con reportes divulgados entonces, habrían sido extraídos más de 200 mil registros y 40 GB de información, incluidos currículos, DPI, contactos e historial laboral y salarial.

Luis Assardo indicó ese día que el servidor del portal todavía aceptaba conexiones mediante los protocolos TLS 1.0 y TLS 1.1, considerados obsoletos desde el 2020, y que no implementaba mecanismos básicos de protección como Content-Security-Policy ni HSTS.

El Mintrab confirmó el incidente y señaló que se originó en una API antigua, la cual ya había sido corregida.

Posteriormente, “Gordon Freeman” habría exigido el pago de dos bitcoin —equivalentes a unos Q1.2 millones— a cambio de no vender información presuntamente obtenida en ataques contra instituciones guatemaltecas.

Universidades también reportaron incidentes

Ese mismo 27 de abril se reportaron vulneraciones en la Universidad de San Carlos de Guatemala (Usac) y en la Universidad Rafael Landívar (URL).

En el caso de la Usac, se alertó sobre la exposición de información financiera del Sistema Integrado de Información Financiera (SIIF), incluidos datos de nóminas, CUI e información bancaria.

Marco Fuentes, jefe del Departamento de Procesamiento de Datos de la Usac, afirmó el 27 de abril del 2026 que se registró un ataque cibernético, aunque aseguró que los sistemas, servicios y bases de datos no fueron alterados ni manipulados.

De forma paralela, se reportó la filtración de 84 mil 620 fotografías y datos personales de estudiantes y docentes de la URL.

La universidad informó el 28 de abril del 2026 que activó sus protocolos internos tras conocer el incidente y añadió que no existía evidencia de acceso estructurado, masivo o sistemático a datos sensibles.

*Manténgase actualizado con el boletín Ahora. Información clave en el momento en que sucede. Suscríbase aquí.