Durante abril del 2026, Guatemala ha enfrentado una serie de ciberataques y alertas dirigidas a instituciones públicas y plataformas de centros de educación superior. Los incidentes, atribuidos a distintos actores, incluyeron filtración de datos y accesos no autorizados.

Tres actores han sido vinculados a estos ataques: “Gordon Freeman”, relacionado con la vulneración de la Digecam, el portal Tu Empleo del Ministerio de Trabajo y acciones en otros países de América Latina; “MrGoblinciano”, señalado por la filtración de datos de la Universidad Rafael Landívar y la Universidad de San Carlos de Guatemala; y “NemorisHacking”, quien se atribuye los ataques del 30 de abril contra otras instituciones.

Primer ataque: Digecam y la irrupción de “Gordon Freeman”

El primer caso ocurrió el 7 de abril, cuando la Dirección General de Control de Armas y Municiones (Digecam) fue blanco de un ataque que permitió el acceso a información de unos 18 mil usuarios. Las autoridades indicaron que la intrusión se limitó al sitio web y que emitirían nuevas licencias de portación y tenencia de armas para evitar inconvenientes.

El 21 de abril del 2026, Otto Rosito, director de la Digecam, indicó que identificaron al hacker como “Gordon Freeman”, quien habría ejecutado acciones similares en otros países de América Latina.

LECTURAS RELACIONADAS

La ciberseguridad y las consecuencias del robo de datos de las instituciones del Estado, según expertos

¿Cuáles son los tres factores que afectan a Guatemala en los hackeos y robo de información?

Advertencias ignoradas: fallas estructurales en sistemas estatales

En medio de estos hechos, un análisis divulgado el 15 de abril por el periodista e investigador Luis Assardo advertía sobre las condiciones que facilitan este tipo de incidentes.

La publicación indicó que se evaluaron 134 sitios web del Gobierno de Guatemala y que la mayoría carecía de medidas básicas de seguridad:

• El 64% obtuvo calificación D
• El 87% carece de políticas de seguridad
• El 92% permite accesos sin cifrado

Tu Empleo: filtración masiva y fallas básicas

Siete días después, el 27 de abril, el portal Tu Empleo, del Ministerio de Trabajo y Previsión Social (Mintrab), fue objeto de un ataque que habría permitido la extracción de más de 200 mil registros y 40 GB de información.

Los datos incluirían currículos, DPI, contactos e historial laboral y salarial. Este hecho también fue atribuido a “Gordon Freeman”.

“El servidor del portal de empleo aún aceptaba conexiones con TLS 1.0 y TLS 1.1, protocolos que la industria declaró obsoletos en el 2020. No soportaba TLS 1.3, el estándar actual. Ninguno de los 14 subdominios del ministerio implementaba Content-Security-Policy ni HSTS, las dos defensas más básicas que un servidor web puede tener”, escribió Luis Assardo el 27 de abril del 2026.

El Mintrab confirmó el incidente y lo atribuyó al uso de una interfaz de programación (API) antigua, la cual, según la institución, ya fue corregida.

Luego de estos ataques, “Gordon Freeman” habría exigido el pago de 2 bitcoin, unos Q1.2 millones, a cambio de no vender información presuntamente sustraída de varios ataques cibernéticos a instituciones de Guatemala.T

También podría leer: Hacker exigen Q1.2 millones para frenar ataques y evitar divulgación de datos de guatemaltecos

Universidades: datos financieros y estudiantes expuestos

Ese mismo día también se reportaron vulneraciones en dos universidades del país. El hacker identificado como “MrGoblinciano” se atribuyó el robo de información.

En la Universidad de San Carlos de Guatemala (Usac), se alertó sobre la exposición de datos financieros del Sistema Integrado de Información Financiera (SIIF), que incluirían nóminas, CUI e información bancaria.

“Se determinó que se registró un ataque cibernético; asimismo, se estableció que los sistemas, servicios y bases de datos no fueron alterados ni manipulados”, afirmó Marco Fuentes, jefe del Departamento de Procesamiento de Datos de la Usac, el 27 de abril del 2026.

Le podría interesar: Hackeo simultáneo a la Usac y la URL habría expuesto nóminas, cuentas bancarias y fotografías de estudiantes

De forma paralela, se reportó la filtración de 84 mil 620 fotografías y datos personales de estudiantes y docentes de la Universidad Rafael Landívar (URL).

“La Universidad confirma que tuvo conocimiento oportuno… y activó de inmediato sus protocolos internos”, informó la URL el 28 de abril del 2026.

En un comunicado, la institución indicó que no existe evidencia de acceso estructurado, masivo o sistemático a datos sensibles.

Reacciones oficiales: negaciones y monitoreo

El 28 de abril del 2026, las alertas continuaron. “Gordon Freeman” se atribuía el robo de información de la Superintendencia de Administración Tributaria (SAT) y del Registro Nacional de las Personas (Renap); sin embargo, ambas instituciones descartaron haber sido víctimas de ataques, aunque confirmaron que reforzaron sus sistemas.

“La SAT mantiene un monitoreo permanente… no presentan ninguna incidencia”, informó la entidad.

Mientras que el Renap indicó que no existen alertas críticas que evidencien una afectación.

LECTURAS RELACIONADAS

Renap descarta hackeo a sus sistemas tras alerta de ataque informático

SAT descarta incidentes en sus sistemas tras alertas por ciberataques en instituciones públicas y universidades

Otro hacker en acción

El 30 de abril del 2026, el hacker “Gordon Freeman” se atribuyó otro ataque, esta vez contra el Ministerio de Educación (Mineduc). Ante este hecho, la institución informó que personal especializado de esa cartera y del Gobierno de Guatemala desarrolla el análisis técnico correspondiente.

“Hasta este momento no se han identificado fallas de esta naturaleza en los sistemas electrónicos institucionales”, indicó el Mineduc.

Casi de forma simultanea un nuevo actor, identificado como “NemorisHacking”, vinculado al grupo JXLLTEAM y al alias “KeyBreaker”, se atribuyó los ataques a plataformas de la Procuraduría General de la Nación (PGN) y la Superintendencia de Telecomunicaciones (SIT).

Según alertas difundidas en redes sociales, este grupo habría:

• Filtrado credenciales administrativas
• Desfigurado portales institucionales
• Difundido accesos en Telegram

PGN rechaza vulneración

La Procuraduría negó haber sido hackeada y afirmó que no existe evidencia de robo o pérdida de información.

“Se han intensificado los protocolos de ciberseguridad”, agregó la PGN.

Gobierno activa protocolos tras hackeos

El 29 de abril, luego de los ataques contra distintas instituciones, el Gobierno de Guatemala emitió un comunicado en el que indicó que se activaron los protocolos de respuesta para contener el impacto, proteger la información y reforzar la seguridad de los sistemas afectados.

"Las autoridades competentes mantienen un monitoreo permanente y una coordinación interinstitucional orientada a identificar, contener y mitigar cualquier actividad maliciosa, sin que al momento se registre una afectación directa a los servicios públicos esenciales", explicó.

Además, indicó que se han girado instrucciones a todas las entidades públicas para fortalecer sus controles de seguridad, reducir la exposición y reforzar sus capacidades de respuesta ante incidentes.

"Se están implementando acciones estratégicas con acompañamiento internacional, en el marco de alianzas de cooperación con países socios como España, Estados Unidos y la República de China (Taiwán), orientadas al fortalecimiento sostenido de las capacidades nacionales en materia de ciberseguridad, consolidando así un enfoque integral de protección de la infraestructura digital del Estado", comentó.

"Guatemala cuenta con personal especializado y el acompañamiento de aliados internacionales, lo que permite afrontar esta situación de manera integral, fortaleciendo la resiliencia digital del país y preservando la estabilidad institucional", se indicó en el comunicado.