* La Embajada de Estados Unidos en Guatemala alertó en 2025 que el sistema informático de la Cancillería fue hackeado por un grupo ligado a la República Popular de China.
* Hasta ahora, las autoridades no han precisado qué información pudo haber sido vulnerada.
* El episodio dejó de ser un incidente técnico para convertirse en un asunto geopolítico.
Especial para Expediente Público
Guatemala ha sufrido cinco alertas de ataques cibernéticos en lo que va del año. Los ministerios de Defensa, Trabajo y Salud y la Universidad de San Carlos, la única pública del país, confirmaron los hackeos. Mientras que la cartera de Finanzas lo negó. De su lado, la universidad Rafael Landívar reportó filtración de datos.
El presidente guatemalteco, Bernardo Arévalo, dijo el mes pasado que esto no sucedía solo en Guatemala, sino que eran ataques a nivel global. “Lo que están haciendo es realizar estos hackeos de información, poniendo en riesgo o amenazando, asustando, para tratar de conseguir que se les pague la suma correspondiente”, dijo el mandatario en una rueda de prensa e indicó que Guatemala trabaja en fortalecer sus niveles de ciberseguridad y ciberdefensa.
Sin embargo, los ciberataques no comenzaron en 2026. En el gobierno del expresidente Alejandro Giammattei (2020-2024) hubo un hackeo al ministerio de Relaciones Exteriores (Minex). La infiltración sucedió en 2022, pero la noticia pasó desapercibida en la opinión pública.
Suscríbase al boletín de Expediente Público y reciba más información
La intrusión no hizo ruido: no hubo puertas forzadas ni archivos regados en el suelo, sino rastros digitales dentro de los servidores. Durante meses, la vulneración permaneció fuera del debate público, mientras el país continuaba su rutina diplomática, ajeno, al menos oficialmente, a que su sistema digital había sido comprometido.
Un hackeo de dimensiones geopolíticas
Fue después, en abril de 2025, cuando Estados Unidos alertó que el ataque provino de grupos vinculados a la República Popular de China, que el escándalo estalló. El episodio dejó de ser un incidente técnico para convertirse en un asunto geopolítico. En un país que no mantiene relaciones diplomáticas con Pekín, pero que sostiene un intercambio comercial creciente, la sospecha de espionaje introdujo una nueva variable en un tablero ya cargado de tensiones.
Guatemala es uno de los doce Estados que aún reconoce a Taiwán como nación soberana. Esa posición, que durante décadas fue parte estable de su política exterior, hoy se encuentra bajo presión en medio de la competencia estratégica entre China y Estados Unidos por influir en América Latina.
Más allá de la afectación técnica, el hackeo evidenció una fragilidad estructural: la debilidad de los sistemas de protección digital del Estado y la ausencia de claridad pública sobre el alcance de la vulneración.
“Todo el sistema informático del Ministerio de Relaciones Exteriores de Guatemala fue hackeado por grupos de espionaje cibernético con sede en la República Popular de China”, señaló la Embajada de Estados Unidos a través de un comunicado oficial, tres años después del ataque.
El señalamiento se dio tras una revisión conjunta de seguridad cibernética realizada entre el Gobierno de Guatemala y el Departamento de Defensa de Estados Unidos. Según la Embajada, este proceso tenía como objetivo fortalecer la infraestructura digital guatemalteca y contribuir a la ciberseguridad global.
Sin embargo, durante esa revisión, el equipo conjunto de Estados Unidos y Guatemala identificó la presencia de una amenaza persistente avanzada (APT, por sus siglas en inglés). Incluso identificaron al grupo atacante, el APT-15, también conocido como Vixen Panda, Nickel o Nylon Typhoon, según lo informado en ese momento por las autoridades estadounidenses.
¿Quiénes son? Vixen Panda, Nickel y Nylon Typhoon son nombres con los que empresas de ciberseguridad identifican a APT-15, una red de hackers vinculada a operaciones de ciberespionaje asociadas a intereses del Estado chino, de acuerdo con un informe de la empresa de antivirus ESET.
Activo al menos desde 2010, este grupo se especializa en infiltrarse en ministerios, embajadas y organismos gubernamentales para robar información estratégica, como comunicaciones diplomáticas y documentos internos.
Un colaborador de Front Line Defenders, quien por temas de confidencialidad no puede revelar su identidad, explicó que APT es una nomenclatura que utilizan distintas empresas y agencias de ciberseguridad alrededor del mundo para separar a los grupos de delincuentes comunes de los grupos de delincuentes mucho más sofisticados.
“APT significa Advance Persistent Threat, que son amenazas de resistencia avanzada. Estos básicamente son grupos que normalmente quienes están detrás de ellos son los gobiernos y se les conoce así porque tienen recursos económicos bastante altos; y el APT-15, hasta donde yo sé, es un grupo que se le vincula al gobierno de China”, indicó.
El experto recordó que en 2019 la empresa eslovena ESET, especializada en ciberseguridad, publicó un reporte donde encontró que en 2015 se había instalado un tipo de malware (software malicioso) en distintas embajadas y que Guatemala aparecía en su informe.
Según ESET, varios de estos ataques han sido atribuidos al Grupo Machete, de origen desconocido, también identificado como APT-C-43. Es un colectivo de ciberespionaje activo desde al menos 2010 que se especializa en sustraer información confidencial de instituciones gubernamentales y fuerzas militares, principalmente en países de América Latina.
Deslice para más información
En contexto: Guatemala bajo la sombra china: desequilibrio comercial y coerción política
Un asunto de seguridad nacional
Los ataques de ciberespionaje contra gobiernos y redes diplomáticas no son hechos aislados. Investigaciones de empresas de ciberseguridad, como Microsoft y ESET, han identificado campañas dirigidas contra instituciones gubernamentales en Perú, Venezuela, Colombia, Rusia y Estados Unidos, entre otros, donde los atacantes han buscado acceder a comunicaciones oficiales, documentos diplomáticos y datos sensibles.
La Front Line Defenders fue fundada en Dublín en 2001, con la misión de proteger a defensores de derechos humanos en riesgo. El experto de esa entidad comentó que los tipos de ataques que usualmente utilizan los hackers suelen ser de ingeniería social bastante avanzados.
“Son engaños muy bien elaborados y creados a la medida. Estos se realizan a través del envío de un correo electrónico al personal de las embajadas. Son correos electrónicos muy bien elaborados con buena redacción para que parezcan legítimos y se adjuntan archivos o enlaces maliciosos que al hacerle clic o al abrirlos aprovechan vulnerabilidades que tienen los equipos para instalar un virus en la computadora y así ese virus se mantiene en el sistema sin ser detectado”, indicó el experto.
Según su explicación, los virus diseñados para instituciones diplomáticas suelen manipular conversaciones y monitorear documentos para luego enviarlos a un centro de datos.
En otro tipo de ataques contra empresas de telecomunicaciones, de energía eléctrica, de sistemas de agua o de transporte, los hackers roban la información para después pedir un rescate. Estos ataques se atribuyen mucho a grupos de Corea del Norte, afirmó el especialista.
“Estos son los diferentes tipos de ataques que se realizan contra las embajadas, las cancillerías o entidades diplomáticas; (…) el objetivo sería recolectar comunicaciones o información de carácter político”, señaló el colaborador de Front Line Defenders.
La pérdida o filtración de información de sistemas diplomáticos y gubernamentales puede tener consecuencias significativas para un país. Entre los principales riesgos están la exposición de comunicaciones confidenciales entre embajadas y cancillerías, documentos sobre negociaciones internacionales, estrategias de política exterior, información de seguridad y datos personales de funcionarios.
En manos de actores externos, esta información puede utilizarse para anticipar decisiones del gobierno, ejercer presión política, manipular negociaciones o comprometer relaciones diplomáticas, debilitando la capacidad del Estado para proteger sus intereses y su seguridad nacional.
La Cancillería puso la información bajo llave
El Ministerio de Relaciones Exteriores mantiene en reserva toda la información relacionada con el hackeo de 2022, y lo hará hasta 2029. En respuesta a una solicitud de información pública, que buscaba tener acceso a los datos que habrían sido vulnerados, la institución argumentó que los documentos relacionados con el caso están bajo confidencialidad y que su divulgación podría causar perjuicio a las actividades de investigación y persecución de delitos.
Deslice para más información
La Cancillería estableció esta reserva en octubre de 2022, cuando Alejandro Giammattei aún era el presidente. Una segunda solicitud de información pública también fue rechazada por el Ministerio, pese a que se requería únicamente el índice o el listado de los correlativos de expedientes, nombres de asuntos y fechas de creación de la información contenida en los servidores de la institución, y no copia ni el contenido de estos.
El Ministerio respondió que la información solicitada “no obra en los archivos” de la institución. Ambas negativas impiden dimensionar las consecuencias del hackeo y conocer si existen más pistas que involucren a China.
La ciberseguridad en Guatemala
En abril de este año, el tema de la ciberseguridad volvió a estar en el centro del debate en el Congreso de la República luego de los supuestos ataques digitales contra varias entidades gubernamentales como el Ministerio de Finanzas, el Ministerio de Salud, el Ministerio de Trabajo y la Dirección General de Control de Armas y Municiones (Digecam).
Destacó el ataque al portal “Tu Empleo” que expuso más de 200,000 registros personales y 40 GB de información sensible.
Ahora, los diputados guatemaltecos discuten proyectos legislativos para tipificar y sancionar los ciberdelitos. La Iniciativa 6347 (Ley de Ciberseguridad) propone penas desde 6 a 30 años de prisión y la creación del Centro de Respuesta a Incidentes de Seguridad Informática (CSIRT-GT).
Sin embargo, debido a críticas sobre posibles penas desproporcionadas y dudas en su diseño institucional, ha surgido una propuesta paralela, la Iniciativa 6771, la cual plantea que la rectoría del Sistema Nacional de Ciberseguridad quede a cargo del Ministerio de Gobernación.
La cartera de Seguridad tiene un viceministerio de Tecnologías de la Información y las Comunicaciones, que impulsa el programa GT-CERT y coordina acciones de prevención y respuesta ante incidentes informáticos.
Lea también: Huawei: el operador silencioso de China en Centroamérica
Un problema geopolítico
El internacionalista Roberto Santiago recordó que oficialmente el Ministerio de Relaciones Exteriores y el Gobierno de Guatemala no han acusado a la República Popular de China por los cibertataques, por lo que la responsabilidad de este país ha quedado en el terreno de la suposición.
¿Cuáles podrían ser los objetivos de China si ese fuera el caso? Santiago afirma que pueden existir distintos, pues el espionaje implica una actuación más sistematizada y estratégica. “La captación de información puede ser usada para crear una base de datos; puede que China desee rastrear qué personajes guatemaltecos están más anuentes a formalizar una relación con ellos”, afirmó.
Para el internacionalista, otro factor que podría estar en juego es el interés por cercar diplomáticamente a Taiwán, un territorio en disputa con la República Popular de China. Guatemala es uno de los pocos países que aún lo reconocen y que se ha beneficiado con algunos proyectos.
A esto se suma la cercanía que ha tenido Guatemala con Estados Unidos históricamente y la posibilidad de planes de inversión y cooperación financiera.
Santiago añadió que la falta de tecnología adecuada y la dependencia tecnológica “vulneran la soberanía de los datos” al tercerizar su protección a otros países o empresas privadas.
“La debilidad institucional juega un rol importante en la facilitación de los ciberataques, ya que no se cuenta con la tecnología y programas adecuados para impermeabilizar los datos e información sensible que se maneja en las instituciones”, dijo Santiago.
Deslice para más información
Vulnerabilidad digital del Estado
El especialista en seguridad informática Javier Smaldone explicó que, aunque no existen indicadores que demuestren que Latinoamérica sea significativamente más propensa a ciberataques, el éxito de este tipo de intrusiones “probablemente está relacionado con una falta de infraestructura” de defensa digital en la región.
Smaldone afirmó que la seguridad informática ha sido concebida como un producto estático y no como “un proceso continuo” que requiere equipos humanos especializados y herramientas para el monitoreo y la actualización de sistemas como una constante.
Para el experto, en los Estados de la región “todavía no hay conciencia de tener este tipo de equipos de personas dotados con las herramientas necesarias”. Sobre los ataques atribuidos a grupos chinos, Smaldone explicó que no necesariamente provienen físicamente de China, pues muchas veces los atacantes operan desde otros países utilizando infraestructura ubicada en China o Rusia.
Un peligro para los ciudadanos
Smaldone advierte que cada Estado administra grandes volúmenes de información de la ciudadanía, desde registros civiles hasta datos de salud. Si se accede a esta información de manera ilegítima, los riesgos son “difíciles de dimensionar” y pueden ir desde estafas a pequeña escala hasta la posibilidad de espiar la vida de las personas.
Aunque técnicamente no existe diferencia entre proteger sistemas privados y estatales, el especialista señala que la tercerización de servicios tecnológicos y la dependencia de software y almacenamiento en el extranjero, como servicios en la nube de empresas globales, representan un riesgo adicional.
Como ejemplo, Salmadone explicó que, si un sistema crítico se encuentra alojado en otro país y enfrenta algún ataque, la justicia local posiblemente no tendrá jurisdicción para secuestrar los servidores y realizar peritajes, lo que evidencia la ausencia de marcos legales claros para la región.
Además: China gana, Centroamérica pierde: la trampa del comercio asimétrico
Guatemala, entre China y Taiwán
La relación entre la República China y Guatemala va más allá del hackeo. Aunque ambos países no tienen relaciones diplomáticas, sí mantienen intercambio comercial desde hace unos 40 años.
Una fuente allegada a la Cancillería guatemalteca recordó que, entre 2006 y 2008, existió una fuerte intención de establecer relaciones diplomáticas con ese país, pero no se concretó. En 2024, el presidente Bernardo Arévalo y su canciller, Carlos Ramiro Martínez, declararon su intención de fomentar relaciones comerciales con los chinos, sin que eso provocara un rompimiento con Taiwán.
La propuesta sonaba bien para los empresarios, mas no para los chinos que reclaman la adhesión de Guatemala al principio de “una sola China”.
Un mes después de las declaraciones de los funcionarios, Martínez participó en la toma de posesión del presidente de Taiwán, Lai Ching-te. Esto provocó que China impidiera el desembarque de contenedores de café y macadamia procedentes de Guatemala, según informes de la Asociación Guatemalteca de Exportadores (Agexport).
“Los chinos siempre estuvieron interesados en invertir en un canal seco y cada vez han sido más agresivos en sus negociaciones. En las elecciones pasadas sí hubo una reunión de muchos de los partidos políticos (guatemaltecos). A través de Huawei fue que se gestaron algunas instancias de negociación. Y allí se tanteó la posibilidad de romper relaciones con Taiwán e irnos con China”, explicó Roberto Wagner, experto en política internacional.
Agregó que la decisión, que pudo haber sido soberana, ahora está circunscrita a lo que diga Estados Unidos, país que ha negociado con Guatemala la rebaja de los aranceles impuestos por el presidente Donald Trump.
“Si Guatemala viene y dice rompemos con Taiwán y nos vamos con China, los logros que se han tenido en rebajar la política arancelaria no solo se pierden, sino que nos tiran un arancel del 80, 100 o 150 %. Así de fácil”, señaló.
Según el informe “Comercio asimétrico con China: ¿por qué pierde Centroamérica?”, publicado en febrero por Expediente Abierto, Guatemala se ha convertido en el principal socio comercial de China en la región, pues en 2024 los productos chinos representaron casi un quinto (19.13%) de sus importaciones, la mayor ratio en Centroamérica. Sin embargo, las ventas guatemaltecas a China no crecen.
Se buscó la opinión del Ministerio de Relaciones Exteriores guatemalteco, para responder las interrogantes sobre el hackeo y el comercio, pero no atendieron a las solicitudes de entrevista.
De su interés: Centroamérica no logra reemplazar los beneficios que tuvo con Taiwán
Estados Unidos retoma la región
En junio del año pasado, el presidente Arévalo y una comitiva viajaron a Taiwán para firmar acuerdos tecnológicos y afianzar la relación diplomática.
Tres meses después, Estados Unidos anunció las restricciones de visa a ciudadanos centroamericanos vinculados con el partido comunista chino. El comunicado emitido por el Departamento de Estado estadounidense indicó que el objetivo era “contrarrestar la influencia corrupta de China en Centroamérica y detener sus intentos de subvertir el Estado de derecho”.
“En este momento, Guatemala está sujeta a la relación con Taiwán. Esto, en parte, no solo por la cooperación que siempre hemos tenido con ellos, sino por la relación que tenemos con Estados Unidos. Estados Unidos ya prácticamente, de formas directas e indirectas, ha mandado órdenes de decir que no tengamos nada que ver con China.”, comentó Wagner.
Mientras Guatemala está entre un conflicto político que ha adquirido tintes ideológicos entre China y Taiwán, ambos países invitan a periodistas y líderes de opinión a visitarlos para mostrarles su cultura.
En este contexto, el hackeo al Ministerio de Relaciones Exteriores no es solo un caso de vulneración tecnológica, sino un recordatorio de que la soberanía digital y la seguridad nacional están directamente ligadas a la geopolítica global.
Más allá de los servidores comprometidos, el episodio evidencia que la protección de información sensible ya no depende únicamente de políticas internas, sino de cómo un país se inserta en un tablero global donde el espionaje cibernético se ha convertido en una herramienta de poder y de influencia política.
