NarcoFiles: namen gelekt van 100 agenten van Amerikaanse drugsagentschap DEA

De identiteit van meer dan 100 agenten van het Amerikaanse drugsagentschap DEA is onthuld in een e-maillek van het Colombiaanse Openbaar Ministerie. De NarcoFiles bevatten gegevens die een levensbedreigend risico kunnen vormen voor die agenten.

Een cyberaanval op het Colombiaanse Openbaar Ministerie heeft de identiteit onthuld van meer dan 100 agenten van de Amerikaanse Drug Enforcement Administration (DEA) en andere Amerikaanse instanties, samen met tientallen van hun Colombiaanse en internationale tegenhangers. De DEA werd opgericht in 1970 onder de Amerikaanse president Richard Nixon en is vooral beroemd vanwege het neerhalen van de bekendste Colombiaanse drugsbaron, Pablo Escobar. 

De namen van minstens 90 DEA-agenten en minstens 15 agenten van Homeland Security Investigations werden onthuld in het lek, dat meer dan 7 miljoen e-mails bevat.

‘Nachtmerrie’

De DEA werd zelf niet gehackt, en journalisten die de gelekte documenten konden inkijken publiceren de namen of identificerende informatie over de agenten niet. Maar feit is dat het lek aantoont dat Colombia, een strategische bondgenoot van de VS in de strijd tegen drugskartels, onvoldoende veiligheidsmaatregelen neemt.

‘Het is een nachtmerrie voor de DEA omdat drugskartels agenten en informanten kunnen identificeren, vooral als ze zich nog in Colombia bevinden’, zegt Mike Vigil, een voormalig hoofd internationale operaties van de DEA. ‘Wanneer onbevoegden de naam van een agent of informant hebben, is het niet moeilijk om ze te lokaliseren.’

‘Voor kartels zijn informanten doelwitten, omdat ze worden beschouwd als verraders. Ze zullen hen vermoorden als signaal naar anderen die overwegen om mee te werken.’

Het lek bij de Colombiaanse openbare aanklager vormde de basis voor de NarcoFiles, een internationaal onderzoeksproject van het Organized Crime and Corruption Reporting Project (OCCRP) samen met meer dan 40 media, waaronder Knack en de krant De Tijd.  

Papegaai

In oktober 2022 erkende het Colombiaanse Openbaar Ministerie dat er een lek was geweest, maar het zei niet wat er was blootgelegd. Het vormt een potentieel grote bedreiging voor de Colombiaanse autoriteiten omdat het namen van undercoveragenten, getuigen en belangrijke details over informanten bevat.

Een activistische hackersorganisatie die zichzelf Guacamaya noemt – een veelgebruikt woord in delen van Latijns-Amerika voor de ara-papegaai – heeft de verantwoordelijkheid opgeëist.

Guacamaya zei ook dat het het Mexicaanse ministerie van Defensie had gehackt, net als de defensiedepartementen van Chili, Colombia en andere landen. Het collectief deed dat door gebruik te maken van een kwetsbaarheid in de Microsoft Exchange e-mailserver, die wordt gebruikt door bedrijven en overheden over de hele wereld.

In zijn manifest noemde Guacamaya het Colombiaanse Openbaar Ministerie ‘een van de meest corrupte organisaties in het land’ en beschuldigde het ervan vooral de Amerikaanse belangen te behartigen.  

Nadat Guacamaya de Colombiaanse openbare aanklager had gehackt, deelde de organisatie de vijf terabyte aan informatie, waaronder ongeveer 7 miljoen e-mails, met twee groepen die de gegevens vervolgens deelden met journalisten.

Woordvoerders van de DEA en het ministerie van Justitie reageerden niet op meerdere e-mails waarin om commentaar werd gevraagd.

Amerikanen vragen bijstand

De NarcoFiles bevatten tientallen verzoeken van het Amerikaanse ministerie van Justitie om hulp bij het afluisteren, bewaken, arresteren en uitleveren van verdachten die gezocht worden voor drugshandel en witwassen.

Omdat de documenten verband houden met gerechtelijke onderzoeken bevatten ze de namen van agenten die aan bepaalde zaken werkten en, in het geval van getuigen of informanten, vaak ook telefoonnummers en andere details die kunnen blootstellen aan ernstig gevaar. De Colombiaanse documenten bevatten ook uitgebreide persoonlijke details over de Colombiaanse undercoveragenten en hun familieleden.

De DEA gaat in haar documenten veel strikter om met persoonlijke informatie. ‘Als de informant in een document werd genoemd, was het altijd met een identificatienummer (en dus nooit bij naam, nvdr.)’, zei Vigil. Dat nummer werd nooit gedeeld met het gastland omdat ‘er altijd een kans was op een lek’.

Levensbedreigend

Het Organised Crime and Corruption Reporting Project (OCCRP) identificeerde in de Narco Files minstens 90 leden van de DEA, van wie de meesten in of met Colombia werken. Sommigen kwamen voor in rechtszaken of openbare documenten, maar velen hadden geen online voetafdruk.

Tom Devine, juridisch directeur van het Government Accountability Project, een groep die klokkenluiderszaken aanspant tegen de Amerikaanse federale overheid, zegt dat de identificatie van DEA-personeel ‘een levensbedreigend risico vormt voor die agenten’. ‘Er is een groot verschil tussen een gerucht en de bevestiging van een werkrelatie door de Amerikaanse overheid.’   

Cyberveiligheid

Colombia heeft sinds het jaar 2000 meer dan 13 miljard dollar aan buitenlandse hulp van de VS ontvangen, waarvan een groot deel voor het Colombiaanse leger en ter ondersteuning van drugsbestrijding. Het is onduidelijk in welke mate de DEA haar partner heeft gefinancierd en geadviseerd op het gebied van informatiebeveiliging, of welke eisen ze heeft gesteld aan de bescherming van gevoelige informatie.

Colombia staat op plaats 81 van de 182 landen en gebieden op de 2020 Global Cybersecurity Index. Die index weegt de wetten, technische capaciteit, organisatorische structuren en wereldwijde samenwerking van een land op het vlak van cyberveiligheid.