El Tribunal Supremo Electoral (TSE) informó este 1 de mayo que suspendió temporalmente su sitio web www.tse.org.gt en respuesta a la ola de hackeos registrada en distintos portales del Gobierno. Indicó que la medida busca evitar que el padrón electoral y otros datos sensibles queden vulnerables.

El comunicado menciona que, ante la información que ha circulado sobre posibles ataques cibernéticos a distintas instituciones del Estado, la institución puso en marcha un plan de contingencia para proteger los sistemas institucionales y salvaguardar la integridad de la información.

“Hasta el momento, el plan de contingencia y las evaluaciones técnicas continúan en desarrollo, y se mantienen las acciones necesarias para prevenir accesos no autorizados y fortalecer las medidas de seguridad institucional”, se lee en el documento.

Explica que, debido a este proceso, algunos servicios electrónicos podrían presentar interrupciones temporales.

LECTURAS RELACIONADAS

La cronología de los hackeos en Guatemala: tres piratas informáticos habrían vulnerado sitios de instituciones del Estado

Hackers exigen Q1.2 millones para frenar ataques y evitar divulgación de datos de guatemaltecos

En el sitio web, el TSE menciona que se implementó el Plan de Respuesta y Contención ante Amenazas de Seguridad Informática.

Señala que con esto buscan proteger los sistemas institucionales y salvaguardar la información de los ciudadanos y de partidos políticos.

Por el momento, las autoridades del TSE no han informado por cuánto tiempo estará suspendido el sitio.

Habrían vulnerado firmas electrónicas

Según el sitio Dark Web Informer, el Tribunal Supremo Electoral (TSE) habría sido vulnerado con la filtración de 2 mil 136 firmas electrónicas de empleados del la entidad. Estas firmas se utilizan para validar documentos oficiales y podrían ser replicadas para falsificar otros documentos.

Así también indica quién habría sido el causante del ataque, la categoría, la autoridad vulnerada y a que sector pertenece:

• Actor de amenaza: MrGoblinciano
• Categoría: Filtración de datos gubernamentales
• Víctima: Tribunal Supremo Electoral (TSE) Guatemala
• Industria: Gobierno / Autoridad electoral

⠀
Según se indica por parte de Dark Web Informer la filtración fue extraída directamente del sitio http:// firmaelectronica. tse. org. gt y estaría siendo distribuida de forma gratuita.

Desde entonces, el TSE ha puesto su servicio de firma electrónica en modo de mantenimiento, citando una “ola de ciberataques contra instituciones del Estado de Guatemala” y la activación de un Plan de Respuesta y Contención de Amenazas de Seguridad de la Información.

En cuanto al contenido de la filtración se indica lo siguiente:

• 2 mil 136 imágenes de firmas electrónicas
• Formato: JPG
• Firmas de empleados del TSE autorizados para validar documentos gubernamentales
• Archivos numerados de forma secuencial (por ejemplo, del 9505 al 9532+), lo que sugiere una enumeración completa de la base de datos de firmas

TSE investiga indicios de posible ataque

El TSE confirmó a Prensa Libre que lleva a cabo una investigación para esclarecer los posibles indicios del ataque.

Además, que refuerza las medidas establecidas en el Plan de Respuesta y Contención de Amenazas, con el fin de proteger la información y reducir cualquier riesgo de vulneración de datos.

Hackeos en Guatemala

En las últimas cuatro semanas se han registrado ciberataques a instituciones del Estado, filtración de datos y un hacker que exige rescate en bitcoin, mientras autoridades niegan brechas.

Durante abril del 2026, Guatemala ha enfrentado una serie de ciberataques y alertas dirigidas a instituciones públicas y plataformas de centros de educación superior. Los incidentes, atribuidos a distintos actores, incluyeron filtración de datos y accesos no autorizados.

Tres actores han sido vinculados a estos ataques: “Gordon Freeman”, relacionado con la vulneración de la Digecam, el portal Tu Empleo del Ministerio de Trabajo y acciones en otros países de América Latina; “MrGoblinciano”, señalado por la filtración de datos de la Universidad Rafael Landívar y la Universidad de San Carlos de Guatemala; y “NemorisHacking”, quien se atribuye los ataques del 30 de abril contra otras instituciones.

El primer caso ocurrió el 7 de abril, cuando la Dirección General de Control de Armas y Municiones (Digecam) fue blanco de un ataque que permitió el acceso a información de unos 18 mil usuarios. Las autoridades indicaron que la intrusión se limitó al sitio web y que emitirían nuevas licencias de portación y tenencia de armas para evitar inconvenientes.

Siete días después, el 27 de abril, el portal Tu Empleo, del Ministerio de Trabajo y Previsión Social (Mintrab), fue objeto de un ataque que habría permitido la extracción de más de 200 mil registros y 40 GB de información.

Los datos incluirían currículos, DPI, contactos e historial laboral y salarial. Este hecho también fue atribuido a “Gordon Freeman”.

El Mintrab confirmó el incidente y lo atribuyó al uso de una interfaz de programación (API) antigua, la cual, según la institución, ya fue corregida.

Luego de estos ataques, “Gordon Freeman” habría exigido el pago de 2 bitcoin, unos Q1.2 millones, a cambio de no vender información presuntamente sustraída de varios ataques cibernéticos a instituciones de Guatemala.

También podría leer: Hacker exigen Q1.2 millones para frenar ataques y evitar divulgación de datos de guatemaltecos

Universidades: datos financieros y estudiantes expuestos

Ese mismo día también se reportaron vulneraciones en dos universidades del país. El hacker identificado como “MrGoblinciano” se atribuyó el robo de información.

En la Universidad de San Carlos de Guatemala (Usac), se alertó sobre la exposición de datos financieros del Sistema Integrado de Información Financiera (SIIF), que incluirían nóminas, CUI e información bancaria.

“Se determinó que se registró un ataque cibernético; asimismo, se estableció que los sistemas, servicios y bases de datos no fueron alterados ni manipulados”, afirmó Marco Fuentes, jefe del Departamento de Procesamiento de Datos de la Usac, el 27 de abril del 2026.

Le podría interesar: Hackeo simultáneo a la Usac y la URL habría expuesto nóminas, cuentas bancarias y fotografías de estudiantes

De forma paralela, se reportó la filtración de 84 mil 620 fotografías y datos personales de estudiantes y docentes de la Universidad Rafael Landívar (URL).

“La Universidad confirma que tuvo conocimiento oportuno… y activó de inmediato sus protocolos internos”, informó la URL el 28 de abril del 2026.

En un comunicado, la institución indicó que no existe evidencia de acceso estructurado, masivo o sistemático a datos sensibles.

Reacciones oficiales: negaciones y monitoreo

El 28 de abril del 2026, las alertas continuaron. “Gordon Freeman” se atribuía el robo de información de la Superintendencia de Administración Tributaria (SAT) y del Registro Nacional de las Personas (Renap); sin embargo, ambas instituciones descartaron haber sido víctimas de ataques, aunque confirmaron que reforzaron sus sistemas.

“La SAT mantiene un monitoreo permanente… no presentan ninguna incidencia”, informó la entidad.

Mientras que el Renap indicó que no existen alertas críticas que evidencien una afectación.

El 30 de abril del 2026, el hacker “Gordon Freeman” se atribuyó otro ataque, esta vez contra el Ministerio de Educación (Mineduc). Ante este hecho, la institución informó que personal especializado de esa cartera y del Gobierno de Guatemala desarrolla el análisis técnico correspondiente.

“Hasta este momento no se han identificado fallas de esta naturaleza en los sistemas electrónicos institucionales”, indicó el Mineduc.

Casi de forma simultanea un nuevo actor, identificado como “NemorisHacking”, vinculado al grupo JXLLTEAM y al alias “KeyBreaker”, se atribuyó los ataques a plataformas de la Procuraduría General de la Nación (PGN) y la Superintendencia de Telecomunicaciones (SIT).

Según alertas difundidas en redes sociales, este grupo habría:

• Filtrado credenciales administrativas
• Desfigurado portales institucionales
• Difundido accesos en Telegram

PGN rechaza vulneración

La Procuraduría negó haber sido hackeada y afirmó que no existe evidencia de robo o pérdida de información.

“Se han intensificado los protocolos de ciberseguridad”, agregó la PGN.

Gobierno activa protocolos tras hackeos

El 29 de abril, luego de los ataques contra distintas instituciones, el Gobierno de Guatemala emitió un comunicado en el que indicó que se activaron los protocolos de respuesta para contener el impacto, proteger la información y reforzar la seguridad de los sistemas afectados.

"Las autoridades competentes mantienen un monitoreo permanente y una coordinación interinstitucional orientada a identificar, contener y mitigar cualquier actividad maliciosa, sin que al momento se registre una afectación directa a los servicios públicos esenciales", explicó.

Además, indicó que se han girado instrucciones a todas las entidades públicas para fortalecer sus controles de seguridad, reducir la exposición y reforzar sus capacidades de respuesta ante incidentes.

"Se están implementando acciones estratégicas con acompañamiento internacional, en el marco de alianzas de cooperación con países socios como España, Estados Unidos y la República de China (Taiwán), orientadas al fortalecimiento sostenido de las capacidades nacionales en materia de ciberseguridad, consolidando así un enfoque integral de protección de la infraestructura digital del Estado", comentó.

"Guatemala cuenta con personal especializado y el acompañamiento de aliados internacionales, lo que permite afrontar esta situación de manera integral, fortaleciendo la resiliencia digital del país y preservando la estabilidad institucional", se indicó en el comunicado.