No se sabe quiénes están detrás del autodenominado grupo de hacktivistas Guacamaya. Se cree que son de Centroamérica y que buscan la defensa del medio ambiente en la región desde una postura anticolonialista. Guacamaya expone secretos filtrando información contenida en sistemas informáticos, inicialmente de empresas y reguladores mineros, últimamente de fuerzas militares. De Colombia hay varias, pero aún no son noticia acá.
Guacamaya parece estar aprovechando vulnerabilidades en los sistemas de correos de las entidades y una vez accede a la información la filtra a través de sitios como “Enlace Hacktivista” o “Distributed Denial of Secrets”. Allí se documentan y almacenan filtraciones, se comparte información, comunicados y detalles de la información obtenida por whistleblowers o grupos de hacktivistas. Usualmente son filtraciones que se obtienen en forma irregular o incluso ilegal, pero, por tratarse de información de interés público sobre corrupción o violaciones a derechos humanos, que de otra forma no conoceríamos, su publicación está protegida por la libertad de expresión.
Aunque Guacamaya solo se dio a conocer este año, ya tiene un buen historial de filtraciones que se han conocido como Guacamaya Leaks. En marzo pasado se atribuyó el hackeo a los sistemas de comunicación del Proyecto Minero Fénix de la Compañía Guatemalteca Níquel (CGN) y de Pronico del conglomerado minero Solway Group.
De esta acción nació el proyecto Secretos mineros, en el que participaron 65 periodistas bajo la coordinación de Forbidden Stories. Secretos mineros busca exponer los posibles casos de corrupción en el sector y mostrar la vigilancia a la que están sometidos periodistas y activistas que se oponen a las actividades mineras en Guatemala.
En agosto Guacamaya accedió a aproximadamente dos teras de información de varias entidades del sector: la estatal ecuatoriana ENAMI; la Agencia Nacional de Hidrocarburos (ANH) y la Corporación de Energía Nueva Granada, ambas de Colombia; la empresa minera Quiborax de Chile; la petrolera Orix de Venezuela; la empresa minera Tezucana de Brasil, y el Ministerio de Ambiente y Recursos Naturales de Guatemala.
También en agosto Guacamaya anunció que contaba con cinco teras de información obtenida de los correos de la Fiscalía General de Colombia, que entregaría a periodistas que pudieran analizar y revelar noticias de esta entidad en el país. La que era hasta ese momento posiblemente la más grande filtración de información de una entidad estatal no ha sido prácticamente mencionada por los medios de comunicación del país, ni reconocida, negada o siquiera mencionada por la entidad misma.
Hace unas semanas Guacamaya reapareció. Anunciaron que hackearon los sistemas de correo electrónico del Ejército y la Policía, e informaron que tenían acceso a casi 10 teras de información sobre las Fuerzas Armadas de México, Chile, Perú y Colombia.
La filtración de 400.000 correos de EMCO, una entidad asesora del Ministerio de Defensa de Chile, le costó el cargo al jefe del Estado Mayor Conjunto y la ministra de Defensa de ese país debió regresar de un viaje internacional oficial a dar explicaciones en el Congreso. La gravedad del tema se relaciona con la exposición de secretos del Ejército y de terceros (incluidos otros ejércitos, embajadas, etcétera).
Más recientemente los titulares están en México, seis teras de las diez que forman parte de la última filtración corresponden a los correos de la Secretaría de la Defensa Nacional (Sedena). El presidente reconoció su autenticidad, pero despreció su importancia. Sin embargo, desde los medios la filtración ha permitido hablar de varios temas como la confirmación del uso de Pegasus contra periodistas, la revelación de información de lazos entre el Ejército y los políticos, datos de venta de armas a criminales por oficiales y también riesgos en la infraestructura del Tren Maya.
Como con lo sucedido en la Fiscalía, sobre la filtración de información del Ejército colombiano tampoco sabemos mucho. Sin embargo, las Fuerzas Militares ya reconocieron, en un comunicado que publicaron en redes sociales, que se habría dado “la posible extracción de información” por parte del autodenominado grupo hacktivista Guacamaya y que una vez tuvieron “conocimiento del evento de seguridad, se activaron los protocolos técnicos de revisión y mitigación de incidentes establecidos para estos casos”.
Hay un denominador común en las filtraciones sobre las Fuerzas Armadas de los cuatro países: tenían activa la vulnerabilidad denominada ProxyShell, que afecta a los servidores Exchange de Microsoft (de 2013, 2016 y 2019). Esta vulnerabilidad era conocida e incluso fue parchada por Microsoft en abril y mayo de 2021, además la empresa pidió a sus clientes que hicieran un inventario de activos y que aplicaran los parches. Sin embargo, ninguna de estas entidades lo hizo. Este es un recordatorio sobre la importancia de la seguridad digital y de cómo esta implica la gestión continua del riesgo.
Ya he hablado de seguridad digital en entidades públicas, pero las noticias se referían especialmente a ataques de ransomware —secuestro de información que usualmente está mediado por extorsiones económicas—; sin embargo, Guacamaya hace evidente que no siempre estos ataques tienen interés económico y las motivaciones políticas también son factores a considerar. El manejo de una situación ocasionada por delincuentes comunes o por aquellos que tienen una motivación política debe ser diferente.
En Colombia se está regulando la nueva estructura de seguridad digital derivada del Decreto 338 de 2022. En ese marco, las entidades públicas deben encontrar formas de coordinación entre ellas para evitar o mitigar el acceso a información delicada y reaccionar a incidentes de seguridad digital. Esto pasa necesariamente por la gestión del riesgo y de las vulnerabilidades de seguridad digital, ¿pero cómo se hará en forma diferencial?
Un desafío no menos importante es desarrollar una cultura de información al público para construir confianza. ¿Cómo pueden contar lo que sucede y cómo mitigan los riesgos? ¿Cómo pueden hacerlo enfrentando sus temores de que esto lo que hace es aumentar el riesgo? El problema es cómo cambiar la cultura del silencio. Más temprano que tarde, las cosas se terminan sabiendo y por eso incorporar transparencia cuando suceden filtraciones puede ayudar a mitigar el problema y a construir confianza con la ciudadanía.
Por ejemplo, las filtraciones de información no solo impactan a la institución hackeada, también afectan los derechos de las personas u organizaciones relacionadas con la información que se hace pública, advertir de esto a personas u organizaciones posiblemente afectadas les permite tomar medidas para protegerse. Por eso hay obligaciones en la ley de protección de datos en ese sentido; sin embargo, por lo que se ve en los eventos de este tipo en Colombia, no sucede y tampoco hay quién lo exija (que debería ser la Procuraduría).