Resumen ejecutivo
Se observó una nueva publicación preliminar atribuida al conjunto de actividad asociado a L4TAMFUCKERS, en la que el actor afirma haber comprometido sistemas de RENAP y SAT.
Según la publicación, el actor reclama acceso a registros de RENAP, incluyendo certificados de nacimiento, matrimonio y defunción, así como registros vehiculares de SAT con datos de propietarios, NIT, dirección fiscal, placas, características del vehículo, solvencias y certificados electrónicos.
La publicación también incluye una amenaza de extorsión por 2 BTC y afirma mantener persistencia en múltiples sitios vulnerables.
Importante: esta información debe considerarse preliminar y no confirmada hasta contar con validación técnica independiente o confirmación institucional.
Lectura preliminar
El evento representa un escalamiento en el discurso del actor, pasando de filtraciones específicas contra instituciones concretas a una amenaza directa contra datos nacionales de alta sensibilidad.
Si las afirmaciones fueran válidas, el impacto potencial sería significativamente mayor que los casos previamente documentados, ya que RENAP y SAT concentran datos base para identidad, trámites, propiedad vehicular, obligaciones tributarias y procesos de verificación ciudadana.
La publicación también intenta posicionar la actividad como una campaña coordinada contra Guatemala. Esa afirmación debe tratarse con cautela: es relevante para seguimiento de Threat Intelligence, pero no debe asumirse como confirmada sin evidencia técnica adicional.
Handles observados
- GordonFreeman
- Izanagi
- cantpwn
- YoSoyGroot
Los handles se conservan por relevancia para trazabilidad, correlación y seguimiento de Threat Intelligence. No se incluyen nombres de foros, enlaces directos, muestras con PII ni canales de contacto del actor.
Datos reclamados por el actor
RENAP
- Registros de identidad civil.
- Certificados de nacimiento.
- Certificados de matrimonio.
- Certificados de defunción.
- Datos personales sensibles.
SAT
- Registros vehiculares.
- Propietario.
- NIT.
- Dirección fiscal.
- Placas.
- Datos técnicos del vehículo.
- Solvencias.
- Tarjetas de circulación electrónicas.
- Certificados electrónicos de propiedad.
Estado de validación
| Campo | Estado |
|---|---|
| Publicación observada | Sí |
| Confirmación institucional | No observada |
| Validación técnica independiente | Pendiente |
| Acceso a dumps | No realizado |
| Evidencia sanitizada | Incluida |
| Alcance real | No confirmado |
Evidencia sanitizada
Evidencia sanitizada. Se omiten nombres de foros, enlaces directos, canales de contacto, muestras con PII y datos de personas afectadas.
Impacto potencial
Si las afirmaciones del actor fueran válidas, el impacto potencial incluiría:
- Suplantación de identidad.
- Fraude financiero, tributario y registral.
- Ingeniería social contra ciudadanos, funcionarios y entidades privadas.
- Abuso de datos vehiculares para extorsión, doxxing o seguimiento físico.
- Incremento del riesgo para procesos KYC y verificación de identidad.
- Riesgo para aseguradoras, financieras, bancos, comercios y entidades que dependen de validación documental.
- Daño reputacional e institucional a nivel país.
Recomendaciones preliminares
-
Tratar la publicación como señal prioritaria de Threat Intelligence, pero no como hecho confirmado hasta validación.
-
Preservar evidencia de la publicación, evitando difundir enlaces directos, canales de contacto o muestras con PII.
-
Monitorear menciones de RENAP, SAT, L4TAMFUCKERS y handles asociados.
-
Validar si existen indicadores técnicos correlacionables con actividad previa contra instituciones guatemaltecas.
-
Reforzar monitoreo de accesos anómalos, APIs expuestas y credenciales filtradas en entidades críticas.
-
Revisar exposición pública de servicios, endpoints y buckets asociados a datos sensibles.
-
Preparar comunicación responsable, evitando amplificar al actor o generar pánico sin confirmación.
-
Alertar internamente a equipos de fraude, ciberseguridad y riesgo tecnológico sobre posible uso futuro de datos para phishing, suplantación y validaciones fraudulentas.
Metodología y disclaimer
- Este análisis se basa exclusivamente en inteligencia de fuentes abiertas (OSINT) y observación pasiva de espacios clandestinos.
- La información debe considerarse preliminar y no confirmada.
- No se realizó contacto con sistemas afectados ni se accedió a datos filtrados más allá de muestras publicadas por los actores.
- La atribución se basa en handles observados en publicaciones clandestinas y no equivale a identidad real verificada.
- Los handles se conservan porque son relevantes para trazabilidad, correlación y seguimiento de Threat Intelligence.
- Los nombres de foros, enlaces directos, canales de contacto, muestras con PII y datos de personas afectadas han sido deliberadamente omitidos o sanitizados.
- Los datos son verificados al 28 de abril de 2026. La atribución y el alcance están sujetos a evolución conforme surja nueva información.