Saltar al contenido principal
Headles Top Nota Horizontal
Nacionales

Hackers exigen Q1.2 millones por no divulgar datos de guatemaltecos

28 de abril de 2026
Hackers exigen Q1.2 millones por no divulgar datos de guatemaltecos
Nacionales
Compartir:

Un grupo de ciberdelincuentes identificado como Gordon Freeman y L4TAMFUCKERS exige el pago de dos bitcoins, equivalentes a Q1.2 millones, a cambio de no vender información presuntamente sustraída. Los atacantes aseguran haber comprometido sistemas de instituciones de Guatemala mediante varios ataques cibernéticos.

La amenaza fue difundida en la dark web, donde los ciberdelincuentes advierten sobre una escalada de acciones si no se establece contacto en los próximos días. «Si no se comunican conmigo en los próximos días y no alcanzan un acuerdo monetario de 2 bitcoins, pondremos a la venta los datos de todo el país», escribió el hacker Gordon Freeman.

El ciberdelincuente agregó que lanzarán una ola de ataques dirigidos contra los sistemas y que no se debe intentar limpiar la infraestructura. «Hemos establecido persistencia en todos los sitios vulnerables», puntualizó.

Según lo divulgado por los atacantes, la información sustraída incluiría registros masivos de la Superintendencia de Administración Tributaria (SAT) y el Registro Nacional de las Personas (Renap). Sin embargo, ambas instituciones afirman que no han sido víctimas de ataques cibernéticos.

Los hackers mencionan cerca de 18 millones de registros del Renap, que abarcarían certificados de nacimiento, matrimonio, defunción y datos biométricos. En el caso de la SAT, se trataría de aproximadamente 5.6 millones de registros de vehículos con datos de propiedad, números de Identificación Tributaria (NIT), nombres, direcciones fiscales, números de chasis, números de motor, placas y certificados electrónicos.

Hackers exigen Q1.2 millones por no divulgar datos de guatemaltecos

Análisis de la amenaza

Isaac Sosa, Threat Intelligence Analyst y OSINT Researcher, analizó el caso y siguió la actividad de este grupo en línea. El analista explicó que junto a Gordon Freeman operan otros tres hackers identificados como Izanagi, cantpwn y YoSoyGroot, miembros del grupo L4TAMFUCKERS.

Sosa detalló que los atacantes operan mediante la explotación de vulnerabilidades y malas configuraciones en sitios web, principalmente de instituciones públicas. «Gordon Freeman es un atacante que se dedica a explotar vulnerabilidades y malas configuraciones en diversos países de Centroamérica», indicó.

El analista agregó que el grupo es reciente y que su conformación responde a ataques iniciales atribuidos al mismo actor. «Ha comenzado a integrar un grupo de cuatro ciberdelincuentes para poder venir y explotar toda la infraestructura pública y en ocasiones privadas de aquí de Guatemala», comentó.

Sosa advirtió que, a diferencia de acciones anteriores, en este caso los atacantes exigen un pago para no divulgar la información. «Por primera vez se ha detectado que está exigiendo un rescate de dos bitcoins para no vender la información de todo el país», precisó.

El análisis de Sosa explica que el concepto de «persistencia» implica que los atacantes podrían mantener acceso activo a los sistemas comprometidos. El analista comentó que una de las principales debilidades radica en la falta de mantenimiento y actualización de los sistemas digitales institucionales.

«Las instituciones públicas no están dándole mantenimiento a sus páginas web. Están utilizando servicios obsoletos que no están actualizando», señaló Sosa. El especialista recomienda realizar auditorías de seguridad, corregir vulnerabilidades de inmediato y fortalecer el marco legal en materia de ciberseguridad.

Dudas sobre la escala del supuesto hackeo

El periodista e investigador Luis Assardo señaló que, hasta el momento, no está confirmado un hackeo masivo a los sistemas del Renap ni de la SAT. Este 28 de abril, Gordon Freeman afirmó haber vulnerado ambas instituciones y respaldó su publicación con archivos de «prueba».

Assardo analizó 30 documentos PDF y 23 capturas de pantalla que fueron presentados como material de prueba. En el caso de la SAT, los documentos como tarjetas de circulación y certificados de propiedad fueron generados el mismo 28 de abril del 2026.

Los metadatos de estos documentos revelan el uso de software obsoleto, como Apache Tomcat 7, sin soporte desde el 2021, un motor de reportes del 2014 y una librería de generación de PDF del 2009. Assardo dijo que esto evidencia vulnerabilidades en los sistemas, pero no confirma un acceso masivo o la extracción de bases de datos completas.

El investigador agregó que algunos documentos fueron generados con minutos de diferencia para un mismo contribuyente, lo que sugiere consultas activas dentro del sistema. Según su análisis, hubo acceso al sistema de generación de documentos de carácter público, pero no evidencia la posesión de una base completa de 5.6 millones de registros.

En cuanto al Renap, los certificados analizados son documentos auténticos, con elementos verificables como códigos y correlativos válidos. Sin embargo, todos los documentos llevan al pie la marca «RENAPPORTAL», un timestamp y una dirección de correo electrónico de Gmail.

Assardo explicó que esto indica que fueron generados a través de sesiones de usuario del portal web de Renap, el mismo sistema que cualquier ciudadano usa para descargar sus propios certificados. La prueba de concepto contiene aproximadamente 25 certificados individuales, lejos de la afirmación de 18 millones de registros.