EL PUBLIQUE

EL PUBLIQUE

Muestran detalles sobre el denominado "cartel de la calumnia" de Carlos Escobar Marín en Colombia

Carlos Escobar Marín purgó cárcel en EE.UU por defraudar a Bank of America. Hoy maneja la guerra sucia del gobierno de Colombia

Por LA NUEVA PRENSA 
lanuevaprensa.com.co

Fueron meses de investigación y de rastreos desde varios países. La organización forense europea Qurium desentrañó con todos sus detalles el mecanismo de una telaraña colombiana de empresas y campañas dedicadas al ejercicio del sabotaje y la guerra sucia por Internet mediante la difusión de mentiras bajo contrato con la firma llamada “Priva 60” y sus filiales. La cabeza de este cartel de la calumnia es el colombiano Carlos Escobar Marín (asesor del gobierno de Colombia, presidido por Iván Duque), quien ya fue condenado por la justicia de Estados Unidos, donde defraudó por medios cibernéticos a Bank of America y hoy continúa operando a todo vapor desde Bogotá y Medellín, donde se guarece.

En los últimos meses, varios sitios de medios de comunicación independientes colombianos han sido clonados en el transcurso de una campaña dedicada a propagar informaciones falsas mediante el uso abusivo de firmas conocidas con el objeto de desacreditarlas y, al mismo tiempo, confundir al público. Los clones utilizan diseños idénticos a los de los sitios web genuinos y divulgan escritos con enfoques falsos y contrarios a los originales y a la verdad. Los sitios web impostores están primordialmente al servicio de la extrema derecha y atienden, primero que todo, a las órdenes de Álvaro Uribe Vélez, ex presidente de Colombia, quien caracteriza la esencia de sus ataques acusando falsamente a sus contradictores de pertenecer a la izquierda, la guerrilla y el tráfico de drogas. Las noticias inventadas suelen llevar de manera abusiva firmas reconocidas, como las de los periodistas Gonzalo Guillén, Julián F. Martínez, Daniel Coronell o Daniel Samper Pizano y Daniel Samper Ospina.

Publicamos a continuación, bajo el título “El ataque de los clones”, una traducción libre al español de La Nueva Prensa sobre el primer informe forense de Qurium, escrito en inglés, el cual puede ser consultado aquí.

El ataque de los clones

Por QUIRIUM  

Se trata de una investigación en tres partes que se centra en la guerra de desinformación en Colombia contra los medios de comunicación independientes. La investigación es una colaboración conjunta entre Qurium y el sitio de noticias colombiano La Nueva Prensa.

Parte 1: Difundir la desinformación mediante la clonación de sitios web 

La Nueva Prensa, conocida por sus reportajes de investigación independientes, que a menudo se centran en la corrupción y los vínculos entre la política y los cárteles de la droga, notó en octubre de 2020 que había aparecido un clon de su sitio web en Internet. Casi al mismo tiempo, Los Danieles, una popular página de columnas dirigida por tres prestigiosos periodistas, notó que su sitio también fue clonado. Los impostores utilizaron diseños idénticos y nombres de dominio similares a los de los sitios originales, pero alteraron el contenido y utilizaron la buena reputación de los medios para difundir desinformación en el espectro político. El presente informe se centra en seguir las huellas digitales de los impostores, para revelar la identidad del atacante. Los clones 

Sitio web originalClon
www.lanuevaprensa.com.cowww.lanuevaprensa.net
www.losdanieles.comwww.losdanieles.net


 La ubicación de los clones - ¿Dónde están alojados?  

El nombre de dominio del clon de Los Danieles se registró el 29 de junio de 2020 y el dominio del clon de La Nueva Prensa se registró el 18 de julio de 2020. Ambos dominios utilizados para los clones están registrados con el registrador Namecheap. Los registros históricos del dominio clon de La Nueva Prensa (lanuevaprensa {.} Net), muestran que ha sido alojado en banahosting.com, un proveedor de hospedaje con servidores dentro de la Red Central del Servidor (AS23352). Los dominios de ambos clones declaran un registro SPF de correo del formulario: "v=spf1 +a +mx include:relay.mailchannels.net ~all" Ambos dominios utilizan Inmunify360 para proteger sus sitios web (WordPress) de los ataques a la capa de aplicaciones. Parece que los dos dominios tienen algunas cosas en común. Veamos si podemos encontrar más similitudes ... La ubicación del clon de Los Danieles (losdanieles {.} Net) está oculta detrás de Cloudflare, que representa el tráfico, y oculta dónde está alojado el servidor real. Sabiendo que el clon de La Nueva Prensa (lanuevaprensa {.} Net) está alojado en Server Central Network, analizamos todas las redes anunciadas por la empresa, específicamente aquellas redes utilizadas para alojar clientes.


Usando el servicio censys.io buscamos direcciones con el captcha "imunify360 webshield 1.8" dentro de Server Central y descubrimos que la dirección IP 66.225.201 {.} 72 devolvía un certificado SSL cifrado con el dominio losdanieles {.} Net. Por lo tanto, el backend oculto del clon de LosDanieles también está alojado en Server Central. Una coincidencia…? 

depth=2 O = Digital Signature Trust Co., CN = DST Root CA X3 verify return:1 depth=1 C = US, O = Let's Encrypt, CN = Let's Encrypt Authority X3 verify return:1 depth=0 CN = losdanieles.net verify return:1 Certificate chain  0 s:/CN=losdanieles.net    i:/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- MIIFgDCCBGigAwIBAgISA2F2B8Ec1NNxoN2mk1RfaGDcMA0GCSqGSIb3DQEBCwUA MEoxCzAJBgNVBAYTAlVTMRYwFAYDVQQKEw1MZXQncyBFbmNyeXB0MSMwIQYDVQQD ExpMZXQncyBFbmNyeXB0IEF1dGhvcml0eSBYMzAeFw0yMDEwMjQwNjA0MDlaFw0y MTAxMjIwNjA0MDlaMBoxGDAWBgNVBAMTD2xvc2RhbmllbGVzLm5ldDCCASIwDQYJ KoZIhvcNAQEBBQADggEPADCCAQoCggEBALOdXNcm04arXO9JEs5HJ2WothKL+ByN YtY9ja2WeUXyUqE0iZ3knI5qRxRfR7MJcKwg3vEbCMoMgqOAd6E/rIs4VWX0Saic cowc1bUND3lzKyh+Ni2/hzL5LpGlTxDcd1QduJMSLXJPzUP3oLt0QX7AwciQAdkb LNAKdqoGZGs4R6c3sMRvGHLpI4aqYUQF/WBSj1JBNE3heMmY9yICxHGzgdYauGIi vbkSHm5kXoT5LNy9mzm8Rgu0hdZWAV3dtbb5EpwP2a4snO+VjdN73qQZhxLZJyFY bE84+RHf3+BzAACuhCuX8bJMkayEXecNRYGiy0k8L1hBRdFBDhBVbp0CAwEAAaOC Ao4wggKKMA4GA1UdDwEB/wQEAwIFoDAdBgNVHSUEFjAUBggrBgEFBQcDAQYIKwYB BQUHAwIwDAYDVR0TAQH/BAIwADAdBgNVHQ4EFgQUOMFT551OphiXssqDLcIDjcdE k2QwHwYDVR0jBBgwFoAUqEpqYwR93brm0Tm3pkVl7/Oo7KEwbwYIKwYBBQUHAQEE YzBhMC4GCCsGAQUFBzABhiJodHRwOi8vb2NzcC5pbnQteDMubGV0c2VuY3J5cHQu b3JnMC8GCCsGAQUFBzAChiNodHRwOi8vY2VydC5pbnQteDMubGV0c2VuY3J5cHQu b3JnLzBFBgNVHREEPjA8gg9sb3NkYW5pZWxlcy5uZXSCFG1haWwubG9zZGFuaWVs ZXMubmV0ghN3d3cubG9zZGFuaWVsZXMubmV0MEwGA1UdIARFMEMwCAYGZ4EMAQIB MDcGCysGAQQBgt8TAQEBMCgwJgYIKwYBBQUHAgEWGmh0dHA6Ly9jcHMubGV0c2Vu Y3J5cHQub3JnMIIBAwYKKwYBBAHWeQIEAgSB9ASB8QDvAHYAXNxDkv7mq0VEsV6a 1FbmEDf71fpH3KFzlLJe5vbHDsoAAAF1WWv5KwAABAMARzBFAiA1svPPAuD2C3+J PlTaVqi7MMn76pyOdYNSgvwofYBN5AIhAOaqiCa6nVUE1BzU/p3wcOrnW7pikEN3 GqgMCTecpV10AHUAfT7y+I//iFVoJMLAyp5SiXkrxQ54CX8uapdomX4i8NcAAAF1 WWv5cAAABAMARjBEAiARUBP+bRunYbxa/dtMkAqel7bLaNK4VwkATjjCAOCARQIg KxXXp/Yw/q5C7kUifdeDottzfd9l7HwkHSJriN7EyYowDQYJKoZIhvcNAQELBQAD ggEBABhy684ngX6QnwnVGi7jW5HeXNWv/Ee8nfFeX3xOhiQu32URCTVVF0APG4nP LldJh1eP5PUkLVigrpJVSthKzdQHfBNSjhm/XdmwaHOGrVd/KjPhgw8SXQvkMXqQ eCiSZ1qSiYq1uKQ2xxcYKO2nMRJiO9x7yIUM9m8iP6nUrnOz1zIMJ/NP+aHyxoYX YkKejFWDz5tu6Lc2BknyK1QjX9KP2XRLxhXDf9VemSayP/vniWegTlr0abCCwEvP m2iGUh2e6qo+FcRva4kvus1SdzbyH96tCIyrLzhsdo7HK41S1Vd/5akC97n4fqgT Lcq2wwOYWgYWza2QCOpLUJjgP/s=

-----END CERTIFICATE-----  

Al buscar en lo que está alojado en el rango de IP 66.225.201.0/24, encontramos que la red aloja máquinas de “Banahosting”. Utilizando DNS inverso y datos SSL históricos, encontramos que el dominio "tequieroperro {.} Com" se ha alojado en un grupo de direcciones sospechosas en Server Central (66.225.201 {.} 67-78) con DNS inverso priva60.privatednsorg.com.

Twitter y amplificación de noticias falsas 

Mientras buscábamos más pistas que pudieran llevarnos a las personas detrás de los clones, empezamos a investigar qué manejadores de Twitter estaban difundiendo las noticias falsas provenientes del clon de La Nueva Prensa (lanuevaprensa {.} Net). Descubrimos que los artículos falsos fueron promocionados por la cuenta de Twitter “@lanuevaprensa_” (cuenta falsa de Twitter que utiliza los logos del medio original. Entre la revisión se encontró que una cuenta de Twitter estaba específicamente activa retuiteando todo lo que provenía de la cuenta de Twitter falsa, a saber, @Dr__Fausto.

Imagen 5: @Dr_Faustro retuiteando constantemente los mensajes de la cuenta falsa de Twitter de @lanuevaprensa_ / Imagen 6: Perfil de Twitter de @Dr_Fausto con el link de propietario de la página hps.com.co


Lea completo aquí

Publicar un comentario

0 Comentarios