Más de 5 millones de archivos habrían sido robados a la Justicia Penal Militar
Ni el país, ni siquiera la propia entidad afectada, parecen dimensionar aún las consecuencias del ataque que sufrió la Justicia Penal Militar en Colombia, tras confirmarse que fue víctima del ransomware Gunra.
Para entender la magnitud de lo ocurrido, un técnico anónimo que opera bajo el seudónimo Luvsicsh realizó un análisis detallado que se extendió durante varios días. El trabajo implicó superar múltiples desafíos técnicos y, según nos informó, requirió incluso el alquiler de equipo especializado para lograr un escaneo efectivo del entorno digital afectado.
Luego de una semana de trabajo, Luvsicsh logró dimensionar en cifras el volumen de archivos extraídos de esta entidad encargada de impartir justicia al interior de las fuerzas del orden en Colombia.
| Categoría | Tipo de archivo | Cantidad estimada | Peso total estimado | Observaciones |
|---|---|---|---|---|
| 1. Documentos de oficina (Microsoft) | Word (.doc, .docx, .docm) | +2.1 millones | ~609 GB | Informes, oficios, actas, documentos internos |
| Excel (.xls, .xlsx, .xlsm, .xlsb) | +435,000 | ~335 GB | Bases de datos, formatos de seguimiento, listados | |
| PowerPoint (.ppt, .pptx, .pptm, .pps, .ppsx) | +30,000 | ~180 GB | Presentaciones institucionales, capacitaciones | |
| Outlook (.pst) | +500 | ~1.1 TB | Buzones de correo completos | |
| Mensajes individuales (.msg) | ~85,000 | ~92 GB | Correos electrónicos sueltos | |
| OneNote (.one) | ~370 | ~0.4 GB | Notas institucionales | |
| RTF (Rich Text Format) | ~55,000 | ~11 GB | Documentos ligeros con formato | |
| 2. Videos | MP4 | ~50,000 | ~12 TB | Videos de cámaras, reuniones, evidencia |
| Otros formatos (AVI, MOV, WMV, MKV, etc.) | Variado | ~3 TB | Grabaciones de seguridad o capturas | |
| 3. Imágenes | JPG, PNG, GIF, HEIC, JPEG | ~400,000 | ~500 GB | Escaneos de documentos, identificaciones, imágenes institucionales |
| 4. Audio | MP3, WAV, OPUS, M4A | ~100,000 | ~450 GB | Notas de voz, audios de reuniones o evidencia sonora |
| 5. Archivos comprimidos | ZIP, RAR, 7z | ~25,000 | ~1.6 TB | Respaldos, empaquetados, documentos agrupados |
| 6. Software y archivos del sistema | EXE, MSI, DLL, logs | No especificado | No especificado | Programas instalados, posibles herramientas de vigilancia o malware |
| 7. Correos y contenido web | EML, MHT, Webarchive, HTML, JS, CSS | ~27,500 | No estimado | Correos exportados, páginas archivadas, sitios internos |
| 8. Mapas y diseño (CAD/GIS) | DWG, SHP, TIF, MXD | Cientos | No estimado | Planos técnicos, mapas catastrales, diseños de infraestructura |
| 9. Bases de datos estructuradas | DB, SQL, MDB, SQLITE, XML, CSV | No cuantificado | No estimado | Datos organizados, formularios, registros |
| 10. Archivos sin extensión | Sin extensión o desconocidos | ~140,000 | ~67 GB | Pueden estar ocultos, renombrados o cifrados; requieren análisis adicional |
Resolver lo imposible: navegar un océano de datos
Desde una perspectiva periodística, uno de los mayores retos cuando ocurre una filtración masiva —un leak— es cómo abordar técnicamente un volumen tan descomunal de datos. ¿Por dónde empezar? ¿Cómo se identifican los archivos de interés público? ¿Qué métodos se usan para explorar sin descargar o alterar la evidencia?
La solución en este caso vino de la mano de la tecnología. El punto de partida fue un crawler, un programa automatizado que explora páginas web, sigue enlaces, extrae metadatos y construye un mapa estructurado del contenido disponible.
El crawler fue configurado para operar dentro de la red .Onion, parte de la llamada “dark web”, a la que solo se accede a través de la red Tor. Allí, en una dirección filtrada por el grupo Gunra, se alojaban los archivos extraídos.
A partir de esta operación técnica, se pudo acceder a la estructura completa de carpetas, nombres de archivos, fechas de modificación y extensiones, sin necesidad de descargar los documentos en sí.
Una advertencia velada
Los hallazgos no solo revelan la magnitud del robo, sino también lo que podría representar una crisis aún no reconocida por el Estado. Entre los millones de archivos identificados hay indicios de que fueron comprometidos correos institucionales completos, contratos confidenciales, planos técnicos, bases de datos estructuradas, y posiblemente evidencia judicial o material sensible.
El hecho de que esta información esté almacenada en una URL accesible desde Tor —aunque no fácilmente localizable por el público general— plantea riesgos claros: desde su uso por actores maliciosos hasta la afectación directa de procesos judiciales en curso.
Por ahora, ninguna autoridad ha hecho pública una evaluación completa del incidente.
Coincidentemente, el mismo día en que se conoció la magnitud de la filtración, Julián Molina, actual ministro TIC de Colombia, anunció que el país definió una Estrategia Nacional de Seguridad Digital, una hoja de ruta para proteger las infraestructuras tecnológicas críticas del Estado.
Sin embargo, a pesar de los avances declarativos y los esfuerzos institucionales, la realidad en terreno es muy distinta. La capacidad técnica y de respuesta de muchas entidades sigue rezagada frente a la sofisticación de los ataques contemporáneos. A la luz de los datos expuestos, bien podría afirmarse que el ataque a la Justicia Penal Militar es uno de los más graves incidentes de ciberseguridad en la historia de Colombia.
Silencio o superficialidad: el vacío informativo
Uno de los elementos más preocupantes del caso no solo es la magnitud del ataque, sino la forma en que ha sido abordado por buena parte de los medios masivos tradicionales en Colombia. A pesar de que se trata de una filtración de más de 5 millones de archivos provenientes de una de las entidades más sensibles del Estado, la mayoría de los cubrimientos se limitaron a reproducir sin cuestionamiento el escueto comunicado de prensa oficial, sin profundizar en las consecuencias técnicas, legales ni en los riesgos concretos para la justicia y la seguridad nacional.
Esta actitud revela una preocupante desconexión entre el periodismo institucionalizado y los fenómenos digitales complejos. Mientras los atacantes siguen publicando evidencia y los archivos expuestos permanecen en línea, muchos medios aún no entienden ni explican con claridad qué está en juego: la posible afectación de procesos judiciales, la filtración de datos personales de funcionarios, y la exposición de información clasificada de una entidad que administra justicia al interior de las Fuerzas Militares.
El país no necesita solo comunicados: necesita investigación, contexto, y capacidad técnica en el cubrimiento informativo de los hechos digitales.
