Como efecto dominó, las bases de datos de al menos diez instituciones del Estado fueron atacadas por un grupo de cibercriminales a lo largo de abril y mayo. La secuencia comenzó con la Dirección General de Control de Armas y Municiones (Digecam) del Ministerio de Defensa. Cuatro días después, el ataque alcanzó al Laboratorio Nacional de Salud, del Ministerio de Salud Pública. Luego, se reportó la extracción de registros de más de 200 mil personas del portal “Tu Empleo” del Ministerio de Trabajo.
La ola continuó y activó alertas en la Universidad de San Carlos y la Universidad Rafael Landívar. Posteriormente, se registraron ataques a los sitios de la SAT, el Ministerio de Educación, la Contraloría General de Cuentas, el Renap, la Procuraduría General de la Nación, la Superintendencia de Telecomunicaciones y el Instituto Nacional de Estadística. “En cuestión de tres semanas se pasó de un incidente, a una crisis, cada uno más grande que el anterior, cinco actores identificados y la venta de datos extraídos”, detalla el periodista en seguridad digital, Luis Assardo.
No es la primera vez que las instituciones del Ejecutivo enfrentan este tipo de vulneraciones. Destaca la infiltración al Ministerio de Relaciones Exteriores (Minex) que se extendió desde septiembre de 2022 hasta febrero del 2025, sin información oficial de los datos comprometidos. Además, incidentes en las carteras de Educación en agosto del 2024, y Finanzas Públicas en noviembre del 2023, de acuerdo con el dictamen de la Comisión de Asuntos de Seguridad Nacional del Legislativo, en el marco de la discusión de la iniciativa 6347, Ley de Ciberseguridad.
¿Cómo interpretar esta ola de ataques y cuán vulnerables son las instituciones? Servicios como el gobierno digital, la energía eléctrica, las telecomunicaciones, el suministro de agua potable, la banca y la salud, entre otros, forman parte de las denominadas infraestructuras críticas de un país, y por tanto de su sistema de seguridad nacional. Todas ellas dependen, cada vez más, de sistemas informáticos.
Las infraestructuras críticas son todas aquellas que permiten que un país funcione; desde los servicios básicos, hasta los procesos productivos. “A diferencia de otras naciones, en Guatemala no están reguladas, ni definidas legal o técnicamente, lo que las convierte en un blanco vulnerable ante ataques cibernéticos, terroristas o híbridos. Esto exige mecanismos de protección más avanzados, especialmente frente a nuevos modelos autónomos de Inteligencia Artificial”, explica el doctor en ciberseguridad, Walter Girón.
Una agenda pendiente desde hace más de una década, con esfuerzos dispersos entre el Estado, el sector privado y organismos multilaterales, en contraste con un entorno tecnológico que avanza con rapidez. De allí la necesidad de diseñar una estrategia nacional de ciberdefensa que implica una serie de acciones que van desde el Ejecutivo, y la necesidad de elaborar el catálogo de infraestructuras críticas en cada institución. Y desde el Legislativo, con la aprobación de una tríada de leyes en distintas fases de la agenda: ciberseguridad (6347); infraestructuras críticas (6465) y protección de datos (en proceso).
En este contexto, distintos actores del sector público y privado han comenzado a trazar un mapa de debilidades y desafíos. Cuestionan cuál debería ser el nivel de inversión necesario para fortalecer la seguridad informática, y el modelo de gobernanza más adecuado para gestionar y proteger estas infraestructuras estratégicas.
Infraestructura vulnerable
El hackeo en el Digecam y demás instituciones del Ejecutivo reveló la vulnerabilidad de equipos obsoletos, y aceleró procesos de ciberseguridad que estaban estancados.
Por ejemplo: “El servidor del portal de empleo (Mintrab) aún aceptaba conexiones con TLS 1.0 y TLS 1.1, protocolos que la industria declaró obsoletos en 2020. No soportaba TLS 1.3, el estándar actual. Ninguno de los 14 subdominios implementa Content-Security-Policy ni HSTS, las dos defensas más básicas que un servidor web puede tener”, detalló Assardo.
En tanto que el Mindef respondió que el fortalecimiento de las defensas avanza en estricta relación con la disponibilidad de recursos. “Actualmente, nos enfrentamos a una brecha financiera significativa, dado que la infraestructura de ciberseguridad de alto nivel es sumamente onerosa. A pesar de las limitaciones presupuestarias, se ha priorizado la optimización de los recursos existentes para garantizar la integridad de la información nacional, moviéndose hacia un modelo de resiliencia más sofisticado”, indicaron.
En cambio, la viceministra de Tecnología del Ministerio de Gobernación, Karen Ortiz Solares, reconoce que la tecnología es un tema que no se ha abordado adecuadamente en administraciones anteriores, donde la falta de documentación es un problema fundamental. Asegura que actualmente está proyectado fortalecer el Centro de Respuestas ante Emergencias Cibernéticas (CERT) en dicha cartera.
Detalla que dentro de la infraestructura crítica prioritaria y sensible del Mingob están los centros de datos que albergan información de nueve direcciones, entre estas: Policía Nacional Civil (PNC), Sistema Penitenciario (SP), Dirección de Servicios de Seguridad Privada, Control Telemático, Unidad de Prevención Contra la Violencia, entre otros.
Dos de los sistemas más sensibles son el Penitenciario, en donde recién se implementó un registro biométrico para los privados de libertad comparado con la base de datos del Renap, lo que permitió identificar inconsistencias y suplantaciones. Mientras que en la PNC, manejan desde órdenes de aprehensión, expedientes de investigación criminal y de pandillas.
Por su parte, el batallón de ciberdefensa de la Brigada de Comunicaciones del Ejército, es un equipo compuesto por siete oficiales y 14 especialistas que protegen la infraestructura crítica del ministerio, 24 horas al día, siete días de la semana. Tienen a su cargo los sistemas de radares, centros de datos y software de esta administración.
Por ejemplo, los radares monitorean vuelos ilícitos en el espacio aéreo nacional, identificando su trayectoria y punto de aterrizaje para la interdicción. “Hasta la fecha no hemos sufrido hackeos a estos sistemas y las trazas ilícitas han disminuido notablemente”, aseguró el coronel Julio César Taracena Garavito. Esta declaración se dio un 8 de abril, un día antes del incidente en el Digecam.
Telecomunicaciones y energía
La Gremial de Telecomunicaciones está organizada desde el 202, y la integran once agremiados. Incluye operadores de redes (móviles y fijas), proveedores de infraestructura pasiva (torres, cableado y nodos), proveedores de tecnología activa e integradores de red (fuerza laboral), explica Ricardo Valenzuela, presidente de la Gremial de Telecomunicaciones, adscrita a la Cámara de Industria (CIG), aclarando que los dos principales operadores del país no forman parte de este gremio.
Valenzuela asegura que la infraestructura física: torres, centros de datos, redes de fibra óptica, no ha sufrido daños significativos, solo pequeños vandalismos. Sin embargo, los servidores críticos que administran usuarios y servicios sí han sido objeto de ataques cibernéticos a gran escala, orquestados por organizaciones criminales. “Estos ataques pueden causar interrupciones en los servicios, aunque las empresas invierten considerablemente en ciberdefensa”, asegura.
Explica que existe una brecha entre la capacidad de inversión en ciberseguridad entre operadores grandes, medianos y pequeños, siendo estos últimos los más vulnerables.
“Actualmente, las empresas se defienden con sus propios recursos y no suelen presentar denuncias formales ante el Ministerio Público, preocupados por la imagen y reputación de marca, así como para evitar el pánico en la población, dado que los ataques a menudo comprometen datos sensibles de los ciudadanos”, asegura.
Desde el sector energético, Jorge Escobar, presidente de la Gremial de Eficiencia Energética adscrita a la CIG, agrupa a 25 empresas, entre generadoras, productoras o desarrolladoras de tecnología eléctrica. Describe que el sector funciona como un sistema en desarrollo, con buena organización en generación, control de tarifas y producción. Sin embargo, admite que existe una gran carencia en seguridad y falta de coordinación integral y sistemática para proteger el sistema.
Considera que el sector enfrenta limitaciones y vulnerabilidades que incluyen la ausencia de un marco legal preventivo, la vulnerabilidad física de la infraestructura de transmisión (líneas en la calle), y la falta de acuerdos intersectoriales. Los planes a largo plazo para la generación de energía no integran la ciberseguridad, ni la seguridad de la infraestructura.
“La principal preocupación del gremio es que la caída de una o varias fuentes principales de generación de energía, sea por crisis climáticas, ciberseguridad o vandalismo, lo que provocaría un problema en cascada que afectaría el agua, las telecomunicaciones, la banca, la economía y la productividad del país”, asegura Escobar.
Banca resiliente
Luis Cabrera, vocero de la Comunidad de Ciberseguridad del Sistema Bancario en Guatemala (Bancert), expone que la banca es considerada una de las infraestructuras críticas más importantes y resilientes del país y de la región, con avances significativos en esta materia desde el año 2020.
Observa una desigualdad notoria en la infraestructura crítica de Guatemala, en donde el sector privado está más avanzado, y el gobierno rezagado. Sin embargo, falta unificar esfuerzos. Indica que las telecomunicaciones, por ejemplo, han sido atacadas constantemente y sus operadores no cooperan en temas de ciberseguridad debido a la competencia comercial, lo cual es preocupante. “Esta falta de vinculación entre sectores clave podría afectarnos, ya que tanto las telecomunicaciones como la eficiencia energética forman parte de un ecosistema interdependiente con la banca”, explica.
Propuesta legal
Guatemala carece de un marco jurídico mínimo necesario para construir un ciberespacio efectivo ante amenazas para la seguridad nacional. La protección de la infraestructura pública está contemplada en el Código Penal – artículos 294 y 295 -. “Esto fue aprobado en 1973, para entonces el espíritu de este artículo jamás fue tipificar la seguridad de las tecnologías con las cuales funcionan hoy estos servicios”, según la tesis doctoral de Walter Girón.
También está la Ley Marco del Sistema Nacional de Seguridad (Decreto 18-2008) que en el artículo 22, – ámbito de gestión de riesgos- contempla dar respuesta ante desastres naturales, sociales y tecnológicos. Actúa bajo la responsabilidad del Presidente, por conducto de la CONRED.
Sin embargo, el batallón de ciberdefensa no está autorizado, ni tiene capacidad para realizar operaciones ofensivas en el ciberespacio. Además, el Ministerio Público investiga incidentes de violación a la ley, lo que puede afectar la capacidad de otras entidades para apoyar en la contención de ataques. Incluso el personal del Ministerio de la Defensa que apoyó en el caso DIGECAM fue incluido en las denuncias, indicó el coronel Taracena Garavito, en una entrevista a otro medio de comunicación.
En noviembre del 2024, el diputado Jorge Mario Villagrán, presidente de la comisión de seguridad nacional, estaba por lanzar la Iniciativa 6465, Ley general de Infraestructura Crítica Nacional. A inicios de junio, a punto de entrar al tercer debate en el hemiciclo, salió de agenda y se regresó a la Comisión, para un nuevo proceso de revisión. Mientras tanto, se presentó otra iniciativa: la 6771, del bloque Viva.
Villagrán considera que el principal objetivo de esta ley es la creación de un catálogo de infraestructura crítica nacional que incluya aeropuertos, hidroeléctricas, carreteras, puertos y hasta ingenios azucareros. Incluso, “la ley podría impedir la toma de carreteras, pues son consideradas infraestructuras críticas”.
Propone, además, la creación de la Secretaría Nacional de Protección de Infraestructuras Críticas, como dependencia del Consejo Nacional de Seguridad, como ente rector con carácter permanente.
El congresista resalta la frustración por el lento avance de estas leyes, en donde ha prevalecido la desinformación. Sin embargo, iniciativas como la 6347, ley de ciberseguridad han sido discutidas y asesoradas ampliamente por expertos en mesas técnicas. Por ejemplo, el dictamen del Centro de Estudios de Defensa William J. Perry de Estados Unidos. “Cumple con los requisitos nacionales e internacionales”, asegura.
Ciberseguridad: un lujo
Establecer un presupuesto para proteger infraestructuras críticas dependería de un presupuesto vinculado con la aprobación de la ley de ciberseguridad, lo cual se ha estimado inicialmente en Q30 millones, indica Villagrán. Sin embargo, ninguno de los entrevistados quiso establecer una cifra, pues esto varía según el diagnóstico y nivel de inversión de cada institución.
“En el gobierno, las unidades de tecnología operan con poco presupuesto, ven la ciberseguridad como un lujo, pues las soluciones de ciberseguridad son caras, requieren suscripciones anuales y personal especializado, que es escaso”, explica Girón, de allí que muchas instituciones recurren a software pirata, lo que las deja vulnerables. “Existe un problema cultural, estructural, presupuestal y político, ya que las unidades de tecnología no son vistas como estratégicas”, sentencia.
Por su parte, el coronel Taracena Garavito expone las limitaciones presupuestarias de esa cartera, pues aunque el presupuesto del Ejército se ha incrementado, aún no alcanza el 0.66% del PIB establecido en los Acuerdos de Paz, el cual se encuentra actualmente en el 0.40%.
Daniel Gálvez, Country Manager de SISAP, empresa proveedora de servicios tecnológicos, estima que las organizaciones destinan porcentajes de inversión de un 8% a un 12% de su presupuesto de TI a ciberseguridad; aunque el sector financiero lo eleva hasta el 15%, según tendencias globales.
Este incremento presupuestario responde a tres factores: el impacto económico de los ciberataques: el costo promedio de una brecha de datos supera los US$4 millones a nivel global, la falta de madurez y de talento especializado en la región, y la evolución de las amenazas, especialmente con el uso de inteligencia artificial.
Apoyo multilateral
El colombiano Belisario Contreras fue ex asesor de la Organización de Estados Americanos (OEA) a lo largo de 15 años, donde desarrolló iniciativas de ciberseguridad para los estados miembros, incluyendo políticas, marcos estratégicos y respuestas a incidentes. Uno de estos, el Reporte de Seguridad Cibernética e Infraestructura Crítica de las Américas publicado en el 2015.
El caso de Guatemala lo considera preocupante por el retraso en la aprobación de un marco legal robusto que dé autonomía y presupuesto a las instituciones en seguridad digital. “Históricamente, la ciberseguridad ha estado bajo el cuarto viceministerio de gobernación, agenda que queda relegada frente a otras necesidades, -cárceles y narcotráfico-, lo que lleva a una gestión reactiva en lugar de estratégica”, indica.
En cuanto al apoyo de la OEA y la cooperación internacional, lo considera importante, como plataforma de conexión, pero “los países no deben esperar que se haga todo por ellos”.
Desde su experiencia, resulta más valioso que los países aporten y compartan mejores prácticas, puesto que los recursos de las organizaciones multilaterales son limitados, y al final, son organizaciones políticas. “Estudios como el del 2015 sirven como un llamado de atención y aportan datos para los desarrolladores de políticas”.
Escaso personal especializado
Guatemala no escapa de una realidad global: la falta de personal especializado. Lo confirma el estudio de la firma ISC2 sobre “Fuerza laboral en ciberseguridad 2025” que destaca que los factores económicos pesan mucho sobre los recursos de ciberseguridad, así como la escasez de personal cualificado supera el impacto de la escasez por sí sola.
Los rangos salariales promedio de un especialista en ciberseguridad en Estados Unidos varían según experiencia y roles. En promedio, se sitúan entre los US$120K a US$130K anuales, según CyberSec Guide. En puestos senior o expertos pueden superar los US$200k. A pesar de eso, “se estima una necesidad global de 4,8 millones de personas en esta especialidad, no solo maestrías o doctorados, sino también con capacidades técnicas básicas”, menciona Contreras.
La contratación de personal en el Estado es un desafío importante, ya que las personas capacitadas suelen irse a la iniciativa privada después de un par de años por la baja remuneración en el sector público, confirman Girón, Ortiz Solares y Taracena Garavito.
“Se dificulta la retención de talento”, reconoce la funcionaria, mientras que en el Ejército se reconoce esta realidad con el personal que ha sido capacitado en los Estados Unidos.
Gobernanza e inversión
Las distintas posturas coinciden en que Guatemala necesita con urgencia una arquitectura institucional sólida para ciberseguridad y la protección de infraestructuras críticas, aunque difieren en el diseño específico de esa gobernanza.
Por un lado, Girón plantea un enfoque descentralizado en el que cada infraestructura crítica cuente con sus propios recursos de protección como primera línea de defensa, complementado por un Consejo Nacional de Ciberseguridad que articule esfuerzos, facilite la investigación de incidentes, capacite personal y mantenga sistemas de monitoreo y alerta temprana.
En contraste, Ortiz Solares propone una solución más centralizada mediante la creación de un Ministerio de Tecnología capaz de definir directrices claras y ejecutar políticas de forma más eficiente. Esta visión se inclina por concentrar capacidades estratégicas en una entidad con peso político y administrativo.
En una línea parcialmente distinta, Villagrán describe un modelo en evolución donde la gobernanza de infraestructuras críticas vaya alineada con la futura ley de ciberseguridad, bajo el liderazgo directo del presidente y con el apoyo de un Consejo Nacional de Seguridad, como órgano permanente.
A nivel político, Contreras refuerza la idea de que la ciberseguridad debe asumirse como un tema estratégico de Estado. Plantea la necesidad de un liderazgo de alto nivel, con el presidente como figura central, así como un cambio de paradigma que deje de ver la ciberseguridad como un gasto y la entienda como una inversión clave para la estabilidad y el desarrollo. “Deberían reorientarse los recursos presupuestarios para invertir en seguridad digital, priorizando su impacto en el largo plazo”, afirma.
Desde el sector privado y gremiales, hay un consenso claro en la importancia de la gobernanza interinstitucional y la cooperación público-privada. Se propone una Agencia Nacional de Protección de Infraestructuras y Seguridad, inspirada en modelos internacionales, o la creación de un ente técnico con participación de academia y sector privado, para garantizar continuidad, transparencia en el intercambio de información y capacidades técnicas. “La ciberseguridad es crucial, un ataque cibernético podría provocar un colapso en cascada del sistema eléctrico, afectando servicios como el agua, la banca y las comunicaciones”, advierte Escobar.
En suma, un modelo que combine liderazgo político, institucionalidad clara, capacidades técnicas distribuidas en cada infraestructura crítica, y una estrecha colaboración entre el Estado, sector privado y academia. Todo ello respaldado por un marco legal integral que incluya leyes de ciberseguridad, protección de infraestructuras críticas y protección de datos, consideradas fundamentales para fortalecer la resiliencia nacional frente a amenazas digitales.
Claude Mythos de Anthropic: preocupación ante una nueva realidad
Claude Mythos, el modelo de inteligencia artificial más avanzado de Anthropic, fue lanzado de forma interna el pasado 7 de abril. No obstante, debido a los riesgos asociados a su uso, la empresa optó por no liberarlo al público. En su lugar, puso en marcha el proyecto Glasswing, una iniciativa que limita el acceso a este modelo exclusivamente a socios estratégicos —principalmente grandes desarrolladores de software— con el objetivo de que puedan fortalecer y adaptar sus sistemas antes de que esta tecnología se vuelva ampliamente accesible.
El poder disruptivo de Claude Mythos en programación y matemáticas es capaz de encontrar vulnerabilidades críticas. A ello se suma el nivel de autonomía observado durante algunas pruebas internas, donde el modelo fue capaz de utilizar herramientas externas y recursos en línea para alcanzar objetivos específicos sin recibir instrucciones paso a paso.
Aunque Mythos no puede obtener acceso arbitrario a sistemas, ni lanzar ataques sin contar con los permisos, herramientas o credenciales necesarias, su capacidad para automatizar tareas complejas de investigación y explotación de vulnerabilidades reduce significativamente el tiempo y costo requerido para ejecutar operaciones ofensivas, superando en algunos escenarios la velocidad de análisis humana.
Una nueva realidad en la seguridad global, que podría evidenciar la enorme brecha digital de Guatemala ante esta potencia tecnológica. Entonces, ¿a qué tipo de peligro nos enfrentamos con la infraestructura crítica nacional?
José Amado, de Sistemas Aplicativos (SISAP), analiza estos escenarios asegurando que es una noticia que se recibe con seriedad y preocupación, por el desconocimiento de sus implicaciones. “Hay un grupo muy pequeño que está enterado de esto, un grupo muy grande que no ha escuchado, y otro grupo que ha escuchado y no entiende”, explica.
Indica que antes de Mythos, un ataque cibernético tenía una fase de descubrimiento de vulnerabilidades y una fase de explotación, con tiempo entre ambas para reaccionar. Ahora, la preocupación es que modelos como Mythos aceleran drásticamente el descubrimiento y validación de vulnerabilidades, incrementando la probabilidad de escenarios de “día cero” (zero-day), donde una vulnerabilidad es explotada antes de que exista una corrección o parche disponible. De manera que, este retraso en el lanzamiento permitirá a las grandes empresas de tecnología revisar y “parchar” sus sistemas bajo un ambiente controlado, para comprender el verdadero alcance de la herramienta y cómo defenderse.
No obstante, las buenas prácticas de ciberseguridad no cambian, con la diferencia de que ahora deben aplicarse más rápido. Por tanto, la velocidad con la que las empresas adquieren estas herramientas también debe cambiar.
Con respecto al costo de blindarse, no existe un monto fijo, ya que depende del nivel de madurez de la empresa y su inversión previa en ciberseguridad. Tampoco existe un blindaje al 100%, sino que se busca minimizar el riesgo.
Mythos no será el único
Como muestra de la sensibilidad que ha generado esta tecnología, Anthropic lanzó posteriormente Claude Fable 5, una versión pública derivada de Mythos con restricciones adicionales en sus capacidades de ciberseguridad. Sin embargo, el modelo fue retirado temporalmente del mercado después de que surgieran reportes sobre métodos capaces de evadir o hacer bypass a algunas de sus restricciones de seguridad, conocidas como guardrails. Estas pruebas demostraron que era posible inducir al modelo a realizar tareas relacionadas con la identificación de vulnerabilidades de software más allá de los límites previstos por sus diseñadores, lo que elevó las preocupaciones sobre la efectividad de sus mecanismos de control. El caso reavivó el debate sobre la dificultad de garantizar que las salvaguardas de los modelos más avanzados no puedan ser burladas cuando son sometidos a pruebas especializadas o utilizados por actores con amplios conocimientos técnicos.
En cuanto a los peligros, es probable que sean lo mismo a los que nos enfrentaremos todos los países cuando esta herramienta se libere, que va a estar bien regulada también, pero Mythos no será el único. “No tardarán en salir modelos similares, principalmente chinos, por lo que la inminencia de un colapso por la interrupción de servicios de infraestructura crítica, pública o privada, puede suceder”, advierte.
Para Amado, la banca es uno de los sectores que más le preocupan, pues podría golpear directamente el bolsillo de los guatemaltecos. Sin Mythos, hay un incremento significativo del fraude con IA a los usuarios. “El sistema financiero es más sensible debido a su alta dependencia del software, aplicaciones móviles, a diferencia de otras infraestructuras críticas que pueden ser segmentadas o desconectadas de internet.
Afortunadamente, su nivel de madurez en ciberseguridad, velocidad, capacidad de respuesta y de presupuesto es muy distinta a las entidades de gobierno”, expone, a lo que Luis Cabrera, vocero de Bancert, reitera que ciertamente la banca es el sector más atacado, pero no el más vulnerable, debido a su resiliencia, mapeo de riesgos y planes estratégicos.
Este contenido se produce bajo la alianza editorial “No permita que lo estafen”, en conjunto con la Asociación Bancaria de Guatemala, un convenio que busca crear conciencia a los guatemaltecos sobre los peligros de las estafas en línea.