Una filtración de la Fiscalía General de la Nación de Colombia ha expuesto las identidades de más de 100 agentes de la Drug Enforcement Administration (DEA) de Estados Unidos y de otras fuerzas de seguridad federales, junto con las de decenas de sus homólogos colombianos y de otros países.
Los nombres de al menos 90 agentes de la DEA y de al menos 15 investigadores del Homeland Security Investigations (HSI - Departamento de Seguridad Interior) fueron revelados en la filtración, que fue compartida con periodistas y que incluye una importnate cantidad de correos electrónicos así como otro tipo de información.
Pese a que la DEA en sí misma no sufrió ningún hackeo y que los periodistas participantes en el proyecto investigativo no van a publicar ni los nombres ni ningún dato que permita identificar a los agentes, la filtración demuestra una sorprendente falta de medidas de seguridad por parte de Colombia, un aliado estratégico de Estados Unidos en la guerra contra los carteles de la droga.
“Esto es una de sus pesadillas porque [los carteles]… pueden identificar a agentes e informantes, especialmente si aún estás en el país”, dijo Mike Vigil, exjefe de operaciones internacionales de la DEA que participó en la expansión global de la agencia.
“Cada vez que personas no autorizadas tienen los nombres de un agente o un informante, no es difícil localizarlos”.
Un cartel quizás no quiera arriesgarse a las consecuencias de asesinar a un agente de la DEA, señaló Vigil, pero “para ellos los informantes son presa fácil porque se les considera traidores y los matarán para mandar un mensaje a otros que estén pensando en cooperar”.
La filtración es la base de Narcofiles, un proyecto global de periodismo de investigación de OCCRP y otros 40 medios de todo el mundo.
Este artículo es parte de ‘NarcoFiles: el nuevo orden criminal’, una investigación periodística transnacional sobre el crimen organizado global, que explora cómo innova y cómo se extiende por el mundo.
El proyecto se originó con una filtración de correos electrónicos de la Fiscalía General de la Nación de Colombia. OCCRP, el Centro Latinoamericano de Investigación Periodística (CLIP), Vorágine y Cerosetenta / 070 accedieron de manera temprana a los datos, que fueron distribuidos por dos organizaciones: Distributed Denial of Secrets y Enlace Hacktivista. Luego compartieron la filtración con más de 40 medios de comunicación. Periodistas de 23 países trabajaron en las investigaciones, principalmente en América Latina, pero también en Europa y Estados Unidos.
Los periodistas examinaron y corroboraron el material junto a cientos de documentos, bases de datos y entrevistas.
En octubre de 2022, la Fiscalía de Colombia reconoció en un comunicado que había sido hackeada, pero no precisó qué información fue expuesta en el ataque virtual. La filtración supone potencialmente una mayor amenaza para Colombia ya que incluye los nombres de agentes encubiertos, testigos e información clave sobre informantes.
Una organización hacktivista que se autodenomina Guacamaya se atribuyó la autoría.
Guacamaya anunció también que había hackeado la Secretaría de la Defensa Nacional (Sedena), así como instituciones militares en Chile, Perú, El Salvador y Colombia, entre otros – aparentemente explotando una vulnerabilidad en el servidor de correo electrónico Microsoft Exchange, que es utilizado por empresas y gobiernos de todo el mundo. (Lea más sobre la filtración aquí).
En su manifiesto, Guacamaya calificó a la Fiscalía de Colombia como “uno de los organismos más corruptos del país” y la acusó de servilismo a los intereses de Estados Unidos.
Una vez que hackeó la fiscalía, Guacamaya compartió los cinco terabytes de información, que incluyen unos siete millones de correos electrónicos, con dos grupos, que luego compartieron los datos con los periodistas.
Los portavoces de la DEA y el Departamento de Justicia no respondieron a múltiples correos electrónicos solicitando comentarios.
Los documentos de NarcoFiles incluyen decenas de solicitudes de asistencia del Departamento de Justicia de Estados Unidos para realizar interceptaciones telefónicas, vigilancias, detenciones y extradiciones de sospechosos perseguidos por narcotráfico y lavado de dinero.
Al ser documentos vinculados a investigaciones que van o ya fueron usados en tribunales, muchos de ellos incluyen los nombres de los agentes que investigaron casos específicos. Además, en el caso de testigos y/o informantes, también están a menudo su número de teléfono y otras informaciones que los pueden poner en peligro.
En algunos documentos se mencionan los números de teléfono y los alias de sospechosos sobre los que la DEA solicita ayuda para rastrearlos.
Los documentos colombianos incluyen numerosos detalles personales de agentes encubiertos colombianos y sus familiares, a menudo documentando antecedentes personales.
En cambio, la política de la DEA exige que las informaciones sobre los informantes se guarden en formularios especiales que están protegidos y que solo son accesibles bajo circunstancias documentadas, señaló Vigil, el antiguo jefe de operaciones de la DEA.
“Si en algún documento se mencionaba al informante, siempre era un número”, dijo Vigil, añadiendo que nunca se compartió con el país anfitrión porque “siempre existía la posibilidad de un riesgo”.
En NarcoFiles, OCCRP identificó al menos a 90 miembros de la DEA, la mayoría de los cuales trabaja en o con Colombia. Algunos aparecen en casos judiciales o documentos públicos, pero muchos de ellos no tienen rastro alguno en Internet.
Tom Devine, director legal del Government Accountability Project, un grupo que representa lanzadores de alerta en casos contra el gobierno federal de Estados Unidos, dijo que la identificación del personal de la DEA “representa un riesgo que pone en peligro la vida de esos agentes”.
“Hay una gran diferencia entre rumores y entre la confirmación de una relación laboral con el Gobierno de Estados Unidos”, subrayó Devine.
Colombia ha recibido más de 13.000 millones de dólares en ayuda exterior estadounidense desde el año 2000, gran parte de ellos para el Ejército y en apoyo de los esfuerzos antinarcóticos.
No está claro hasta qué punto la DEA ha financiado y asesorado a su socio en materia de ciberseguridad, ni qué exigencias ha impuesto a la protección de información sensible.
Colombia ocupa el puesto 81 de 182 naciones y territorios en el Índice Global de Ciberseguridad de 2020, publicado por la Unión Internacional de Telecomunicaciones con la colaboración de las Naciones Unidas. El índice pondera las leyes, la capacidad tecnológica, las estructuras organizativas y la cooperación global de un país.
“La tendencia continuada de la región a sufrir grandes crisis cibernéticas gubernamentales es una prueba fehaciente de que debe intensificarse el esfuerzo coordinado a escala nacional y regional”, aconsejaba el think tank Council of Foreign Relations, en un blog de expertos el pasado mes de marzo, citando los hackeos de Guacamaya.
La verificación de datos fue llevada a cabo por el equipo de Fact-Checking del OCCRP.
