Incidentes Asociados
Una investigación de DFRLab y la empresa finlandesa CheckFirst ha descubierto que el ecosistema de sitios web rusos conocido como “Pravda” amplió su infraestructura a lo largo de 2024. La operación, anteriormente denominada “Portal Kombat”, ha evolucionado para abarcar más países y blanquear contenido en más idiomas en Europa, África y Asia. El análisis forense de sitios web vinculó la operación con la empresa de TI TigerWeb, con sede en Crimea, así como con su propietario, que comparte vínculos dudosos con el gobierno de Crimea ocupada, respaldado por Rusia. El ecosistema de Pravda abarca varios cientos de agregadores de noticias, o portales, que publican contenido de fuentes de noticias rusas, redes sociales y canales de Telegram. Desde 2022, surgió una nueva iteración de sitios web que presentan la palabra “Pravda” (la verdad en ruso), dirigidos principalmente al público ucraniano y occidental. Los portales parecen estar completamente automatizados y no presentan contenido original, sino que publican videos y traducen publicaciones en un esfuerzo por llegar a un público más amplio y eludir las sanciones. A pesar de su nombre, el ecosistema de Pravda no comparte vínculos con los medios de comunicación rusos que llevan el mismo nombre. Un informe de febrero de 2024 elaborado por el organismo de control de la desinformación francés Viginum expuso un conjunto de portales de noticias no auténticos que blanqueaban narrativas a favor del Kremlin en varias ciudades de Ucrania y que estaban traducidos a varios idiomas europeos, entre ellos inglés, alemán, francés, portugués y español. En ese momento, los operadores de los nuevos portales fraudulentos utilizaban dominios que incluían “pravda-” con códigos de país específicos separados por guiones. En vísperas de las elecciones parlamentarias europeas de 2024, el ecosistema de Pravda evolucionó y lanzó nuevos dominios que apuntaban a casi todos los países miembros de la Unión Europea, así como a los países de la Asociación Europea Oriental. Además, surgieron varios sitios web que apuntaban a los países francófonos de la región africana del Sahel, que recientemente ha experimentado una serie de golpes de estado. Sitios web similares se registraron en el período previo a las elecciones al parlamento georgiano de octubre de 2024. En medio de los esfuerzos por reagrupar todos los dominios bajo un solo dominio (news-pravda[.]com), en el otoño de 2024 y a principios de 2025, la red utilizó 140 subdominios dirigidos a más de ochenta y tres países y regiones de todo el mundo. Tras el informe de Viginum de febrero de 2024 [(https://www.sgdsn.gouv.fr/files/files/20240212_NP_SGDSN_VIGINUM_PORTAL-KOMBAT-NETWORK_ENG_VF.pdf), y dos meses antes de las elecciones al parlamento europeo de 2024, observamos que el ecosistema intentó varias veces crear dominios específicos para cada país. En abril de 2024, una primera serie de cuatro dominios registrados el 26 de abril de 2024 tenían como objetivo los estados bálticos y la República de Moldavia. A diferencia de las primeras entregas de la campaña, donde los sitios web operaban en los idiomas nacionales y oficiales, este subconjunto de cuatro sitios web opera en ruso, en un probable intento de atraer a las minorías de habla rusa en estos países. Los sitios web también estaban distribuidos en dos direcciones IP. Fecha de registro del dominio IP moldova-news.com 26/04/2024 108.162.192.67 latvia-news.com 26/04/2024 104.21.82.102 lithuania-news.com 26/04/2024 104.21.30.198 news-estonia.com 26/04/2024 108.162.192.67 Fuente: DNSLytics El 3 de agosto de 2024, aparecieron veintiún nuevos dominios, dirigidos a ciudades de toda Ucrania. Los dominios operan en ruso y aparecen en la dirección IP 178.21.15.41, alojada por el registrador ruso reg.ru y ubicada en la región de Moscú. Una captura de pantalla que muestra el registrador, los dominios alojados y la ubicación de la dirección IP 178.21.15.41. (Fuente: @DFRLab vía DNSLytics) Una captura de pantalla que muestra los veintiún dominios del ecosistema Pravda dirigidos a ciudades de toda Ucrania. (Fuente: @DFRLab vía host.io/archive) De manera similar, dos meses antes de las elecciones al parlamento georgiano de octubre de 2024, observamos que aparecieron dos nuevos sitios web dirigidos a Georgia y Armenia en un lapso de dos días. De manera similar a los sitios web anteriores, este subconjunto opera exclusivamente en ruso y utiliza la misma dirección IP que los sitios web news-estonia[.]com y moldova-news[.]com. Fecha de registro del dominio Dirección IP georgia-news.com 30/7/2024 108.162.192.67 news-armenia.com 28/7/2024 108.162.192.67 Fuente: DNSLytics En el otoño de 2024, el ecosistema de Pravda volvió a un portal de dominio de nivel superior, news-pravda[.]com, que redirige el tráfico a una serie de sesenta y tres subdominios que se centran en la asombrosa cantidad de cuarenta y nueve países de todo el mundo. Capturas de pantalla de los escaneos de URLScan.io que muestran el dominio resuelto de los antiguos sitios web de Pravda, recuadrado en rojo, redirige al dominio de nivel superior news-pravda[.]com, recuadrado en azul, con un nuevo subdominio específico de idioma y país, recuadrado en verde. (Fuentes: @DFRLab vía URLScan.io) Un dominio específico de EE. UU., us.news-pravda[.]com, apareció el 4 de noviembre de 2024, un día antes de las elecciones presidenciales estadounidenses de 2024. El 8 de noviembre, aparecieron tres dominios adicionales. Estos dominios comenzaron a apuntar a EE. UU., la UE, la OTAN, el canciller alemán Olaf Scholz, el presidente francés Emmanuel Macron y el presidente electo Donald Trump. Dominio IP Visto por primera vez usa.news-pravda.com 172.67.137.144 2024-11-04, 16:26 trump.news-pravda.com 104.21.62.172 2024-11-08, 20:32 macron.news-pravda.com 104.21.62.172 2024-11-08, 19:54 eu.news-pravda.com 104.21.62.172 2024-11-08, 22:26 nato.news-pravda.com 104.21.62.172 2024-11-08, 21:32 Fuente: DomainTools Entre el 3 de diciembre de 2024 y el 8 de enero de 2024, En 2025, aparecieron veintiocho nuevos subdominios, que se dirigían a una amplia gama de países de Europa, incluidos Malta, Islandia, Irlanda, los Balcanes, la República Srpska de Bosnia y Montenegro. Producían contenido en idiomas minoritarios como el catalán, el gallego, el vasco, el galés y el escocés. Otros subdominios se dirigían a África (Argelia, Malí, Senegal, Camerún, Guinea, Gambia, Eritrea, Egipto, Mauritania, Nigeria, Chad, Sudán del Sur y Sudán), el Cáucaso (Osetia, Abjasia) y el público neozelandés de habla maorí. Más recientemente, la red amplió su alcance para centrarse en países de Asia, incluidos Corea del Sur, Corea del Norte, Taiwán, Japón y Singapur. Nuestra investigación también confirmó los hallazgos de 2024 sobre Viginum, que vinculan la operación con una agencia digital con sede en Crimea ocupada por Rusia. Los registros de los primeros sitios web vinculados a Portal Kombat encontrados en Internet Archive muestran que mostraban el logotipo de una agencia llamada Tiger Web. El logotipo se encontró en dos casos en las páginas archivadas de crimea-news[.]com y sochi-news[.]com. Además, identificamos un caso de una reseña dejada por el portal de noticias crimea-news[.]com en el sitio web Rating of Runet. La reseña, titulada Лента новостей Крыма (“Crimea News Feed”), conecta a TigerWeb con un cliente ruso. La reseña dice: “Encargué la creación de un agregador de noticias de Crimea. Los chicos son agradables y todos los comentarios que hice fueron tomados en cuenta. [… ]” Captura de pantalla de las reseñas dejadas en Рейтинг рунета (Rating of Runet) sobre Tigerweb. En verde se encuentra la reseña vinculada a crimea-news[.]com (Fuente: ratingruneta.ru/archive) La investigación forense web también confirmó los hallazgos anteriores. Identificamos que el sitio web tigerweb[.]ru, que pertenece a la agencia, compartió un código de Google AdSense con varios sitios web que difundieron noticias en ruso entre 2016 y 2024 dirigidas a ciudades de Rusia y Ucrania. Los sitios web identificados en este subconjunto apuntaban a las ciudades ucranianas de Volyn y Kharkiv en ucraniano. Se sospecha que estas son las primeras iteraciones de la operación Portal Kombat. Una captura de pantalla que muestra un código idéntico de Google AdSense operando en catorce sitios de noticias, cuatro de los cuales publicaban contenido en ucraniano (en azul), con enlaces a tigerweb[.]ru (en rojo). (Fuente: @DFRLab vía DNSLytics) Los registros DNS de 2015 también muestran que Tigerweb compartía una dirección IP con el sitio web uanews.crimea[.]ua, otro portal de noticias fraudulento que compartía los mismos esquemas de sitios web y contenido de noticias que los marcados a lo largo de 2016 hasta 2024. Otros sitios web encontrados durante ese período también incluyen portales de noticias que apuntan a las ciudades rusas de Saratov, Krasnoyarsk, Sochi y Ufa. Una captura de pantalla de dominios alojados en la dirección IP 77.120.105.80 en 2015 que muestra tanto el dominio de Tigerweb (en rojo) como el dominio de un portal de noticias fraudulento que opera en ese idioma (en azul). (Fuente: @DFRLab vía DNSLytics) Los orígenes de esta operación se remontan a las actividades del fundador, Yevgeny Shevchenko. Ya en 2011, Shevchenko participó en la creación de Crimea News, un esfuerzo documentado en su blog personal, que consideramos el precursor de Pravda v0 de la red. El sitio web es un agregador de noticias que referencia múltiples fuentes de contenido en un solo sitio web; lenta[.]crimea[.]ua. La primera creación de TigerWeb como “agencia” se produjo en 2013, a pesar de que la organización no se registró formalmente en Rusia hasta 2019. En 2014, comenzaron a surgir las primeras versiones de la red Pravda, alojadas en la misma IP que tigerweb[.]ru. Por ejemplo, sitios web como vladivostok-news[.]net y yaroslavl-news[.]net presentan importantes superposiciones, sobre todo en el uso de una cuenta compartida de Google Analytics (UA-47448818-*), como se evidencia en el código fuente archivado. Los primeros artículos de la red datan de marzo de 2014 en crimea-news[.]com. Pudimos rastrear las actividades en yaroslavl-news[.]net hasta julio de 2014, lo que demuestra que estos sitios web estaban operativos mucho antes de que se establecieran iteraciones posteriores de la red. El análisis del sitio web de Shevchenko aporta pruebas adicionales del uso del dominio “crimea[.]ua” para alojar sus proyectos, en la misma dirección IP que otros elementos de la red. En 2018, el nombre de la agencia TigerWeb reapareció en los pies de página de algunos sitios web, como vladimir-news[.]net , lo que refuerza la participación persistente de la agencia en múltiples plataformas. A lo largo de los años, el ecosistema de Pravda ha seguido evolucionando. El registro corporativo oficial de TigerWeb en Rusia se completó en 2019 y su marca registrada se registró en 2020. Se han registrado nuevos sitios web que adoptan el aspecto de Pravda, como alchevsk-news[.]ru y dnr-news[.]ru, centrados en Ucrania y el Donbás. La evidencia del Archivo de Internet demuestra que estos sitios siguen las convenciones de nombres de dominio de la red rusa anterior. El dominio dnr-news[.]ru, observado por primera vez en 2015, que apuntaba a la autoproclamada República Popular de Donetsk respaldada por Rusia, experimentó problemas técnicos en 2019. En 2022, dnr-news[.]ru reapareció con una estética claramente actualizada de Pravda, lo que indica un cambio significativo tanto en el diseño como en la estrategia operativa. El sitio web utiliza ahora el tema ColorMag, un diseño moderno y responsivo desarrollado por ThemeGrill, que es reconocido por su apariencia elegante y su funcionalidad fácil de usar. Este tema no solo mejora el atractivo visual del sitio, sino que también lo alinea con los estándares de los medios digitales europeos contemporáneos, lo que garantiza que la plataforma siga siendo competitiva y accesible. Junto con la revisión técnica, el sitio web presentó en 2024 un nuevo equipo editorial para reforzar su aparente compromiso con el contenido de calidad, nombrando a los editores Viktor Artemyev y Yuri Vlasenko, con sus nombres destacados en la página “Acerca de nosotros” del sitio junto con la información de contacto. La presencia de estos nuevos editores sugiere que la operación está tratando de parecer más profesional y transparente. Es importante señalar que un enlace técnico conecta la red “-news”, desarrollada principalmente para audiencias rusas y ucranianas, con la red Pravda. Ambas redes utilizan un sistema de gestión de contenido (CMS) para gestionar el contenido de sus respectivos sitios web. Es importante destacar que, para mostrar el contenido en el lado del cliente, ambos tipos de sitios web utilizan una API interna que es idéntica en las versiones antiguas y nuevas de las plataformas, y que emplea el mismo punto final y los mismos parámetros. Esta uniformidad en el uso de la API sugiere que el equipo de desarrollo detrás de estas operaciones ha empleado un marco estandarizado, unificando de manera efectiva las redes dispares bajo una única arquitectura técnica. Para intentar determinar los diferentes servidores utilizados por Tigerweb, ejecutamos un script en todos los rangos de IP conocidos de REG.ru, incluidos 176.99. *. *, 178.21.9. *, 185.38.18. *, 188.93.208.1. *, 188.93.213. *, 193.227.134. *, 194.67.64. *, 194.67.76. *, 194.67.77. *, 194.67.106. *, 213.189.199. *, 62.113.93. *, 176.99.4. *, 178.21.12. *, 185.38.18. *, 193.227.134. *, 194.67.106.* y 213.189.199. *. El script procesó cada dirección IP con una respuesta HTTP válida para recuperar los detalles del certificado SSL adjunto. Se descubrieron cuatro certificados asociados a Tigerweb: Dominio del certificado IP SSL valor 176.99.4.13 “176-99-4-13.tigerweb.ru;www.176-99-4-13.tigerweb.ru” 176.99.4.42 “176-99-4-42.tigerweb.ru;www.176-99-4-42.tigerweb.ru” 176.99.6.16 “176-99-6-16.tigerweb.ru;www.176-99-6-16.tigerweb.ru” 176.99.6.116 “176-99-6-116.tigerweb.ru;www.176-99-6-116.tigerweb.ru” En múltiples ocasiones, Shevchenko parece haber trabajado con el gobierno de la República respaldado por Rusia. de Crimea, desde la toma de posesión de la península en marzo de 2014. En 2013, TigerWeb lanzó el sitio web crimea-news.com, que formaba parte de la red “topnews”, una iteración anterior de agregadores de noticias que se centraba originalmente en las ciudades ucranianas. Según la información recuperada en DomainTools, crimea-news.com y topnews.volyn.ua existían en la misma dirección IP entre 2013 y 2016. En su informe, Viginum también señala que la dirección de correo electrónico topnewsua7@gmail[.]com aparece en los registros archivados de varios sitios web de la red. Captura de pantalla de topnews.volyn.ua y crimea-news.com alojados en la dirección IP 77.120.105.277 desde 2013. (Fuente @DFRLab vía DomainTools) En la red social rusa VK, la página asociada a crimea-news.com ha estado activa desde noviembre de 2013 y también cuenta con una clasificación "A+", lo que significa que está aprobada por el regulador de telecomunicaciones ruso Roskomnadzor. Según el registro en línea de páginas y canales aprobados de Roskomnadzor, la página afiliada del sitio web en Odnoklassniki (OK) y Telegram también están aprobadas. Captura de pantalla de la página VK asociada a crimea-news.com. (Fuente: @DFRLab vía VK) Capturas de pantalla que muestran el registro de las páginas de redes sociales y el canal de Telegram afiliado a crimea-news.com. (Fuente: @DFRLab vía Gosuslugi) Según un currículum en línea publicado en namebook.club, Shevchenko trabajó como gerente de proyectos entre 2015 y 2016 para la empresa estatal Krymtekhnologii ("Tecnología de Crimea"). La empresa estatal ahora privatizada ha creado, en particular, el portal del gobierno de Crimea, respaldado por Rusia, así como la Primavera Rusa, que difunde narrativas pro-Kremlin que justifican la anexión de 2014. Krymtekhnologii también es responsable de las licitaciones públicas de servicios de TI. En 2014, el Consejo de Seguridad Nacional y Defensa de Ucrania emitió una prohibición contra el sitio web de la empresa, rtech.ru, y otros dos sitios web afiliados con la promoción de la anexión ilegal de la península por parte de Rusia. Ucrania introdujo nuevas sanciones en 2018 contra la empresa y su director, Aleskandr Ilich Uzbek. La dirección de la empresa también es sospechosa de corrupción y posee negocios inmobiliarios en toda Crimea. Uno de los cofundadores de Krymtekhnologii, Arsen Sidakov, también forma parte de una empresa con sede en San Petersburgo que tiene vínculos con el oligarca ruso Arkady Rotenberg, un partidario de Putin desde hace mucho tiempo y financista. TigerWeb todavía trabaja actualmente para clientes afiliados al gobierno de Crimea, respaldado por Rusia. En 2021, TigerWeb creó un portal en línea dedicado al Centro Republicano de Estimaciones (RCO en ruso, Республиканский Центр Оценки), una empresa privada que estima los precios de terrenos y bienes inmuebles en la región de Crimea. Un documento de diciembre de 2022 publicado en el sitio web del gobierno de ocupación ruso de la región de Zaporizhia de Ucrania designó al RCO para “Servicios de valoración: A. Determinación del valor de mercado del objeto de valoración; determinación del valor de mercado del derecho de uso temporal y propiedad del objeto arrendado (renta anual de mercado); B. Elaboración de planos de edificios, estructuras, locales”. La propuesta de RCO habría sido financiada con un coste de 1.350 millones de rublos, o aproximadamente 15,2 millones de dólares estadounidenses. RCO también indica en su sitio web que supuestamente proporciona servicios similares para la región de Kherson bajo ocupación rusa, aunque el DFRLab no encontró documentos que lo corroboraran. _Amaury Lesplingart es cofundador y director de tecnología de CheckFirst. _Amaury Lesplingart y Valentin Châtelet, “La llamada red “Pravda” de Rusia se expande por todo el mundo”, Digital Forensic Research Lab (DFRLab), 24 de febrero de 2025, https://dfrlab.org/2025/02/24/russia-pravda-network-expands-worldwide/.