EL ESPAÑOL ha denunciado ante la Guardia Civil una cadena de ciberataques que buscaban hundir su audiencia y suplantar su identidad.

La ofensiva afectó al tráfico del diario que llega a través de Google y distintos buscadores, así como a la reputación de nuestra marca en redes sociales y otras plataformas externas.

Los hechos denunciados, que serán investigados por la Unidad de Delitos Informáticos de la Guardia Civil, consistieron en una suplantación de identidad mediante un proxy malicioso y un ataque de intoxicación SEO; la apropiación de credenciales para realizar envíos de correos phishing y denuncias falsas masivas contra nuestras publicaciones en redes sociales.

La coincidencia temporal de todas estas agresiones presuntamente delictivas sufridas por EL ESPAÑOL, nos lleva a considerar la hipótesis de que pueda existir algún tipo de coordinación mediante la elaboración de un plan concertado por sus autores.

Consideramos, además, que estos acontecimientos guardan relación con la línea editorial de nuestro periódico, y suponen un ataque la libertad de expresión y a la libertad de nuestra empresa informativa.

El inicio

Tal y como consta en la denuncia, los ciberataques comenzaron el pasado 20 de agosto a través de una operación encubierta contra la CDN. Un elemento neurálgico que se ocupa de la distribución de nuestros contenidos. 

Ese día se registraba en los sistemas de EL ESPAÑOL una leve caída de audiencia, que se acentuó en días posteriores con un abrupto descenso del tráfico procedente de Google de hasta el 80%.

La audiencia de Google News, Showcase y Discover quedó prácticamente en cero, de modo que el tráfico registrado era el de los 'más fieles'. Es decir, el de aquellos que entran directamente a través de la home de EL ESPAÑOL.

Descartada la posibilidad de que fuera un cambio de algoritmo de Google, cuya afectación sobre el tráfico es mucho menor y se desarrolla gradualmente, se puso en marcha una auditoría interna de nuestros sistemas.

El departamento técnico descartó fallos en los sistemas de EL ESPAÑOL, también en el de proveedores externos. Así que se procedió a ampliar la investigación.

En días posteriores se encontró el primer dato anómalo: los indicadores sobre el rastreo que el bot de Google lleva a cabo sobre nuestro servidor de recursos estáticos (fotografías, tipografías, vídeos) habían caído en picado.

Comenzó entonces la comprobación de llamadas a nuestra CDN (la red de distribución de nuestros contenidos) y, en concreto, al server estático. Se encontraron peticiones en tiempo real desde un proxy malicioso

Se comprobó que un servidor intermedio replicaba la home de EL ESPAÑOL en un dominio completamente ajeno a nosotros y que, al mismo tiempo, alojaba material pornográfico.

El contenido reproducido en ese proxy provocaba que los usuarios que entraban pudieran ver, de forma aleatoria, la información de EL ESPAÑOL o pornografía.

Por si fuera poco, ese servidor intermedio hacía llamadas 'en tiempo real' a de EL ESPAÑOL para descargar nuestros recursos estáticos. 

Eso fue lo que hizo que Google interpretase todos nuestros contenidos como elementos relacionados con páginas excluidas por sus políticas de búsqueda y distribución.

Google vinculaba el dominio de EL ESPAÑOL al sitio malicioso y dejó de indexar nuestras noticias.

Tras localizar el ataque se procedió a bloquear las IPs relacionadas con el proxy malicioso y se migraron los datos para incrementar su seguridad.

Vuelve la normalidad

A partir de ese momento Google dejó de considerar nuestro contenido como poco apropiado y en los días posteriores el tráfico procedente de sus servicios fue recuperándose de forma paulatina y progresiva. 

En paralelo, los responsables de ciberseguridad del diario detectaron que nuestra CDN estaba siendo atacada a través de otros tres dominios maliciosos o de contenido pornográfico.

Agresiones que lograron ser repelidas y bloqueadas.

Ese ataque SEO a través de un proxy fraudulento no es el único frente al que EL ESPAÑOL ha tenido que hacer frente en los últimos días.

Mientras los responsables de tecnología trataban de esclarecer por qué el tráfico de EL ESPAÑOL estaba mermado, detectaron el robo de dos credenciales de correos electrónicos de EL ESPAÑOL.

Unos hechos que también han sido puestos en conocimiento de la Guardia Civil para que la Unidad de Delitos Informáticos investigue el origen del ataque.

Los atacantes lograron hacerse con dos credenciales de emails corporativos con el objetivo de lanzar ataques phishing.

Sin evidencias

Afortunadamente, la rápida intervención de los técnicos logró bloquear los envíos y recuperar el control de las cuentas.

Hasta el momento no existen evidencias ni indicios de que los sistemas de EL ESPAÑOL hayan sido comprometidos ni de que haya existido ningún tipo de exposición de datos personales.

Aun así, este diario ha comunicado los hechos a la Agencia Española de Protección de Datos (AEPD) tal y como establece la normativa vigente ante este tipo de situaciones.

Sin embargo, esto ha supuesto un riesgo reputacional para EL ESPAÑOL. Nuestra marca fue empleada para enviar correos fraudulentos.

En concreto se hicieron -al menos- dos envíos masivos a un listado de cuentas de correo de 'La Poste', el servicio postal francés.

El asunto era el mismo en todos los casos: “Votre dernier passage au péage n’a pas pu être réglé”, que en español significa "Su último paso por el peaje no pudo ser abonado”.

Aunque no es seguro, todo apunta a que el listado de correos empleado procedía de un robo sufrido por 'La Poste' en el año 2022.

En paralelo se detectó desde otra cuenta de correo corporativa una nueva campaña masiva de emails.

Una anomalía que fue investigada y bloqueada para frenar una nueva oleada de envíos phishing.

El objetivo eran correos bajo el dominio @yahoo.com.mx. En esta ocasión no había un asunto, sino dos: "Confirmación de tu actividad reciente" y "Tu cuenta ha sido actualizada".

El equipo jurídico de EL ESPAÑOL también ha puesto en conocimiento de la Guardia Civil que en los últimos días se están recibiendo denuncias falsas contra los contenidos del diario en redes sociales. En concreto en Instagram

Unos hechos que han limitado la capacidad de ganar seguidores y el alcance de las cuentas del periódico.

Al parecer una "empresa" se dedica a denunciar de forma falsa y sistemática buena parte de nuestras publicaciones en la plataforma.

Alega que los contenidos publicados no cuentan con los derechos de propiedad intelectual y de reproducción; o que se trata de contenido duplicado.

Se trata de "denuncias recurrentes y numerosas", según ha podido conocer EL ESPAÑOL de fuentes de Meta.

Eso ha hecho que el gigante tecnológico aplique de forma automática una sanción a las cuentas de este diario limitando su alcance y su capacidad de captar nuevos suscriptores.

Muestra de la falsedad de esas denuncias, es que uno de los post que se denunciaron era el de una entrevista a la expresidenta de la Comunidad de Madrid, Esperanza Aguirre, hecha por el redactor jefe de este diario, Daniel Ramírez.

El segundo ejemplo de otra restricción automática impuesta por Meta tras una denuncia falsa es un vídeo de Gabriel Rufián en una declaración pública en el Congreso. EL ESPAÑOL cuenta con los derechos de imagen y reproducción pertinentes.

En esta imagen se puede comprobar cómo Meta comunica a EL ESPAÑOL que ha publicado contenido duplicado o sobre el que no posee derechos (siendo ambas cosas falsas) y, por tanto, su “cuenta no se puede recomendar a las personas que no te siguen”.

Por fortuna, en los últimos días y tras largas conversaciones con Meta, se ha conseguido aclarar el malentendido y desbloquear la cuenta de EL ESPAÑOL.

Sin embargo, estos hechos serán también investigados por la Guardia Civil pues no parece casual que esta campaña en redes coincida en el tiempo con los ciberataques denunciados.