Una revisión conjunta de ciberseguridad entre el Gobierno de Guatemala y el Departamento de Defensa de Estados Unidos reveló que redes gubernamentales guatemaltecas, en particular las del Ministerio de Relaciones Exteriores, fueron blanco de un sofisticado ataque cibernético atribuido a un grupo de hackers con vínculos con el gobierno chino.
¿Pero qué son y cómo operan estos cibercriminales chinos? El Comando Sur del Ejército de EE.UU. confirmó este martes que la amenaza fue identificada como APT-15, también conocida bajo diversos nombres como Vixen Panda, Nickel, Nylon Typhoon, Ke3Chang y Playful Dragon.
Se trata de una de las agrupaciones de espionaje cibernético más activas y sofisticadas del ecosistema digital global, con historial comprobado de ataques a entidades diplomáticas y gubernamentales en América Latina, Europa, África y Asia.
APT-15 es un Actor Persistente Avanzado (APT, por sus siglas en inglés), asociado a intereses estatales de la República Popular China. Es un grupo de ciberespionaje avanzado vinculado al gobierno chino, específicamente al Ministerio de Seguridad del Estado (MSS) de China.
Este grupo ha operado desde al menos 2010 y ha sido documentado por múltiples firmas de ciberseguridad, incluyendo Microsoft y ESET, debido a sus campañas de infiltración contra ministerios de relaciones exteriores, organizaciones de derechos humanos y centros de pensamiento estratégico.
Su enfoque se centra en objetivos diplomáticos y gubernamentales, especialmente aquellos con relevancia geopolítica para China.
Han desarrollado y utilizado herramientas de intrusión personalizadas como iWebRAT, Mirage, Lingbo, BS2005, MagicFire, Okrum y Ketrican, y comúnmente emplean técnicas como spear phishing, explotación de vulnerabilidades sin parches y robo de credenciales.
Una vez dentro de los sistemas, el grupo es capaz de mantenerse oculto por largos periodos, recolectando información sensible de forma constante.
Diferentes empresas de ciberseguridad y gobiernos les han dado nombres distintos: Vixen Panda (CrowdStrike), Nickel (Microsoft), Ke3chang (FireEye), Nylon Typhoon (Microsoft, en su nuevo esquema de nombres de amenazas) Microsoft demandó a APT-15 en 2021 y tomó control de múltiples dominios usados por este grupo.
Técnicamente utilizan malware personalizado como RoyalDNS, BS2005, Okrum y otros backdoors, además emplean técnicas de spear phishing, vulnerabilidades en software y movimientos laterales dentro de redes comprometidas. En algunos casos, han sido vinculados al robo de propiedad intelectual y documentos confidenciales.
¿Por qué Guatemala?
APT-15 se enfoca en ciberespionaje, principalmente político, diplomático y militar. Sus objetivos suelen ser gobiernos, ONGs, empresas tecnológicas y entidades diplomáticas y han atacado objetivos en Europa, América Latina, Asia y África. Usualmente sus ataques son dirigidos a gobiernos extranjeros, especialmente embajadas y ministerios de Relaciones Exteriores.
“Creemos que estos ataques fueron utilizados principalmente para recopilar información de agencias gubernamentales, centros de pensamiento y organizaciones de derechos humanos”, declaró Tom Burt, vicepresidente de Seguridad del Cliente en Microsoft en un blog en 2021.
El ataque a la Cancillería guatemalteca evidencia el creciente interés de China por tener visibilidad e influencia en la región centroamericana, una zona donde el equilibrio diplomático es delicado. Guatemala es el aliado más fuerte de Taiwán en la región centroamericana y del Caribe, algo que históricamente ha generado fricciones con Beijing.
El grupo Vixen Panda ha sido vinculado recientemente con ataques contra entidades relacionadas con la Iniciativa de la Franja y la Ruta, un ambicioso proyecto de infraestructura global impulsado por el gobierno chino, lo que refuerza su papel en misiones de espionaje político y económico.
De acuerdo con especialistas, APT-15 ha sido vinculado a campañas recientes contra otros países latinoamericanos como Brasil, Chile y Belice, así como también a operaciones en África y países europeos como Bélgica y Eslovaquia, entre otros.
La operación de ciberespionaje en Guatemala se alinea con los intereses geopolíticos de China y forma parte de una estrategia más amplia de vigilancia digital.
The Government of Guatemala in collaboration with the @DeptofDefense recently completed a joint cyber security review of Guatemalan government networks, a testament to our ongoing cooperation and shared commitment to strengthening Guatemala’s digital infrastructure and… https://t.co/0AwAf9VDin
— U.S. Southern Command (@Southcom) April 29, 2025
¿Qué se está haciendo?
El hallazgo fue revelado durante el ejercicio regional de ciberseguridad Defensa del Sur 2025, en el que participaron autoridades diplomáticas y militares de Guatemala, EE.UU. y Taiwán.
El presidente Bernardo Arévalo alertó sobre la gravedad del incidente, afirmando que se trató de un ataque real, no de una simulación, y que su origen fue claramente identificado como proveniente de China.
“Estamos hablando de ataques reales, no de hipótesis ni escenarios futuros. Es un reto que ya está presente”, afirmó Arévalo ante los asistentes, entre ellos el embajador estadounidense Tobin Bradley y la embajadora de Taiwán, Vivia Chang.
La administración guatemalteca ha hecho un llamado urgente a fortalecer las capacidades tecnológicas del Estado, al tiempo que Estados Unidos reafirmó su compromiso de apoyar a Guatemala frente a amenazas cibernéticas de carácter global.
China ha hecho diferentes tipos de presiones diplomáticas y comerciales a Guatemala para buscar que rompa su relación de más de 90 años con Taiwán, pero el gobierno de Arévalo ha reiterado su decisión de mantener las relaciones con Taipei en lugar de Pekín.
