Una filtración cibernética en la fiscalía de Colombia ha expuesto las identidades de más de 100 agentes de la DEA de Estados Unidos y otras entidades federales encargadas de hacer cumplir la ley, junto con decenas de sus homólogos colombianos y globales.
Los nombres de al menos 90 agentes de la DEA y al menos 15 agentes de Investigaciones de Seguridad Nacional fueron revelados en la filtración, que se compartió con periodistas e incluyó una enorme cantidad de correos electrónicos y otros datos.
Aunque la propia DEA no fue violada y los periodistas no publican los nombres ni ninguna información que identifique a los agentes, la filtración demuestra una falta de salvaguardias mantenidas por Colombia, un aliado estratégico de Estados Unidos en sus esfuerzos para contrarrestar a los cárteles de la droga.
“Es una de sus pesadillas porque (los cárteles)… pueden identificar agentes e informantes, especialmente si todavía estás en el país”, dijo Mike Vigil, ex jefe de operaciones internacionales de la DEA que ayudó a la agencia a expandir su huella global de inteligencia en todo el mundo.
“Cada vez que personas no autorizadas tienen el nombre de un agente o un informante, no es difícil localizarlos”.
Un cártel tal vez no quiera arriesgarse a las consecuencias de matar a un agente de la DEA, dijo Vigil, pero “para ellos, los informantes son presa fácil porque se les considera traidores y los matarán para enviar un mensaje a otros que estén pensando en cooperar”.
La filtración de la fiscalía colombiana proporcionó la base para NarcoFiles, un proyecto multinacional de reportajes de investigación de OCCRP junto con más de otros 40 medios de noticias, incluido el Miami Herald.
En octubre de 2022, la fiscalía colombiana reconoció en un comunicado que había habido una violación, pero no dijo qué quedó expuesto en el hackeo. La filtración plantea una amenaza potencialmente mayor para las autoridades colombianas y otras autoridades, ya que incluye nombres de agentes encubiertos, testigos y detalles clave sobre informantes.
Una organización “hacktivista” que se hace llamar Guacamaya, una palabra común en algunas partes de América Latina para referirse al loro guacamayo, se ha atribuido la responsabilidad.
Guacamaya también dijo que había pirateado el Ministerio de Defensa de México, así como los departamentos de defensa de Chile, Colombia y otros, aparentemente explotando una vulnerabilidad en el servidor de correo electrónico Microsoft Exchange, que es utilizado por empresas y gobiernos de todo el mundo. ( Lea más sobre la filtración aquí ).
En su manifiesto, Guacamaya llamó a la fiscalía colombiana “una de las organizaciones más corruptas del país” y la acusó de ser servil a los intereses estadounidenses.
Una vez pirateado la fiscalía, Guacamaya compartió los cinco terabytes de información, incluidos unos siete millones de correos electrónicos, con dos grupos, que luego compartieron los datos con los periodistas.
Los portavoces de la DEA y el Departamento de Justicia no respondieron a múltiples correos electrónicos solicitando comentarios.
Solicitudes de asistencia de EE. UU.
Los documentos de NarcoFiles incluyen docenas de solicitudes del Departamento de Justicia de Estados Unidos de asistencia para realizar escuchas telefónicas, vigilancia, arrestos y extradición de sospechosos buscados por tráfico de drogas y lavado de dinero.
Debido a que los documentos están vinculados a investigaciones legales que serán o fueron utilizadas en casos judiciales, contienen los nombres de los agentes que trabajaron en casos particulares y, en el caso de testigos o informantes, a menudo números de teléfono, así como otros detalles que podrían exponer ponerlos en grave peligro.
Algunos documentos también contenían los números de teléfonos móviles y alias de sospechosos a los que la DEA pidió ayuda para rastrear.
Los documentos colombianos incluyen amplios detalles personales sobre agentes encubiertos colombianos y familiares, a menudo documentando antecedentes personales extraídos de verificaciones de antecedentes.
Por el contrario, la política de la DEA requiere detalles sobre los informantes mantenidos en formularios especiales que están protegidos y son accesibles sólo bajo circunstancias documentadas, dijo Vigil, el exjefe de operaciones. Dijo que a los informantes se les dieron números de código que se utilizaron para identificarlos.
“Si en algún documento se mencionaba al informante, siempre era ese número”, dijo Vigil, añadiendo que nunca se compartió con el país anfitrión porque “siempre existía la posibilidad de un compromiso”.
OCCRP identificó al menos 90 miembros de la DEA, la mayoría de los cuales trabajan en o con Colombia, en NarcoFiles. Algunos aparecieron en casos judiciales o documentos públicos, pero muchos no tuvieron huella en línea.
Tom Devine, director legal del Proyecto de Responsabilidad Gubernamental, un grupo que presenta casos de denunciantes contra el gobierno federal de Estados Unidos, dijo que la identificación del personal de la DEA “representa un riesgo que pone en peligro la vida de esos agentes”.
“Hay una gran diferencia entre los rumores y la confirmación de una relación de trabajo por parte del gobierno de Estados Unidos”, dijo.
Colombia ha recibido más de 13 mil millones de dólares en ayuda exterior estadounidense desde 2000, gran parte de ella para el ejército colombiano y en apoyo a los esfuerzos antinarcóticos.
No está claro hasta qué punto la DEA ha financiado y asesorado a su socio en materia de seguridad de la información, o qué exigencias ha impuesto en materia de protección de información sensible.
Colombia ocupó el puesto 81 entre 182 naciones y territorios en el Índice Global de Ciberseguridad 2020, publicado por la Unión Internacional de Telecomunicaciones con aportes de las Naciones Unidas. El índice pesa las leyes, la capacidad tecnológica, las estructuras organizativas y la cooperación global de un país.
“La continua tendencia de la región a sufrir importantes crisis cibernéticas gubernamentales es una fuerte evidencia de que se deben intensificar los esfuerzos coordinados a nivel nacional y regional”, dijo el Consejo de Relaciones Exteriores en una publicación de blog de expertos en marzo, que citaba los ataques de Guacamaya.
