En los últimos días de abril y principios de mayo, Guatemala vivió un pico de amenazas por el robo de información de distintas instituciones del Estado. Aunque el robo de …
En los últimos días de abril y principios de mayo, Guatemala vivió un pico de amenazas por el robo de información de distintas instituciones del Estado. Aunque el robo de datos por sí mismo es un problema de seguridad –que en Guatemala no se dimensiona–, en redes sociales se empezó a hablar de que el hackeo del Renap y la SAT «ya está orquestando el próximo fraude electoral».
Un análisis de conversaciones en redes sociales identificó cuentas desinformadoras que vinculan lo ocurrido con «afiliaciones fraudulentas» para partidos como Raíces o que «habrá un nuevo fraude», haciendo alusión a la narrativa de extrema derecha inconforme con las Elecciones Generales 2023.
Sobre las vulneraciones del pasado abril «la narrativa más peligrosa identificada en redes no fue la que reportó el hackeo, sino la que lo convirtió en “evidencia de un supuesto fraude electoral” en preparación», afirma un monitoreo realizado por la Asociación Desarrollo, Organización Servicios y Estudios Socioculturales (DOSES).
***
Puedes leer aquí los ataques y vulneraciones digitales a entidades:
Para entender la narrativa del fraude en 2023 el doctor en sociología Jorge Murga Armas realizó el estudio Las tramas de las elecciones de 2023 en Guatemala para el Instituto de Investigaciones Económicas y Sociales.
Desinformación en año preelectoral
La desinformación aumenta en años preelectorales, afectando principalmente a países democráticos. El Instituto Internacional por la Democracia y Asistencia Electoral (IDEA) evidencia en un estudio realizado en más de 50 países (no incluye a Guatemala) que los casos aumentan a medida que se acercan los procesos, el día de las elecciones y posterior al evento.
El informe El entorno informativo en línea en relación con las elecciones, que abarca de 2016 a 2022, evidenció que «más de la mitad (56%) de los ataques de desinformación contra los procesos electorales se dirigen al período de votación, incluyendo las operaciones electorales, el día de las elecciones y la verificación de resultados».
Pero también refleja desinformación en «la fase de planificación (electoral) con el 11% del total de ataques documentados. El 8% de todos los casos con la fase de registro de votantes, incluidas las actividades relativas a partidos y candidatos».
El sociólogo y catedrático Gustavo Berganza, director de DOSES, indicó a Agencia Ocote que dicho fenómeno no es nuevo.
«Desde cuando no existían las redes sociales, siempre en época electoral se hacían campañas negras y cualquier pedacito de verdad se adornaba con un montón de palabrerío no verificable ni veraz».
Según Berganza, esto siempre se ha hecho «para armar historias que provocarán inestabilidad ya sea al sistema o a la campaña del oponente».
Políticos y cuentas anónimas
Este problema no ocurre solo en Guatemala. Que cuentas anónimas, políticos y medios digitales sean los iniciadores de desinformación es el denominador común, según el estudio de IDEA.
Reveló que en el 69% de los casos los autores de la desinformación fueron «usuarios de redes sociales no identificados». Pero sus perfiles «a menudo revelan ciertas opiniones ideológicas o políticas o proporcionan indicios de formar parte de campañas coordinadas».
También documentó que en el 17% de los casos «candidatos o figuras políticas son responsables de iniciar ataques o difundir desinformación». Mientras que «los medios digitales son responsables del 11%».
Evidenció el informe que «actores políticos y estatales de alto perfil, junto con medios digitales afines» se encuentran entre los principales generadores de confusión y desconfianza.
Durante el monitoreo de DOSES por la vulneración de portales estatales (del 28 de abril al 4 de mayo), una de las páginas desinformadoras con mayor impacto en las audiencias fue Xela News.
La desinformación promovida acusó que los datos robados a la Digecam, el Mintrab y el Renap serían utilizados por el Comité Pro-Formación del partido Raíces para realizar afiliaciones fraudulentas.
Una narrativa más grande
Para Briseida Milián, doctorando en Derechos Humanos y autora del estudio Ultras y Mafiosos (Actores antidemocráticos en Guatemala 2014-2024), de momento no se observa una intencionalidad «expresamente política» en los ciberataques.
Sobre si estos actos son instrumentalizados políticamente, menciona: «Creo que ha habido intentos, que se ven en publicaciones pagadas en Twitter (hoy X)». Facebook y X fueron las redes más usadas para difundir la desinformación, según DOSES y Centinela, nuestra herramienta automatizada de monitoreo.
«Pero creo que no se puede ubicar concretamente a un partido o a un grupo que (busque un) beneficio específico. No me parece que sea evidente». Milián menciona que las afirmaciones sin sustento sobre «el uso» de los datos para la formación de un partido político o sobre la planeación de «un fraude» forman parte de una narrativa más grande.
Coincide con la narrativa de 2023, según la experta. «Creo que (la desinformación actual) hace parte de la misma narrativa que vivimos en 2023 desde el golpismo, de querer deslegitimar las elecciones». Esto, a pesar de que asegura que fue «uno de los procesos más sólidos en Guatemala con mayores verificaciones, mayor participación internacional y nacional».
Milian reconoce que estas desinformaciones pueden usarse para cuestionar las elecciones de 2027. Pero también cree que «no hay que darles lugar sino fortalecer y comunicar las acciones que se están haciendo para garantizar la seguridad de los sistemas (digitales)».
Alertas vs respuestas institucionales
El primer ataque que se hizo público fue el 7 de abril contra la Dirección General de Control de Armas y Municiones (Digecam). Su director, Otto Rosito, indicó durante una citación en el Congreso que robaron información de 18 mil usuarios.
El ataque habría ocurrido limitándose al sitio web, según Rosito, pero la entidad tuvo que reiniciar procesos con personas que tramitaban portaciones de armas.
El 21 de abril, el portal Tu Empleo del Ministerio de Trabajo y Previsión Social (Mintrab) también fue atacado. De ahí obtuvieron datos personales de 200 mil personas que buscaban empleo.
La cartera lo atribuyó al uso de una interfaz de programación antigua. Ambos ataques fueron atribuidos al hacker «Gordon Freeman», que exigió el pago de dos bitcoin (Q1.2 millones) para no vender la información a terceros.
En una conferencia de prensa del 4 de mayo, el presidente Bernardo Arévalo acuso a «grupos criminales extorsivos» de ser los ciberdelincuentes.
Declaraciones de Bernardo Arévalo, presidente de la República.
El mismo día que se alertó del ataque al Mintrab, se reportaron las vulneraciones de dos universidades por el hacker «MrGoblinciano». Sin embargo, estas vulneraciones no lograron extraer datos.
Un comunicado del 28 de abril de la Universidad Rafael Landívar explicó que tras un diagnóstico basado en software para la «detección de accesos anómalos, análisis de tráfico y evaluación de vulnerabilidades», el incidente se circunscribe a servicios estudiantiles, no a la base de datos de toda la universidad.
Además, indicó que el análisis comprobó que no hubo daños en los sistemas de seguridad de la base de datos.
Las alertas continuaron ese 28 de abril con la Superintendencia de Administración Tributaria (SAT) y del Registro Nacional de Personas (Renap). Ambas instituciones negaron el robo de datos, pero sí que hubo intento de vulnerarlas.
En el caso del Renap, su director, Rodolfo Arriaga, dijo en una citación en el Legislativo que el hackeo no fue posible. Explicó que la entidad tiene distintos anillos de seguridad antes de llegar a la base de datos central.
🏛️ El director de RENAP, Rodolfo Arriaga, acude al Congreso de la República, donde aprovecha para aclarar el supuesto hackeo que circula en redes sociales a dicha entidad.
— Canal Antigua (@CanalAntigua) April 28, 2026
Arriaga expresó que los sistemas de monitoreo no han detectado hasta el momento ninguna intromisión en los… pic.twitter.com/P90bceLVs3
Declaraciones de Rodolfo Arriaga, director del Renap.
Otras instituciones que negaron ataques luego de supuestas vulneraciones el 30 de abril fueron el Ministerio de Educación y la Procuraduría General de la Nación.
Lo que en realidad ocurrió
El periodista de fuentes abiertas Luis Assardo, especializado en ciberseguridad, hizo varios análisis y compartió información sobre lo que realmente habría ocurrido. Además de exponer las capacidades institucionales para responder a estos ataques.
Según Assardo, un escaneo de sitios de gobierno evidenció que el 64% de estos tenía una clasificación D en medidas de seguridad. La clasificación de ciberseguridad va de la A, la más segura, a la F, la menos segura.
Su investigación también detectó que estos ataques no habrían ocurrido en abril de este año, sino que empezaron en junio de 2025.
Plataformas de ciberseguridad reportaron que hackers habrían puesto a la venta credenciales de empleados gubernamentales para que otros ciberdelincuentes ingresaran a robar datos. Entendemos por «credenciales» la información necesaria para entrar a una plataforma, como el usuario y la contraseña.
«Cuando llegaron los atacantes en abril, en muchos casos no necesitaron encontrar una vulnerabilidad técnica. Simplemente usaron contraseñas que ya tenían», explica Assardo en una publicación donde detalla el problema.
En entrevista con Agencia Ocote, Luis Assardo explica que el grupo cambió su forma de operar. Primero, encontraba una vulnerabilidad y obtenía la base completa del sitio, dejándolo inoperante, pero luego cambió su técnica.
«En el caso de SAT y Renap no hubo una penetración completa, no se botó el sitio. Lo que está ofreciendo no es la base de datos completa, sino una muestra muy pequeña de capturas de pantalla y algunos pdf. Son situaciones muy distintas por el mismo atacante», razona sobre lo que se ofrecía en la web.
🚨 NATIONAL SECURITY ALERT: DIGITAL INFRASTRUCTURE COLLAPSE – GUATEMALA (RENAP & SAT) 🇬🇹🏛️🚗🔓
— VECERT Analyzer (@VECERTRadar) April 28, 2026
The most severe threat to Guatemala's digital sovereignty in its history has been detected. Threat actor GordonFreeman, in coordination with the group Team L4TAMFUCKERS, claims to have… pic.twitter.com/Ezw8pixCzI
Alerta de la empresa de ciberseguridad Vecert Analyzer.
Además, Assardo asegura que a pesar de las alertas, en un análisis entre el 7 y el 14 de abril, la cantidad de sitios de gobierno con calificación F (la peor en seguridad web) aumentó de 8 a 39.
Aparentemente, esto ocurriría porque algunos portales están offline, aunque también se reportan malas prácticas de seguridad.
Sin embargo, mencionó que otras instituciones reaccionaron con seguridad CSP, que ayuda a prevenir ataques al controlar recursos que cargan una página, y mejoraron restricciones de permisos de navegadores.
El análisis se realizó gracias a herramientas de OSINT para medir la seguridad de los sitios web del Estado. Esto llevó a Assardo a crear la herramienta GovScan v1.0 cuyos resultados se pueden ver en el portal cibercrisis.vectorcritico.com.
Los datos son «el nuevo petróleo»
Sara Fratti, experta en Derechos Digitales y coordinadora de alianzas estratégicas de la Iniciativa Latinoamericana por los Datos Abiertos, explica que en un contexto de datificación de todo en la sociedad, los datos son poder, y el poder significa «dominación económica».
«Las filtraciones buscan tener control sobre ciertas bases de datos y lucrar con ellas para diferentes fines», asegura.
Fratti ejemplifica distintos contextos en donde si los datos son difundidos se pueden vulnerar los derechos de las personas.
Primero explica que si una base de datos de salud se filtrara,se revelara la identidad de personas con VIH y terminara en una reclutadora esas personas podrían no obtener trabajo.
O en un contexto financiero, que las aseguradoras compren bases de datos y con el conocimiento nieguen el derecho a un plan de seguro o un crédito.
Hasta con gobiernos autoritarios existe el riesgo de una identificación por ideología política, detalla Fratti.
«Estos ataques y amenazas evidencian que no estábamos preparados. Y para que lo estemos lo primero que necesitamos es un entorno habilitante con marcos regulatorios y políticas públicas que protejan derechos humanos».
«Una ley de protección de datos es urgente», asegura Fratti.
Guatemala debe prepararse
Analistas coinciden en que el fenómeno que se vivió en abril abre la conversación para que Guatemala invierta más y de mejor manera en ciberseguridad. Pero con un enfoque de derechos humanos.
El ranking de 2025 del National Cyber Security Index, sitúa al país en el puesto 129 de 145 analizados con 19.17 de 100 puntos posibles. Se tienen bajos indicadores preventivos de ciberseguridad como infraestructura, análisis de amenazas y protección de datos personales.
Diversos sectores han vuelto a hablar de la necesidad de una ley sobre ciberseguridad. Aunque la iniciativa 6347 fue presentada en el Congreso desde febrero de 2024 sigue estancada y cuenta con alertas por errores técnicos, éticos y de compatibilidad con la legislación penal.
Regulación y voluntad política
Edie Cux, asesor en Acción Ciudadana y exdirector de la Comisión Nacional para un Gobierno Abierto y Electrónico, menciona que «todos somos sujetos de derecho y nuestros datos son parte de nuestro derecho».
Indica que si el Estado quiere trascender a uno más digital, se debe enfocar en promover una ley de protección de datos, como asegura Sara Fratti. Explica que la gobernanza de datos requiere un marco regulatorio, pero sobretodo voluntad política.
Por ejemplo, «el ejecutivo no necesita una legislación para implementar acciones de ciberseguridad. Lo que necesita es una entidad de coordinación y toma de decisiones para alinear esfuerzos y estandarizarlos», explica Cux.
Infraestructura desactualizada
Menciona Edie Cux que hay entidades del Estado con bastante infraestructura digital, pero que mucha ya es vieja.
«Si hablamos de infraestructura, hay algunas instituciones (que tienen) y otras en donde es muy limitada», pero aclara que «mucha de esa infraestructura no tiene actualización para enfrentar ataques.
Agrega el problema del capital humano, en donde los salarios y honorarios de quienes se desempeñan en esta área son muy bajos y la competencia en el mercado es muy alta.
«Obviamente la gente que está trabajando ahí hace maravillas», considera Cux.
Si para un cibercriminal, empresas y gobierno, los datos son recursos valiosos, para un ciudadano deben representar un derecho fundamental al que no puede renunciar.
