DDoSecret, un colectivo de periodistas conocido como una alternativa más transparente a Wikileaks, publicó la semana pasada cientos de miles de archivos potencialmente confidenciales de las fuerzas del orden público, un total de casi 270 gigabytes.
La fecha en que fueron publicados, el 19 de junio, se celebra la emancipación de aquellos que fueron esclavizados en los Estados Unidos. Actualmente hay un intento para convertir esa fecha en un festivo nacional, un movimiento impulsado por las protestas nacionales de Black Lives Matter (BLM).
DDoSecrets, que se refiere a sí mismo como un “colectivo de transparencia”, ha denominado la filtración como BlueLeaks.
El viernes, DDoSecrets tuiteó que el archivo de BlueLeaks indexa “diez años de datos de más de 200 departamentos de policía, centros de fusión y otros recursos de capacitación y apoyo para la aplicación de la ley”, incluidos “informes policiales y del FBI, boletines, guías y más”.
Los centros de fusión son entidades operadas y de propiedad estatal que recopilan y difunden información de aplicación de la ley y seguridad pública entre socios estatales, locales, tribales y territoriales, federales y del sector privado.
DDoSecrets publicó los datos en un portal público de búsqueda y dice que contiene más de 1 millón de archivos, como documentos escaneados, videos, correos electrónicos, archivos de audio y más.
El colectivo dijo que la fuente de los datos era Anonymous: el nombre que algunos hacktivistas han usado al atacar objetivos como los hospitales involucrados en el caso de Justina Pelletier, el editor de webs de venganza porno Hunter Moore y, más recientemente, ataques contra los departamentos de policía de Atlanta y Minneapolis tras el asesinato de hombres negros por parte de policías.
El periodista, especialista en ciberseguridad Brian Krebs ha dicho que tuvo en sus manos un análisis interno del 20 de junio, de la Asociación Nacional de Centros de Fusión (NFCA), que confirmaba la validez de los datos de BlueLeaks.
La NFCA, dijo que los datos parecen haber surgido de una violación de seguridad en Netsential, una empresa de alojamiento web con sede en Houston. Netsential ofrece alojamiento web a muchas agencias de aplicación de la ley de EEUU y centros de fusión.
Según la alerta, las fechas en los archivos se remontan a más de 10 años. Abarcan casi 24 años, desde agosto de 1996 hasta el 19 de junio de 2020. Los archivos incluyen nombres, direcciones de correo electrónico, números de teléfono, documentos PDF, imágenes y una gran cantidad de archivos de texto, video, CSV y ZIP.
La alerta de la NFCA dijo que algunos de los archivos también contienen información altamente confidencial, incluidos “números de ruta ACH, números de cuentas bancarias internacionales (IBAN) y otros datos financieros, así como información de identificación personal (PII) e imágenes de sospechosos de listas de Solicitudes para Información (RFI) y otros informes de agencias policiales y gubernamentales”.
Krebs habló con Stewart Baker, abogado y ex subsecretario de política del Departamento de Seguridad Nacional de los Estados Unidos (DHS), quien dijo que los datos de BlueLeaks probablemente no le darán a nadie mucha información sobre mala conducta policial. Por el contrario, es más probable que exponga investigaciones de la aplicación de la ley e incluso ponga en peligro vidas, le dijo a Krebs:
Con este volumen de material, es probable que se hayan comprometido operaciones delicadas y tal vez incluso confidentes o policías encubiertos, por lo que temo que pondrá en riesgo vidas humanas.
Es probable que cada organización criminal del país haya buscado sus propios nombres antes de que la policía sepa lo que hay en los archivos, por lo que el daño podría hacerse rápidamente. También me sorprendería si los archivos producen mucho escándalo o evidencia de mala conducta policial. Ese no es el tipo de trabajo que hacen los centros de fusión.
Por su parte, DDoSecrets dice que no tiene intenciones políticas:
Nuestro objetivo es evitar inclinaciones políticas, corporativas o personales, y actuar como un simple faro de información disponible. Como colectivo, no apoyamos ninguna causa, idea o mensaje más allá de garantizar que la información esté disponible para quienes más la necesitan: las personas.
El colectivo tiene dos criterios para publicar datos: los datos deben ser de interés público y deben poder verificarse. El grupo dice que garantiza el anonimato para aquellos que proporcionan información que no ha sido revelada previamente. DDoSecrets a menudo pasa los datos que recibe a los periodistas u “otras figuras mejor posicionadas para interrogarlo”.
Un vistazo rápido a las publicaciones de Twitter muestra que desde el viernes, muchos ciertamente han estado interrogando los datos de BlueLeaks: