#FiscalíaLeaks: la mayor fuga de información de la historia
29 Enero 2023

#FiscalíaLeaks: la mayor fuga de información de la historia

Crédito: Jorge Restrepo

La filtración de información de la Fiscalía es más grande de lo que todo el mundo imaginaba. Quedaron al descubierto listas de teléfonos interceptados, nombres de agentes infiltrados y operaciones internacionales contra el crimen.

Entre aquí para recibir nuestras últimas noticias en su WhatsAppEntre aquí para recibir nuestras últimas noticias en su WhatsApp

La identidad de agentes extranjeros que trabajan secretamente en Colombia, sus fuentes y entregas de droga controladas quedaron expuestas por una falla en la seguridad informática de la Fiscalía General de la Nación. Hackers profesionales accedieron a sus comunicaciones internas y, con estas, a información secreta de investigaciones judiciales en curso. Los nombres y actividades de agentes infiltrados fueron descubiertos y afectarían investigaciones en el territorio nacional de policías secretos de diez países: Estados Unidos, Gran Bretaña, Francia, España, Países Bajos, Alemania y Australia, entre otros.

CAMBIO tiene en su poder documentos de identidad, códigos de seguridad, ubicación y detallados planes de operaciones secretas a las que han estado vinculados estos agentes, pero se abstiene de publicarlos para proteger su vida y respetar las reservas que la ley determina para la seguridad nacional de Colombia y otros países, así como la estrategia de lucha contra el narcotráfico, el comercio clandestino de armas y el tráfico de personas.

Desde septiembre de 2022 se supo públicamente que existía una filtración a gran escala de información en los servidores de la Fiscalía. El Espectador publicó documentos sobre el escándalo de Odebrecht, filtración atribuida a un grupo llamado Guacamaya Leaks, que había entrado en contacto con varios medios, incluyendo la revista CAMBIO. En estos archivos encontramos informaciones ultraconfidenciales que la Fiscalía manejaba en correos electrónicos y anexos, sin las debidas medidas de seguridad a juicio de miembros de la comunidad internacional de inteligencia.

Algunos vínculos electrónicos, a través de los cuales se produjo la filtración, siguen activos. Esto quiere decir que los piratas informáticos probablemente continúan espiando actividades de la Fiscalía en tiempo real, recopilando documentos confidenciales que podrían ser comercializados en el bajo mundo, lo que ha llevado a varias agencias internacionales a repensar su cooperación con las autoridades colombianas. La respuesta diplomática de los países afectados es invariablemente: “no comment”; pero una de esas fuentes aseguró, bajo compromiso de reserva de su identidad, que su embajada está revisando todas sus comunicaciones con autoridades colombianas en los últimos años, calculando los riesgos para información y agentes, y así decidir si los saca de las zonas en donde pueden estar corriendo peligro.

Otro bloque sensible de información que quedó expuesta tiene que ver con las operaciones de interceptaciones telefónicas. Varios archivos señalan los números que han sido escuchados en la Sala Bronce, la Sala Jaspe y la Sala Central seccional de Barranquilla. Los archivos no tienen el nombre de los interceptados, pero con un proceso de minería de datos se podrían identificar a los usuarios celulares cruzando los números con listados de abonados telefónicos.

Al descubierto

En las cinco terabytes (equivalentes a 32,5 millones de páginas de documentos) que están en poder de los piratas informáticos hay, por lo menos, 10.000 correos electrónicos que revelan la identidad de agentes encubiertos y fuentes humanas que trabajan en operaciones contra el narcotráfico en Colombia, Estados Unidos, Francia, España, Países Bajos, Alemania y Australia, entre otros. Además, hay otros 2.997 correos sobre entregas controladas, que es el nombre que recibe una operación de tráfico ilícito propiciada por las autoridades para capturar en flagrancia a los responsables. En algunos casos, junto a los seudónimos con los que operan estos agentes, aparecen sus nombres reales, documentos de identificación, y ubicación en Colombia o en los países en donde cumplen sus misiones.

En un informe de “investigador de campo”, dirigido a un fiscal especializado contra el narcotráfico, se expone el caso de una organización que enviaba droga desde Colombia a un país europeo. El documento, que debía ser secreto, fue enviado por un correo electrónico sin encriptar y allí se revela la identidad de la fuente y del agente europeo al que le informó los detalles del plan criminal. En pocas palabras, con un riesgo considerable se pone en evidencia al delator de una banda de narcotraficantes y al agente extranjero que recibió la información y coordinó la operación que incluía a la Fiscalía de Colombia, la Policía Nacional y a la Policía de su país. Además, el anexo al correo le asigna la misión a dos agentes encubiertos colombianos, que se hicieron pasar por compradores de droga para activar la entrega controlada.

Documento de la filtración Guacamaya Leaks

El informante de este caso asegura que en el pasado tuvo nexos con el narcotráfico y conoce a muchas personas dentro del mundo del hampa que lo buscan por su experiencia. Sin embargo, dice, hace unos años decidió cambiar su vida y se convirtió en fuente de las autoridades para ayudar al desmantelamiento de esas redes criminales.

En un primer momento, esos narcos lo buscaron para que les coordinara el envío de droga en pequeñas cantidades hacia distintos países con el fin de ver si tenía el control y manejo de los aeropuertos de salida y destino. El estupefaciente lo enviaron en maletas, con o sin pasajero.

Una vez se realiza el check in, la maleta pasa por la banda y en el interior del aeropuerto se realiza el control del contenido para la coordinación de la entrega controlada en el país de destino, todo esto con la participación de las autoridades, previa coordinación con la embajada”, dice el documento. Una vez “coronan” el envío y confirman que tienen el control de la ruta, se genera la confianza suficiente para que decidan enviar mayores cantidades.

Según la versión del informante, ha recibido hasta 50 millones de pesos por el envío de 20 kilos de cocaína, dinero que debió entregar a la embajada con la que estaba llevando el caso para que esta, a su vez, le pagara sus honorarios.

A raíz de la información que entregó la fuente, los investigadores del caso sugirieron al fiscal especializado que solicitara a sus superiores la autorización de técnicas especiales de investigación, como lo son las entregas controladas y la actuación de dos agentes encubiertos, de los cuales se revela nombre y documento de identidad.

Documento de la filtración Guacamaya Leaks

En la entrevista, los investigadores le preguntan a la fuente sobre lo que piensa de su seguridad y la de su familia, a lo que contesta que es necesario el profesionalismo por parte de las autoridades colombianas “evitando fugas de información” sobre la operación.

Otro caso muestra que un avión militar y un vehículo oficial fueron usados para una entrega controlada de drogas.

Desde el caso Santrich se empezaron a cuestionar los límites de los agentes encubiertos y el uso del aparato estatal en las operaciones que montan las autoridades y que llevan a los narcos a caer flagrantemente ante la justicia. Las opiniones están divididas sobre si el caso fue un entrampamiento o no.

Para profundizar

En uno de los tantos documentos sobre entregas controladas y agentes encubiertos se revela cómo es el uso de los bienes del Estado en operaciones contra el narcotráfico y cómo actúan los infiltrados.

Nuevamente, en un anexo a un correo electrónico, con destino a la Dirección Especializada contra el Narcotráfico, se informa a un grupo investigativo de la Fiscalía y a una unidad militar que tienen una “posibilidad de éxito” para realizar una operación contra un grupo delincuencial organizado transnacional, el cual sostiene alianzas criminales con el Clan del Golfo y que pretende movilizar cocaína bajo la modalidad de contaminación de contenedores desde los puertos de Cartagena, Barranquilla, Santa Marta y La Guajira, con destino final a un país europeo. “En ese orden de ideas, las técnicas especiales de investigación Agente Encubierto y Entrega Vigilada son indispensables para el proceso de indagación que se adelanta actualmente, porque permitirá obtener y recaudar suficientes elementos materiales probatorios”, se lee en el anexo.

Dicen los investigadores que su plan consiste en que un miembro de la organización criminal entregue 1.500 kilogramos de cocaína a los agentes encubiertos, pensando que serán transportados en un barco de ruta comercial desde Colombia hasta Europa, en donde otros miembros de la misma estructura la recibirán. Sin embargo, lo que realmente pasará es que cuando la droga sea recibida por agentes encubiertos colombianos será posteriormente entregada a los agentes de control, quienes le practicarán la prueba PIPH a la sustancia. Una vez se compruebe que es cocaína, se procederá al envío de la misma en un vuelo comercial desde el aeropuerto El Dorado hasta un terminal aéreo europeo.

Por otro lado, explican que la custodia y vigilancia de los elementos recolectados, durante la entrega vigilada en Colombia, estará bajo la responsabilidad del Grupo Investigativo Contra el Narcotráfico y para el traslado de la sustancia ilícita desde el sitio de entrega hasta el aeropuerto El Dorado, los investigadores ponen sobre la mesa dos opciones. La primera es usar un avión de la Fuerza Aérea Colombiana y la segunda es solicitar una comisión de servicio a los funcionarios del grupo investigativo para que realicen el desplazamiento en vehículos oficiales en compañía de escolta militar.

Con esos argumentos, los investigadores le piden a la Fiscalía que apruebe la participación en la operación de dos agentes encubiertos y de dos agentes de control, cuyos nombres reales también quedaron expuestos.

Documento de la filtración Guacamaya Leaks

En este caso, como muchos más, las identidades de agentes de inteligencia extranjeros y sus ubicaciones son consignadas en los documentos que están a merced de los hackers.

Descargando culpas

Las responsabilidades por la peligrosa filtración de información acabaron discutiéndose en un “proceso sancionatorio administrativo contractual” que la Fiscalía adelanta contra Colombia Telecomunicaciones, filial colombiana de la española Telefónica-Movistar. El ente acusador la señala como responsable; sostiene que un contrato la obligaba a evitar la filtración. Argumenta que así lo establecen las cláusulas del contrato 0103 que firmó en 2019, que básicamente era la prolongación del suscrito en 2003 para la administración de las telecomunicaciones de la Fiscalía.

Lo cierto es que, de acuerdo con el contrato, la responsabilidad de la filial de Telefónica se limitaba a probar semestralmente si existían vulnerabilidades informáticas en el sistema de la Fiscalía, pero la obligación de vigilancia y control sobre información confidencial de seguridad corresponde exclusivamente al ente investigador y no es delegable.

Colombia Telecomunicaciones se negó a pronunciarse. Dice que legalmente no puede hacerlo, precisamente porque todo el tema está en litigio con la Fiscalía. Agrega que tiene cómo demostrar que cumplió su contrato y que, en derecho, espera un resultado favorable.

La Fiscalía negó a los periodistas el acceso a los documentos del proceso sancionatorio que adelanta contra Colombia Telecomunicaciones por el presunto incumplimiento del contrato. La subdirectora de Gestión Contractual, Marta Cecilia Sánchez, asegura que por el momento el asunto no es de interés público, “pues solo atañe a las partes responsables… esto es: el contratista, el garante y la supervisión, y al que pida la decisión se le entregará cuando esta cobre fuerza legal”.

El portal de seguridad informática Shodan tuvo listados los servidores de la Fiscalía como altamente vulnerables durante el ataque. La filtración de Guacamaya Leaks se produjo a través del rastreo de servidores de correo en busca de claves vulnerables. Las advertencias de Telefónica, matriz de Colombia Telecomunicaciones, empezaron en abril de 2021, luego de que Microsoft alertara a sus usuarios en todo el mundo de que el servidor de correo Exchange, utilizado por millones de personas, entre ellas 25.000 funcionarios de la Fiscalía, tenía esa vulnerabilidad, que exponía la confidencialidad de los correos electrónicos.

En materia informática, la clasificación de riesgo se da en tres parámetros: integridad, disponibilidad y confidencialidad. Adicionalmente, Microsoft había advertido que la complejidad del ataque era baja, es decir que no se necesitaba una operación sofisticada de hackeo para acceder a la información porque los huecos eran fácilmente explotables incluso por aficionados.

Una alerta de la filial de Telefónica a la Fiscalía, conocida por CAMBIO, señala que el riesgo afectaba todas las categorías: integridad, disponibilidad y confidencialidad. Al mismo tiempo, señalaba que era urgente “parchar” los huecos. El parche lo suministraba gratuitamente Microsoft y lo único que tenía que hacer la Fiscalía colombiana era descargarlo e instalarlo en sus ocho servidores. La arquitectura informática del ente acusador está diseñada como un sistema de espejos para que estos servidores trabajen al tiempo y se respalden mutuamente. Lo inexplicable es que el parche fue instalado en seis de los ocho servidores y dejó dos abiertos, que se convirtieron rápidamente en pasto de los hackers.

En el caso de que no sea necesario mantener abierto el servicio, se recomienda valorar el cierre del mismo”, dice la alerta. Es decir, la recomendación de Microsoft, trasladada a la Fiscalía por su contratista, era suspender el servicio de correo electrónico, instalar el parche y superar el riesgo, en mayo de 2021. Entre las filtraciones a las que tuvo acceso, CAMBIO encontró correos de la Fiscalía recibidos hasta junio de 2022.

Según CAMBIO pudo constatar, en agosto de 2022, en un chat de la deep web (el inframundo de la Internet) se ofrecieron en venta cinco terabytes con correos electrónicos de la Fiscalía de Colombia, que incluían los archivos de emails usados por fiscales e investigadores en la plataforma Microsoft Exchange. Además, había ofertas para acceder en tiempo real a los correos electrónicos ya que muchos de los funcionarios tenían claves fácilmente determinables y ninguno de ellos estaba protegido por doble verificación. La filtración empezó por razones políticas, pero al menos una parte de ella terminó en manos de piratas oportunistas que quisieron lucrarse.

El descuido institucional de los protocolos de seguridad informática se agravó durante la pandemia. Muchos funcionarios siguieron manejando los procesos desde sus casas y tuvieron problemas para acceder remotamente a los computadores oficiales de la Fiscalía. Un número no determinado de ellos olvidó su clave de acceso a la red y al correo. Por eso recibieron una contraseña temporal con la advertencia de que debían cambiarla una vez entraran a trabajar en la red de la institución. Según una fuente de la Fiscalía, muy pocos atendieron esa advertencia y las claves temporales terminaron siendo las definitivas, con el agravante de que en un archivo fácilmente accesible quedaron los listados de estas claves temporales. Un verdadero manjar para un hacker.

CAMBIO encontró entre los correos hackeados a la Subdirección Nacional de Tecnologías de Información y Telecomunicaciones de la Fiscalía dos reportes de riesgo. Éstos están suscritos por Telefónica Digital España y dan cuenta de la formación del grupo de “hacktivistas”, de sus intenciones de infiltrar a la Fiscalía, entre otras, y de su relación con la red de hackers Anonymous, ligada a diversos ataques informáticos y filtraciones de información en varios países. Un año después, la misma reportó los intentos de romper las capas de seguridad de sus correos, “pimponeando” su señal de origen en Rusia, Polonia, Suecia y puntos de 98 países.

Documento de la filtración Guacamaya Leaks

Las vulnerabilidades clasificadas internacionalmente son la CVE2021-34256, CVE2021-34473, CVE2021-31207. Estos números, que carecen de sentido para un lector corriente, le indican a un experto en seguridad informática, consultado por CAMBIO, que los hackers pudieron ingresar a través de un ataque denominado Proxyshell por primera vez a los sistemas de la Fiscalía hacia el 9 de junio de 2021 y que es altamente probable que aún conserven algunos accesos.

El número 2021 como factor común en la denominación de esas vulnerabilidades indica que desde ese año estaban identificadas y que eran fácilmente “parchables”. La demora en bajar el programa que corregía el hueco de seguridad es lo que pone en evidencia la negligencia de los encargados de sistemas en la Fiscalía.

“No comment”

El manejo que la Fiscalía ha dado a esta situación mantiene en vilo a la comunidad internacional. Pese a que las embajadas de los países cuyos agentes y operaciones fueron reveladas se negaron a dar un comentario oficial, fuentes internas aseguran que la preocupación es alta, especialmente por lo que perciben como un estado de negación por parte del ente acusador para restarle gravedad a la filtración. En más de una ocasión, según señaló un funcionario extranjero a CAMBIO, se solicitaron reuniones para evaluar la magnitud del riesgo pero nunca recibieron respuesta. Los grandes aliados del país, que en múltiples oportunidades han financiado el fortalecimiento de su inteligencia y trabajan en llave con Colombia en operaciones altamente sensibles, no fueron atendidos por el fiscal y sus subalternos.

Al principio queríamos que nos contaran qué fue lo que pasó. Como no nos decían nada, intentamos cambiar la narrativa y ofrecerles ayuda para llegar a una solución en conjunto. Ni así nos respondieron”, aseguró la fuente.

La pasividad de la Fiscalía llevó a que los cuerpos diplomáticos desconocieran el alcance de la información sustraída. Por la indiferencia institucional ante el asunto, creyeron que el contenido no era sensible ni noticioso, debido a que pocos informes de prensa habían reseñado el episodio. Algunas embajadas ignoraban que las cinco terabytes fueron suministradas a varios medios de comunicación y que allí se encuentran datos relevantes sobre la identidad y actividades de sus informantes. Además de expresar su temor de que la información caiga en manos equivocadas, también revelaron que han entablado comunicaciones con el Gobierno nacional para saber cómo administrar lo que podría ser una crisis de seguridad.

El propio fiscal general Fransisco Barbosa, en una declaración a Semana, llegó a decir que le gustaba la filtración porque servía para demostrar la transparencia de su administración: “Los Guacamaya Links (sic), a mí me gusta, finalmente, que evidentemente ahí está todo el mundo descifrando, en el marco de una investigación que se está adelantando para ver qué fue lo que ocurrió. Que vean que no hay una sola intervención del fiscal Barbosa, no hay un solo correo del fiscal Barbosa, no hay un solo tema del fiscal Barbosa. ¿Sabe por qué? Porque yo no tengo rabo de paja, Vicky. Y por eso siempre me he acercado a la candela”.

Cambio Colombia

Lo que no dice el fiscal Barbosa es que no hay correos suyos porque él y un grupo de altos funcionarios, que incluye a los responsables de la seguridad informática, no tenían sus e-mails en Microsoft Exchange sino en Office 365, según lo confirmó a CAMBIO un alto directivo de la Fiscalía. Por esa razón, y no propiamente por transparencia, fue que el hackeo no llegó al despacho del fiscal. Curiosamente, varios de los funcionarios que podrían ser procesados judicialmente por la propia Fiscalía como responsables de omisiones que permitieron la falla de seguridad administraban sus correos desde Office 365, una plataforma más robusta.

Solo un puñado de privilegiados tuvo protección completa. En contraste, fiscales, investigadores, testigos, víctimas, fuentes protegidas y agentes extranjeros encubiertos quedaron expuestos porque la Fiscalía no cumplió con su deber de confidencialidad de la información. A pesar de que los encargados fueron advertidos de las vulnerabilidades, procedieron con negligencia y por eso los datos quedaron a la vista de los hackers y sus eventuales clientes.

Por ahora, cuatro funcionarios de la Fiscalía están identificados como los posibles responsables, por omisión, de la gigantesca falla de seguridad. Ellos son el ingeniero Luis Fernando Lozano Mier, subdirector nacional TIC; el ingeniero de sistemas Samuel Páez Pisco, jefe de Seguridad Informática; el ingeniero eléctrico Oswaldo José Bejarano, jefe del departamento de arquitectura TI; y Germán Bernal Valbuena, oficial de Seguridad de la Información.

La Fiscalía legalmente está obligada a investigar la responsabilidad de sus propios funcionarios en lo que podría ser un prevaricato por omisión. El control de la seguridad informática es legalmente indelegable y sean cuales sean las obligaciones de la filial de Telefónica, los particulares no pueden resultar culpables de la negligencia pública.

Conozca más de Cambio aquíConozca más de Cambio aquí