Las municipalidades cuentan con datos que pueden utilizarse en usurpación de identidad, pero no cuentan con los recursos para protegerlos.
Por Pilar Rodríguez
En abril (2026), cuatro instituciones reportaron hackeos a sus servidores: la Dirección General de Control de Armas y Municiones (Digecam), el Ministerio de Trabajo, la Universidad de San Carlos y la Universidad Rafael Landívar.
Según Luis Assardo, experto en seguridad digital y desarrollo web, esto ocurre ya que Guatemala tiene una línea de defensa baja en seguridad de sitios estatales.
Sin embargo, hay quienes albergan datos sensibles que ante una brecha de seguridad, pueden representar un grave riesgo de usurpación de identidad para la ciudadanía: las municipalidades.
Riesgos de usurpación de identidad
De acuerdo con Assardo, las municipalidades suelen operar con presupuestos bajos y poca prioridad en ciberseguridad. En algunos casos, aún manejan información de forma manual.
“Las municipalidades cuentan con datos como la dirección de las personas, los teléfonos y los correos que tienen registrados. Todos esos datos podrían servir en algún momento para hacer una usurpación de identidad”, ejemplifica.
Menciona que hay municipalidades que sí invierten en ciberseguridad, como la de ciudad de Guatemala. Assardo considera que la comuna cuenta con infraestructura sólida, personal capacitado, protocolos estrictos y control de acceso.
El primer paso que las comunas podrían seguir para blindar sus datos es realizar un diagnóstico de riesgo para identificar vulnerabilidades y acciones inmediatas. Sin esto no es posible avanzar, insiste.
De acuerdo con Emerson Valenzuela, experto Chief Technology Officer (CTO) de EW Consulting, mientras más integrados estén los sistemas de una municipalidad, mayor es el impacto de un hackeo. “En esos casos sí puede afectar a planillas de empleados o sistemas de pago, desde filtración de datos hasta interrupción o bloqueo de servicios”, analiza.
Concuerda con Assardo en que hay amenazas más comunes como phishing o suplantación de identidad, que no necesariamente requieren vulnerar sistemas complejos y pueden afectar tanto a funcionarios como a vecinos.
Sin ley ni estándares
En la actualidad, Guatemala no cuenta con una ley de ciberseguridad. Para Assardo, las iniciativas de ley han sido repetitivas y con modificaciones constantes.
La propuesta más reciente, a su parecer, tiene carencias y riesgos, como posibles mecanismos de censura o intervención de comunicaciones. Además, no existe un estándar obligatorio ni una entidad que supervise permanentemente la seguridad de las infraestructuras estatales, dice.
No solo son los sitios
“Hay grupos que desde 10 o 15 años buscan sitios con licencias deficientes, accesos libres y puertos abiertos; es decir, sistemas con ‘puertas y ventanas abiertas’”, instruye. El rezago en ciberseguridad y ciberdefensa se ha acumulado durante años.
El primer elemento al que las entidades deberían prestar atención es la infraestructura: los equipos y sistemas deben estar actualizados, con licencias vigentes y firmware adecuado.
La infraestructura incluye cableado, servidores y ubicación de la información. Existe un problema legal, dice Assardo: las entidades buscan evitar que datos sensibles estén en otras jurisdicciones legales, por ejemplo, que su información esté en Estados Unidos o que esté en servidores de otros países.
Esto obliga a contratar servicios locales sin centros de datos adecuados. “Al final eligen opciones baratas en nubes compartidas y el resultado es peor: los datos terminan en el extranjero y bajo condiciones inseguras”, asegura.
Las entidades deben contar con personal con habilidades y certificaciones adecuadas. Para instituciones pequeñas esto es un reto. Reconoce que no tienen la capacidad, aunque existen alternativas más accesibles si se buscan servicios fuera del ámbito local.
“Existen soluciones simples y gratuitas”, comenta Assardo. Una de las primeras defensas es un CDN (Content Delivery Network), que evita que un sitio sea fácilmente derribado. También es clave mantener certificados de seguridad vigentes.
Además, deben existir políticas internas: uso de contraseñas seguras, administradores de contraseñas, llaves de seguridad y encriptación de datos.
