Liberación de documentos

Se confirma que grupo hacktivista liberó millones de correos con información privada y secreta de la Fiscalía de Colombia 

Mucho Hacker tuvo acceso al dataset donde corroboró que la entidad encargada de Investigar los delitos y acusar ante jueces de Colombia fue víctima de un ataque sin precedentes en la historia. Entidad afectada guarda silencio ante incidente cibernético.

En un servicio de almacenamiento en la nube se encuentran millones de correos electrónicos de la Fiscalía de Colombia que contienen información secreta, privada y sensible de una de las entidades que administra justicia a todos los colombianos.

Millones de mensajes y su información adjunta fue extraída ilegalmente y posteriormente liberada en un repositorio digital con el objetivo de que sea analizada y sirva como recurso para contar historias  de interés público. Centenares de carpetas con documentos electrónicos equivalentes a 5 teras de información.

A manera de ejemplo y para mostrar la gravedad de lo expuesto, en un análisis aleatorio que hizo Mucho Hacker a los millones de correos expuestos, podemos confirmar que se encuentra toda la documentación compartida desde el departamento de Criminalística, Grupo de Genética, de la Fiscalía, oficina ubicada en el piso 3 del Edificio T del bunker de la institución, con sede en Bogotá.

El Estado debió proteger información sensible que ahora está en Internet. En línea están resultados de análisis biológicos producto de investigaciones judiciales, actas de inspección de cadáveres, resultados de identificaciones, radiogramas, resultados de ADN, entre otros. 

Este es tan solo un ejemplo de los documentos extraídos ilegalmente de los servidores de la Fiscalía. Pertenece al grupo de Genética de la entidad. Como este documento en el dataset liberado se encuentran millones de comunicaciones de carácter privado. Algunos de estos documentos son partes fundamentales en investigaciones de delitos.

Por ejemplo dentro de los documentos expuestos de esta dependencia están correos, teléfonos, direcciones físicas de asistentes de fiscales, fiscales delegados, fiscales y técnicos e investigadores. También están colgados en Internet radiogramas emitidos por el Ejército en comunicación posiblemente restringida o confidencial con la Fiscalía. 

Documento que hace parte de la liberación de datos realizada por Guacamaya. Comunicación entre una brigada del Ejercito y una dependencia de la Fiscalía.

Como parte de nuestro análisis aleatorio a la documentación, en otra carpeta de correos, pudimos comprobar la existencia de toda la documentación digital enviada a través de un correo que se presume es usado por la Oficina de Explosivos del CTI.

La carpeta contiene comunicaciones donde se pueden leer nombres, apellidos, cargos y teléfonos personales e institucionales del grupo técnico de Explosivos e Incendios, Investigaciones Especiales, Informática Forense, Análisis criminal, entre otros.  

El propósito de mostrar estos documentos es publicar pruebas que demuestran la existencia de los documentos liberados teniendo en cuenta la Fiscalía ha minimizado y culpado a terceros de los ataques. En este correo se encuentran los teléfonos privados de investigadores de la institución.

Cualquier experto que hubiera comprendido la magnitud y las dimensiones de un ataque de este nievel habría puesto en alerta a los funcionarios cuyos datos personales ya son parcialmente públicos. 

En otro análisis aleatorio a los correos liberados se puede leer información tan sensible como los números de teléfono de las personas a las que la Fiscalía les hace interceptación de comunicaciones.  Existen cuadros en Excel y documentos secretos con membrete de la entidad donde se revela a quién interceptaron, cuando y por qué. 

Pero no solo eso, pudimos observar información sobre el Palacio de Justicia, Paramilitarismo, violaciones, delitos informáticos, ambientales, investigaciones por corrupción en todo el país, entre otros temas de interés público. 

Es tal la magnitud de datos expuestos que ni siquiera todas las casas periodísticas del país juntas podrían ser capaces de analizar toda la información expuesta y encontrarle un valor periodístico. 

A forma de ilustración  tan solo 1 Tera de información puede ser el equivalente a 2 millones de fotografías, 250 películas en HD o 6,5 millones de páginas de documentos.  El volumen datos expuestos puede llegar a las 5 teras

La complejidad de un análisis

Es probable que en la historia del periodismo colombiano no exista un antecedente de acceso a información privada como la Liberación de Datos de la Fiscalía expuesta por el grupo hacktivista Guacamaya y replicada por Distributed Denial of Secrets y Enlace Hacktivista.
Para hacer una analogía que ilustre la magnitud de la situación es como si se tuviera  acceso a una biblioteca física con millones de documentos privados – algunos de ellos secretos – cuyo análisis podrían servir para contar cientos de historias de interés público.  

El análisis y procesamiento de estos datos – en opinión personal y teniendo en cuenta que le hago seguimiento a estos eventos digitales desde hace más de 11 años  –  los datos expuestos podrían dar luz acerca de los temas más complejos y delicados que ha sufrido Colombia por lo menos en los últimos dos años y quizás con repercusiones en temas de interés nacional de la última década. 

Aunque suena paradójico también podría darse el caso de que no pase nada relevante por cuenta de la ausencia de análisis de la documentación por profesionales que puedan extraer información de interés público.

Tradicionalmente este tipo de información solo era conocida por periodistas de investigación que trabajaban por meses o años para acceder a información que hoy está disponible en línea. 

Sin embargo, aunque la data está alojada en un sitio web, su análisis podría superar cualquier capacidad de una casa editorial o de un grupo de investigadores que dediquen recursos económicos y tiempo para develar información. 

Las personas que lograron penetrar los precarios sistemas de seguridad de la Fiscalía lograron extraer todos los correos electrónicos durante un tiempo no determinado. Exploraciones iniciales hechas por Mucho Hacker pueden dar cuenta de información digital equivalente a los últimos dos años. 

Así se observan los millones de correos robados de los servidores de la Fiscalía. Miles de carpetas tienen millones de mensajes contenidos en 5 teras de infomación.

Las comunicaciones digitales liberadas de la Fiscalía están divididas en carpetas que identifican el nombre del funcionario o la dependencia que usaba el sistema de mensajería.  Cada una de estas carpetas están comprimidas en formatos .ZIP. 

Al interior de los archivos .ZIP vienen en orden todos los correos en un archivo .EML. Este formato es el que usan los programas de gestión de correos y se abre con programas como Outlook o Thunderbird, entre otros. 

Las millones de carpetas expuestas, que a su vez tienen millones de correos, son numerados automáticamente y la única forma no técnica de leer los datos de cada correo es abrir uno por uno, de forma manual.   Por esta razón hicimos un análisis aleatorio de las carpetas a las que tuvimos acceso.

Si bien cada carpeta tiene una identificación, los correos al interior, están en un formato que no es técnicamente sencillo para buscar información.

Quien asuma el reto de analizar millones de mensajes deberá encontrar un método eficiente para hacerlo ya que de otro modo se encontrará millones de correos, en los que se sabe puede intuir información valiosa, pero sin saber por dónde comenzar. 

Una vez Mucho Hacker tuvo acceso a la información y se hicieron los primeros análisis de los datos expuestos no fue difícil entender que para poder extraer información valiosa periodísticamente  se requieren recursos económicos como humanos para analizar la cantidad de data expuesta. 

Ante los retos que implican esos datos se entabló comunicación con dos profesionales en comunicación encargados de coordinar una de las redes de periodistas digitales más importantes del país para saber si ya tenían acceso a los datos. Uno de los encargados de la red le confirmó a Mucho Hacker que ya tenían acceso. Otra de las personas consultadas no respondió al mensaje enviado. 

Mientras en Chile, México y El Salvador se cuentan más de 41historias periodísticas basados en la exposición de datos de Guacamaya, en Colombia solo se registra una que fue realizada por un medio de comunicación australiano

Los datos expuestos de la Fiscalía han estado en línea desde el 7 de agosto de 2022.

Es evidente que la información expuesta en tanto su calidad como su cantidad implica un reto de dimensiones históricas para quienes estén interesados en su análisis y podría desbordar la capacidad interna de los medios. A esto se suman los afanes por ser los únicos en obtener una ‘chiva periodística’ y las viejas prácticas de medios de comunicación tradicional en Colombia que en vez de facilitar las publicaciones se convierten en obstáculos.  Colombia es uno de los pocos países del mundo donde se ha liberado información por parte de Guacamaya y no se han hecho publicaciones que haya tenido repercusiones a nivel institucional.

Para determinar cómo se podría analizar esta cantidad de datos, teniendo en cuenta su formato y volumen, Mucho Hacker habló con dos expertos desarrolladores que de forma anónima explicaron que existen técnicas para poder analizar y extraer información del dataset expuesto. 

“Yo los parsearía (quitar el formato y ordenar en columnas según contenido) y los montaría sobre una base de datos no relacional (Estilo hoja de cálculo) así podría buscar por palabra en el correo o por sender/Receiver” explicó uno de los expertos consultados.  

La otra persona consultada explicó que existen técnicas consignadas en varios papers donde explican cómo hacer un análisis técnico de esta información. 

En comunicación con Distributed Denial of Secrets Mucho Hacker también pudo confirmar que la información extraída al Comando del Ejército de Colombia ya está en poder de otro grupo de periodistas. Igualmente, pudimos confirmar esta información con dos periodistas profesionales que tienen conocimiento del trabajo que vienen intentado hacer algunas redes de periodistas locales.

La complejidad técnica, el volumen de datos y las prácticas de medios colombianos podrían ser factores que obstruyan o demoren las publicaciones que se hagan producto de esta liberación de datos. Sobre todo teniendo en cuenta que la información se liberó el 7 de agosto y pasados cuatro meses no existe la primera publicación.

Otra de las razones ,es que a diferencia de la información expuesta en Chile, el dataset de la documentación de la Fiscalía colombiana viene en bruto, es decir, un enlace para descargar carpetas. 

Para el caso del país austral los atacantes subieron la información a un programa llamado Mail Piler que sirve como repositorio de los archivos y cuenta con un buscador que facilita el acceso a diferentes temas. Este asunto técnico explicaría la rapidez con la que se publicó en Chile y México y la ausencia de contenido en Colombia. 

No son solo ciberdelincuentes

Ilustración que acompaña la liberación de datos. Igualmente se han publicado videos instructivos donde se muestra cómo se llevó a cabo el ataque y poemas alusivos a su ideología. Ilustración tomada de Enlace Hacktivista.

Aunque para la mayoría de medios de comunicación masivos tradicionales y para las autoridades este puede ser otro caso más de ‘hackers’ atacando lo que podría ser infraestructura crítica del Estado un análisis de los actores y sus motivaciones permiten afirmar que es mucho más que eso. 

Los supuestos autores del ataque son el grupo  Guacamaya, una colectividad de hackers que “ buscan  la liberación de los pueblos y  el territorio de Abya Yala”. Se enfocan en atacar empresas extractivistas y lo que ellos denominan fuerzas represivas (policía y militar)”. 

Existen algunas investigaciones periodísticas donde han tenido acceso a las personas detrás de Guacamaya pero hasta el día de hoy no se conocen quiénes son.

El ataque a la Fiscalía se publicó conjuntamente con un comunicado y una explicación y cita del portal progresista Open Democracy acerca de la labor de la Fiscalía en Colombia.

“Entregamos esto a los pueblos de Colombia, para que decidamos qué hacer con ello”, es la frase de cierre de la comunicación que tiene componentes políticos, técnicos y filosóficos.

Es importante aclarar que la información de la Fiscalía no fue expuesta directamente por Guacamaya. Aunque son pocos los detalles que se conocen estos datos robados pudieron llegar a dos organizaciones que ayudaron y conceptualizaron su distribución. 

Una de ellas es Distributed Denial Of Secrets, una organización periodística estadounidense y global sin ánimo de lucro cuyo objetivo es crear entornos apropiados para permitir la libre transmisión de datos de interés público. 

“Nuestro objetivo es evitar inclinaciones políticas, corporativas o personales para actuar como faro de información disponible. No apoyamos ninguna causa, idea o mensaje más allá de asegurar que la información esté disponible para quienes más la necesitan: la gente”, aseguran en su página web. 

Postula como principio Distributed Denial of Secrets






Este grupo de personas no anónimas es considerado como una alternativa a Wikileaks y han creado toda una serie de reglas y conceptos que los motivan y los ayudan a ejecutar su trabajo. 

A diferencia de Wikileaks, Distributed Denial of Secrets tiene unas reglas estrictas y racionalmente meditadas para compartir información sensible teniendo en cuenta las consecuencias que ha traído este tipo de actividad en el pasado. 

Por liberaciones de datos públicos se ha puesto en riesgo la vida de periodistas, investigadores y funcionarios estatales, entre otros.

En las comunicaciones con la organización Distributed Denial Of Secrets tuvimos que comprometernos a no compartir el dataset por cuenta de la información sensible que no debería estar en Internet.

Por el momento, sólo compartimos este conjunto de datos con periodistas e investigadores” indicaron a Mucho Hacker desde Distributed Denial of Secrets.

Detrás de Distributed Denial of Secrets se encuentra Emma Best (@natSecGeek), una periodista de investigación que trabajó con WikiLeaks y que tiene un largo historial e interés en trabajar por liberar información de interés público en varias partes del mundo. 

Distributed Denial of Secrets tiene un largo historial de liberación de datos que han ocasionado todo tipo de situaciones en el planeta.  El grupo ha revelado información privada en Indonesia, México, Rusia y Brasil, solo por mencionar algunos países.

Datos de empresas privadas y públicas que han generado desde la renuncia de funcionarios hasta la apertura de investigaciones judiciales. 

Gracias a las revelaciones que se generan producto del trabajo de  Distributed Denial of Secrets  en México se pudo conocer el real estado de salud de su presidente o los negocios de los carteles mexicanos al interior del ejército. Igualmente, se han conocido historias de abusos sexuales en las fuerzas armadas o cómo el Estado espía periodistas con software de última tecnología. 

En Chile Guillermo Paiva, jefe del Estado Mayor Conjunto (EMCO) de las Fuerzas Armadas (FF.AA) de Chile, presentó su renuncia tras la filtración de documentos y el país duró semanas discutiendo en el Congreso y en todo el poder judicial sobre las consecuencias de los ataques.  

En El Salvador se conoció cómo equipos policiales de ese país ayudaron a la liberación de Elmer Canales, uno de los líderes más importantes de la pandilla Mara Salvatrucha. Y así se pueden registrar más de 40 historias de interés público para el continente. 

A pesar que desde hace varios meses existe información liberada de Colombia no se ha creado  la primera publicación hecha por medios colombianos.  Se registran tres publicaciones de otros países donde aparece algún actor colombiano y producto de liberación de datos externas. 

Así como el Comando del Ejercito y la Fiscalía fueron atacados, correos de la Agencia Nacional de Hidrocarburos están publicados en un repositorio público con acceso a cualquier persona. Ni siquiera la misma entidad afectada ha indicado o se ha pronunciado con contundencia sobre la incidencia. 

Igualmente existe información sobre la compañía petrolera New Granada Energy Corporación y sus operaciones en Colombia. 

Es importante aclarar que esta actividad puede ser un delito bajo la ley colombiana. El acceso a estos datos podría considerarse como acceso abusivo a un sistema informático que tiene penas de 48 a 96 meses de cárcel.

De la menor importancia

Teniendo en cuenta que Mucho Hacker no es un medio de comunicación en el sentido tradicional y la capacidad para indagar y obtener respuestas de entidades públicas es limitada, buscamos un espacio para preguntar sobre estas graves filtraciones de datos a las entidades encargadas de la ciberseguridad del país. 

Le preguntamos a Ángela Cortes, Coordinadora del Grupo Colcert, Grupo de Respuestas a Emergencias Cibernéticas y a un mayor de la policía encargado de asuntos de ciberdelincuencia sobre si habían recibido alguna notificación sobre los ataques realizados por Guacamaya a entidades del Estado colombiano. 

La policía indicó que la dependencia a su cargo no tenía ninguna investigación abierta por ese tema. Aclaró que de pronto otra de las oficinas encargadas de estos temas podría tener una. 

Por su parte, Colcert indicó que no tenían una notificación oficial de la Fiscalía para este caso.

Igualmente buscamos una respuesta de la Fiscalía General de la Nación pero la entidad no respondió nada acerca del acceso que tuvo Mucho Hacker a los datos liberados.

Por el momento solo lo que hemos divulgado a través del comunicado oficial.

Jefe de comunicaciones de la Fiscalía

En Comunicación con Paola Andrea Tovar, directora de comunicaciones de la entidad, se nos indicó que la única declaración sobre el tema es el comunicado del 19 de octubre donde la Fiscalía de alguna manera culpa a Colombia Telecomunicaciones (Movistar) de lo que pudo haber pasado. 

_________________

Esta publicación y el acceso a los datos son parte del proceso y seguimiento  de instrucciones que indicó  Distributed Denial of Secrets para acceder a los diferentes datos liberados.   

Igualmente es parte del seguimiento que como académico, profesional y periodista le hago al tema de ciberseguridad desde el año 2009.

Así mismo, del seguimiento al tema desde que anuncié que había ocurrido el incidente en mi cuenta personal de Twitter. 

Esta publicación se hace bajo principios de periodismo profesional y teniendo en cuenta que la información compartida tiene un alto interés público.

2 comentarios en «<strong>Se confirma que grupo hacktivista liberó millones de correos con información privada y secreta de la Fiscalía de Colombia </strong>»

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *