ciberataques

Investigan web unaobraxdia.com por ciberataque a LPG

Investigadores encontraron que el mismo día en que fue comprado el primer dominio falso para clonar la página web de LA PRENSA GRÁFICA también fue comprado el dominio unaobraxdia.com a la misma empresa y con los mismos sistemas de protección. El dominio es utilizado por la alcaldía capitalina. Se investigará cuál es su relación con el ciberataque.

d3f44756-2460-4446-aa05-225133f5547f_XXXLW

Ezequiel Barrera, 23 noviembre 2015 / LPG
la prensa graficaEl 24 de junio de este año fue comprado el dominio falso iaprensagrafica.com a una empresa proveedora de dominios web llamada NAME.com. Ese fue el primero de los dos dominios con los que Andrés Ricardo Ortiz Lara clonó el sitio web de LA PRENSA GRÁFICA y en los que se publicaron notas y entrevistas falsas, según el peritaje informático. Ese mismo día también fue comprado el dominio unaobraxdia.com, que es utilizado para dirigir a un sitio web en que se publican las obras que inaugura el alcalde capitalino, Nayib Bukele.
El dominio unaobraxdia.com no solo coincide en la fecha de compra, con una hora de diferencia, sino que también fue comprado a NAME.com, y además posee el mismo sistema de protección llamado Whois Privacity Protection Service Inc., que en sencillas palabras es una herramienta web que sirve para ocultar la base de datos del responsable o propietario de un nombre de dominio o una dirección IP.
Las coincidencias, sin embargo, no acaban ahí. Ambos dominios también poseen un servicio de puente web de la empresa Cloudflare, que es un sistema que actúa como un proxy (intermediario) entre los visitantes del sitio y el servidor. Este puente oculta la información de dónde se alojan los sitios web.
Por estas múltiples coincidencias, y porque todavía no se ha tenido acceso al servidor en el que se alojan estos sitios web, es que en el peritaje informático se solicitó al Juzgado Decimocuarto de San Salvador, el pasado 21 de septiembre, que para continuar con la línea de investigación se pueda gestionar por la vía oficial el registro de transacciones de tarjetas de crédito o débito de Ortiz Lara, en las fechas de la compra de los dominios falsos utilizados en la clonación, así como la información detrás del dominio unaobraxdia.com, ya que para comprar dominios solamente se puede hacer a través de tarjetas de crédito o con el sistema de pago PayPal. De modo que las transacciones revelarán quién compró los tres dominios.
En el peritaje también se solicita que se agregue el registro de entidades financieras en el país, como DICOM y la Superintendencia del Sistema Financiero.
Además, en el peritaje se puso a disposición de la Fiscalía General de la República (FGR) los datos que deberían ser solicitados a autoridades internacionales para obtener la información de quiénes realizaron las transacciones de compra de dominios, tanto de los dos dominios falsos para clonar la web de LA PRENSA GRÁFICA como la transacción para la compra de unaobraxdia.com, con el objetivo de determinar si Ortiz Lara también compró ese dominio utilizado por la alcaldía capitalina, y luego iniciar una nueva línea de investigación que revele la relación que tienen los dominios falsos y el de la alcaldía con el ataque cibernético en contra del periódico.
Los datos que se pusieron a disposición de los fiscales fueron: “El dominio unaobraxdia.com fue comprado a Name.com, por lo tanto solicitar el nombre, teléfono, organización, dirección, correo electrónico, número de tarjeta de crédito, cuenta PayPal; y solicitar lo mismo para el dominio iaprensagrafica.com”.
En el caso del segundo dominio falso, que es laprensagriafica.com, en el peritaje se proporcionó a los fiscales el dato de que fue comprado a una empresa proveedora llamada Instra.com, por lo que a esa empresa es que se deben pedir los mismos datos solicitados a Name.com.
La única relación que está comprobada, por hoy, entre Ortiz Lara y la alcaldía capitalina es que la empresa para que trabaja, Blue Group (ahora Búnker), hizo “Sívar”, aplicación móvil que fue lanzada por la municipalidad.
Otra de las líneas de investigación relacionadas con el ciberataque es la de una red de perfiles falsos de Twitter que fueron detectados en España vinculados al usuario @_Brozo, que se ha dedicado a hacer campaña y levantamiento de imagen del alcalde Bukele.
Hallazgos
La información de que el nombre Andrés Ricardo Ortiz Lara está ligado a la compra del primer dominio falso de la clonación del sitio web del periódico, y que este dominio estaba relacionado con el segundo dominio falso, identificado como laprensagriafica.com, y que a su vez también estaba relacionado con el dominio unaobraxdia.com, fue obtenida a través de una herramienta web llamada archive.org.
Los investigadores del caso ingresaron al panel de control del dominio falso iaprensagrafica.com y descubrieron que solamente había una página con el texto “Axpuntes.com”.
Luego colocaron ese texto en la herramienta archive.org, que les permitió hacer una investigación por el historial del sitio, en el que encontraron que en los datos del registrante decía: “Andrés Ortiz Lara” y como empresa registrante: “Axpuntes”.
Además había un perfil de autor que el mismo Ortiz Lara había publicado, en el que decía, entre otras cosas: “Me gusta programar”. Y en su cuenta de Twitter (@andrexu), que también había compartido, decía: “Programador Web, Developer (Desarrollador) y mi página es axpuntes.com”.
Ese dominio fue obtenido el 25 de mayo de 2009 y fue actualizado el 28 de mayo de 2015. Sin embargo, había que comprobar técnicamente ese hallazgo y publicación de Ortiz Lara, así que los investigadores utilizaron una herramienta llamada Whois.
Whois es una herramienta web utilizada para hacer consultas en una base de datos que permite determinar quién es el propietario de un nombre de dominio o una dirección IP en internet, de modo que los investigadores la utilizaron y al verificar validaron que la información de que Ortiz Lara es el propietario de axpuntes.com es cierta.
Estos datos validados fueron los que dieron los primeros indicios para ligar a Andrés Ortiz Lara con la compra del dominio web falso.
Ese primer dominio falso, luego de ser comprado, fue utilizado para la publicación de un sitio web que había clonado exactamente el formato, las imágenes, logotipos, links y noticias del sitio web verdadero de LA PRENSA GRÁFICA.
Este primer sitio falso compartió con el segundo falso, además del puente web de Cloudflare, el gestor de comentarios de los lectores llamado Disqus, con el usuario iaprensagrafica.
Este dato es el que también dio indicios de que la misma persona que estuvo detrás del primer sitio web clonado estuvo detrás del segundo con el dominio falso.
Actualmente, Ortiz Lara es procesado judicialmente en la fase de instrucción después de que el miércoles 11 de noviembre fue capturado en un allanamiento en las oficinas de la empresa de publicidad Búnker, donde se encontraba trabajando.
Durante el allanamiento, la Policía incautó 14 equipos informáticos, siete tarjetas de crédito y un carné de cuando trabajó para Casa Presidencial.
 

La red de @_brozo. Una investigación española

En España existe un blog especializado (botsdetwitter.wordpress.com) para descubrir y exponer al público redes de cuentas falsas (“trolls”) y automatizadas (“bots”). En una investigación reciente sobre el uso de estas técnicas en las elecciones de Cataluña también detectaron una red que opera en El Salvador. Aquí reproducimos el capítulo de la investigación relacionada a la “red de @_brozo”. La investigación completa está disponible en este link.

Red de @_brozo

Screen Shot 2015-11-17 at 3.57.59 PMEstá formada por 197 cuentas con perfil falso dedicadas a la emisión de spam político desde hace un año (fueron creadas entre el 26 de agosto y el 17 de septiembre de 2014).

ImagenesPerfilCuentasSe puede descargar un fichero con las cuentas aquí.

Actividad

La actividad observada en esta red consiste en:

  • retuiteos masivos de una cuenta llamada @_brozo, un personaje anónimo conocido en las redes sociales de El Salvador.
  • promoción de la imagen de Nayib Bukele (@nayibbukele), actual alcalde de San Salvador: primero haciendo campaña por su candidatura (hasta marzo de 2014) y posteriormente promocionando su imagen.
  • críticas constantes al partido ARENA.
  • envío masivo de tweets con enlaces a noticias de la web http://www.periodistadigital.com por algunas de sus cuentas a través de la herramienta Twitterfeed.

Usuarios fuente

El listado de los usuarios más retuiteados por la red no deja dudas sobre cuál es el usuario más influyente para la misma:

MasRetuiteadosEl usuario @_brozo acapara el 40% de los retweets de la red. Según la experiencia adquirida durante este año,  hemos encontrado que entre los usuarios más retuiteados hay bastantes probabilidades de encontrar al administrador de la red. En este caso al ser una cuenta anónima se hace muy probable que quien está detrás de ella sea el responsable de la red.

En este enlace dejamos el listado de todos los tweets enviados por las 197 cuentas de esta red.

Si te ha parecido interesante, por favór difúndelo.

nuestra cuenta en twitter: @BotsPoliticosNo

Ortiz Lara y Payaso sin gracia han asistido a reuniones del concejo capitalino.

ARENA solicita a Nayib Bukele que justifique el trabajo desempeñado por ambos en las sesiones.

Ricardo Andrés Ortiz Lara, detenido bajo sospecha de haber clonado el sitio web de La Prensa Gráfica; y  José Carlos Navarro, mejor conocido como Payaso Sin Gracia,  director de la compañía "Bunker" que fe allanada por la FGR y PNC

Ricardo Andrés Ortiz Lara, detenido bajo sospecha de haber clonado el sitio web de La Prensa Gráfica; y José Carlos Navarro, mejor conocido como Payaso Sin Gracia, director de la compañía “Bunker” que fe allanada por la FGR y PNC

Beatriz Mendoza, 15 noviembre 2015
la prensa graficaConcejales representantes del partido ARENA pidieron nuevamente explicaciones al alcalde Nayib Bukele, respecto a temas relacionados con el fraude cibernético cometido en contra de este matutino.

Esta vez, la solicitud se inclina a que explique la presencia de Ricardo Andrés Ortiz Lara, el sospechoso de haber clonado el sitio web de La Prensa Gráfica; y de José Carlos Navarro, mejor conocido como Payaso Sin Gracia -de quien la Fiscalía tiene incautado el teléfono celular por considerarlo “clave” en la investigación-, en reuniones del concejo de San Salvador.

Según un comunicado emitido por el partido tricolor, el acceso de personal ajeno a la comuna a dichas reuniones se encuentra restringido. En el escrito piden a Bukele una “explicación detallada” de las funciones desempeñadas por los involucrados en las mismas y que justifique la razón por la cual asistieron.

“Los únicos autorizados para asistir a la sesión del Concejo son los asesores de cada uno de los concejales y personal de apoyo para el alcalde. Esas fueron las reglas que ellos mismos impusieron”, manifestó Luz Fonseca, concejal de la alcaldía.

Por otra parte, Gerardo Calderón, también concejal de ARENA, explicó que si Ortiz y Navarro estuvieron presentes en reuniones, “es porque asesoran a alguien, porque son parte del equipo cercano de uno de los concejales o del alcalde”. Ambos, según Calderón, se ubicaban en el área asignada a los asesores.

ARENA ha pedido, en reiteradas ocasiones, que las sesiones del concejo sean públicas y que la prensa tenga permitido el ingreso. Sin embargo, el alcalde capitalino y los concejales afines a él han denegado la petición y han pospuesto el tema para 2016.

CT4s1AGUAAAK9BR

Alcaldía capitalina y MITUR entre los clientes de Búnker. Investigan autores intelectuales. Concejales opositores exigen explicación al alcalde Bukele

Empresa ofrecía a clientes viralizar campañas con “red de influenciadores”.

Policias y fiscales registraron las instalaciones de la empresa Bunker, donde capturaron al sospechoso de clonar el sitio web de La Prensa Gráfica. Uno de los clientes de Bunker es el Gobierno de San Salvador, presidido por Nayib Bukele.

Policias y fiscales registraron las instalaciones de la empresa Bunker, donde capturaron al sospechoso de clonar el sitio web de La Prensa Gráfica. Uno de los clientes de Bunker es el Gobierno de San Salvador, presidido por Nayib Bukele.

Jessel Santos, 12 noviembre 2015 / LPG
Búnker exponía en su página web que era la “única agencia creativa digital especializada en campañas virales, con la red de influenciadores más grande a escala nacional”.

Las autoridades todavía investigan cuál es el papel de la empresa. De momento, la orden de captura está dirigida exclusivamente a uno de sus empleados, Andrés Ricardo Ortiz Lara, a quien la Fiscalía General de la República perfila como experto en informática, según afirmó anoche.

Además de empresas privadas (una de telefonía, una de comida rápida, una editorial, un estudio dental, una venta de ropa, una agencia de motocicletas y una lavandería), Búnker tenía entre sus clientes a dos instituciones de Gobierno: la Alcaldía de San Salvador y el Ministerio de Turismo (MITUR).

A la alcaldía capitalina le creó la aplicación llamada Sívar, que anunció recientemente el alcalde de dicha ciudad. Búnker, mientras tanto, la promocionó en su página de Facebook.

El jefe de comuna capitalino comentó, a través de su cuenta en Twitter, que “mientras hacen el show con el supuesto ‘troll center’, dejan la mesa servida para aprobar mañana (hoy) la ley mordaza (que censura internet)”.

Además, el funcionario dijo que la investigación y las capturas se trataban de “un pequeño show sin relevancia” previo a la aprobación de la ley mordaza. “El que tenga inteligencia que piense”, agregó.

El MITUR no emitió comentario en sus redes sociales.

CTpBZX2UcAADlkL

Investigan a funcionarios que podrían estar involucrados en ataque cibernético a La Prensa Gráfica

Andrés Ricardo Ortiz Lara, capturado la tarde del miércoles, sería solo el autor material.

José Arístides Perla, abogado que representa a LPG.

José Arístides Perla, abogado que representa a LPG.

12 noviembre 2015 / EDH

Andrés Ricardo Ortiz Lara, de aproximados 27 años, es la única persona detenida en este momento como sospechoso de participar en el ataque cibernético a La Prensa Gráfica (LPG) cometido a mediados de este año. Sin embargo, las autoridades estarían investigando a funcionarios públicos involucrados.

“Es la persona contratada para elaborar las páginas falsas de LPG, hablamos que es el autor material, la investigación continúa, hay avances hacía los intelectuales”, detalló el abogado José Arístides Perla, quien representa a LPG.

Además, sostuvo que las autoridades han investigado en diferentes instituciones para conocer los vínculos laborales de Ortiz, sin embargo, las empresas que lo reportan como empleado fisicamente no existen.

“Los ataques están relacionados a investigaciones periodísticas de LPG. El ataque directo fue por esas investigaciones y eso tiene que ver con funcionarios”, concluyó Perla.

Las autoridades no revelaron los nombres de los funcionarios que estarían involucrados.