Resumen ejecutivo
Se observó una nueva publicación preliminar atribuida al conjunto de actividad asociado a L4TAMFUCKERS, en la que el actor afirma haber comprometido sistemas de RENAP y SAT.
Según la publicación, el actor reclama acceso a registros de RENAP, incluyendo certificados de nacimiento, matrimonio y defunción, así como registros vehiculares de SAT con datos de propietarios, NIT, dirección fiscal, placas, características del vehículo, solvencias y certificados electrónicos.
La publicación también incluye una amenaza de extorsión por 2 BTC y afirma mantener persistencia en múltiples sitios vulnerables.
Importante: esta información debe considerarse preliminar y no confirmada. RENAP negó públicamente un compromiso de sus sistemas; la afirmación del actor permanece sujeta a validación técnica independiente y a nueva información disponible.
Lectura preliminar
El evento representa un escalamiento en el discurso del actor, pasando de filtraciones específicas contra instituciones concretas a una amenaza directa contra datos nacionales de alta sensibilidad.
Si las afirmaciones fueran válidas, el impacto potencial sería significativamente mayor que los casos previamente documentados, ya que RENAP y SAT concentran datos base para identidad, trámites, propiedad vehicular, obligaciones tributarias y procesos de verificación ciudadana.
La publicación también intenta posicionar la actividad como una campaña coordinada contra Guatemala. Esa afirmación debe tratarse con cautela: es relevante para seguimiento de Threat Intelligence, pero no debe asumirse como confirmada sin evidencia técnica adicional.
Handles observados
- GordonFreeman
- Izanagi
- cantpwn
- YoSoyGroot
Los handles se conservan por relevancia para trazabilidad, correlación y seguimiento de Threat Intelligence. No se incluyen nombres de foros, enlaces directos, muestras con PII ni canales de contacto del actor.
Datos reclamados por el actor
RENAP
- Registros de identidad civil.
- Certificados de nacimiento.
- Certificados de matrimonio.
- Certificados de defunción.
- Datos personales sensibles.
SAT
- Registros vehiculares.
- Propietario.
- NIT.
- Dirección fiscal.
- Placas.
- Datos técnicos del vehículo.
- Solvencias.
- Tarjetas de circulación electrónicas.
- Certificados electrónicos de propiedad.
Análisis preliminar del paquete RAR
Se revisó el paquete RAR compartido como supuesta evidencia técnica del incidente. El archivo fue validado y no presenta indicios de corrupción.
Lo relevante es que, a nivel técnico, las herramientas de línea de comandos no muestran una carpeta independiente llamada SAT PoC. Los listados con unrar, bsdtar y lsar únicamente identifican una ruta principal:
RENAP SAT PoC/
Dentro de esa ruta están los archivos extraíbles, y al final del listado aparece una entrada de directorio de 0 bytes correspondiente a esa misma carpeta:
...D... 0 2026-04-28 12:09 RENAP SAT PoC
Esto significa que el archivo sí tiene una estructura válida y sí contiene archivos, pero no sostiene del todo la expectativa de que hubiera evidencia separada para RENAP y SAT. La GUI puede dar la impresión de mostrar otra carpeta o interpretar visualmente el nombre de forma confusa, pero en los listados técnicos no aparece una carpeta real llamada SAT PoC.
Lectura preliminar: el RAR está íntegro, pero el contenido parece limitado a una única ruta llamada RENAP SAT PoC/. No se observó una carpeta independiente SAT PoC ni archivos organizados separadamente para SAT en los listados técnicos.
SHA256 del archivo revisado:
891b96d1517bacb4ee3f2d63c658979b7ab079dc0f8a937d0fb2bda815509174
Esta observación no descarta la afirmación del actor, pero sí reduce el peso técnico de la evidencia incluida en ese paquete específico. Por ahora, el contenido luce parcial o limitado respecto a la narrativa inicial.
Estado de validación
| Campo | Estado |
|---|---|
| Publicación observada | Sí |
| Confirmación institucional | RENAP y SAT niegan compromiso o incidencia en sus sistemas |
| Validación técnica independiente | Pendiente |
| Acceso a dumps | No realizado |
| Evidencia sanitizada | Incluida |
| Paquete RAR revisado | Íntegro, pero con evidencia limitada |
| Alcance real | No confirmado |
| Supuesto PoC publicado por actor | Observado, no concluyente |
Evidencia sanitizada
Evidencia sanitizada. Se omiten nombres de foros, enlaces directos, canales de contacto, muestras con PII y datos de personas afectadas.
Addendum · 28 abril 2026
Posterior a la publicación preliminar, RENAP emitió una comunicación pública indicando que la información sobre un supuesto hackeo o vulneración de sus sistemas es falsa.
Según el comunicado, la institución mantiene monitoreos constantes, no ha detectado ataques que comprometan la información de los guatemaltecos y no existen alertas críticas que indiquen afectación a su infraestructura tecnológica, consumo masivo o comportamientos anómalos en sus servicios.
Esta actualización se incorpora como parte del seguimiento del caso. La publicación del actor continúa tratándose como una afirmación preliminar y no confirmada, sujeta a validación técnica independiente y a nueva información disponible.
Comunicado público de RENAP. Se incluye como actualización institucional relevante para el seguimiento del caso.
Addendum · SAT · 28 abril 2026
Posterior a la publicación preliminar, SAT Guatemala emitió una comunicación pública indicando que mantiene monitoreo permanente sobre sus sistemas institucionales, conforme a sus protocolos de seguridad informática, y que al momento no presentan ninguna incidencia.
Esta comunicación se incorpora como actualización institucional relevante para el seguimiento del caso. La afirmación del actor sobre un supuesto compromiso de SAT continúa tratándose como preliminar y no confirmada.
Comunicado público de SAT. Se incluye como respuesta institucional relevante frente a publicaciones sobre posibles incidentes de ciberataques.
Observación sobre supuesto PoC publicado por el actor
Posteriormente, el handle GordonFreeman publicó un enlace a un supuesto PoC asociado a las afirmaciones sobre RENAP y SAT.
El material observado no valida por sí solo el compromiso alegado. El archivo revisado contiene un volumen limitado de elementos. Aunque incluye archivos con nombres alusivos a documentos de RENAP y SAT, no se observó evidencia suficiente para confirmar acceso, exfiltración masiva o compromiso de sistemas institucionales. El análisis técnico del paquete RAR confirma que el archivo es íntegro pero no contiene una estructura separada para SAT.
Captura sanitizada del contenido observado en el supuesto PoC. No se incluyen enlaces directos, canales de descarga ni datos personales.
Por lo anterior, el supuesto PoC debe tratarse como evidencia no concluyente. No se incluyen enlaces directos, canales de descarga ni material que pueda facilitar acceso a datos filtrados o amplificar la publicación del actor.
Impacto potencial
Si las afirmaciones del actor fueran válidas, el impacto potencial incluiría:
- Suplantación de identidad.
- Fraude financiero, tributario y registral.
- Ingeniería social contra ciudadanos, funcionarios y entidades privadas.
- Abuso de datos vehiculares para extorsión, doxxing o seguimiento físico.
- Incremento del riesgo para procesos KYC y verificación de identidad.
- Riesgo para aseguradoras, financieras, bancos, comercios y entidades que dependen de validación documental.
- Daño reputacional e institucional a nivel país.
Recomendaciones preliminares
-
Tratar la publicación como señal prioritaria de Threat Intelligence, pero no como hecho confirmado hasta validación.
-
Preservar evidencia de la publicación, evitando difundir enlaces directos, canales de contacto o muestras con PII.
-
Monitorear menciones de RENAP, SAT, L4TAMFUCKERS y handles asociados.
-
Validar si existen indicadores técnicos correlacionables con actividad previa contra instituciones guatemaltecas.
-
Reforzar monitoreo de accesos anómalos, APIs expuestas y credenciales filtradas en entidades críticas.
-
Revisar exposición pública de servicios, endpoints y buckets asociados a datos sensibles.
-
Preparar comunicación responsable, evitando amplificar al actor o generar pánico sin confirmación.
-
Alertar internamente a equipos de fraude, ciberseguridad y riesgo tecnológico sobre posible uso futuro de datos para phishing, suplantación y validaciones fraudulentas.
Metodología y disclaimer
- Este análisis se basa exclusivamente en inteligencia de fuentes abiertas (OSINT) y observación pasiva de espacios clandestinos.
- La información debe considerarse preliminar y no confirmada.
- No se realizó contacto con sistemas afectados ni se accedió a datos filtrados más allá de muestras publicadas por los actores.
- La atribución se basa en handles observados en publicaciones clandestinas y no equivale a identidad real verificada.
- Los handles se conservan porque son relevantes para trazabilidad, correlación y seguimiento de Threat Intelligence.
- Los nombres de foros, enlaces directos, canales de contacto, muestras con PII y datos de personas afectadas han sido deliberadamente omitidos o sanitizados.
- Los datos son verificados al 28 de abril de 2026. La atribución y el alcance están sujetos a evolución conforme surja nueva información.