EL ESPAÑOL ha denunciado ante la Guardia Civil una serie de ciberataques que amenazan su identidad y buscan perjudicar su audiencia. Estos ataques han afectado tanto al tráfico que recibe el diario a través de Google como a su reputación en redes sociales y plataformas externas.
La denuncia detalla que la unidad de delitos informáticos de la Guardia Civil investigará estos ataques, que incluyen la suplantación de identidad mediante un proxy malicioso y ataques de intoxicación SEO, además del robo de credenciales para enviar correos phishing y denuncias falsas masivas contra el contenido del diario en redes sociales. La coincidencia temporal de estos ataques sugiere una posible coordinación entre los autores, vinculando estos hechos con la línea editorial de EL ESPAÑOL y constituyendo un ataque directo a la libertad de expresión.
Inicio de los ataques
Los ciberataques iniciaron el 20 de agosto a través de una operación encubierta contra la red de distribución de contenidos (CDN) del diario. Ese día, se registró una leve caída de audiencia que se intensificó en los días siguientes, con un descenso abrupto del tráfico procedente de Google de hasta el 80%. Los indicadores de Google News, Showcase y Discover quedaron prácticamente en cero, afectando solo a los usuarios más fieles del diario.
Tras descartar que la disminución del tráfico se debiera a un cambio en el algoritmo de Google, se realizó una auditoría interna que confirmó la integridad de los sistemas de EL ESPAÑOL. Sin embargo, se halló un dato anómalo: los indicadores del rastreo del bot de Google sobre el servidor de recursos estáticos del diario habían caído drásticamente. Esto llevó a la comprobación de las llamadas a la CDN, donde se hallaron peticiones en tiempo real desde un proxy malicioso que replicaba la página de EL ESPAÑOL en un dominio ajeno.
El contenido de este proxy, que también albergaba material pornográfico, causó que Google identificara erróneamente todos los contenidos del diario como inapropiados, deteniendo la indexación de sus noticias. Una vez descubierto el ataque, se bloquearon las IPs relacionadas con el proxy malicioso, lo que permitió que Google reconsiderara la clasificación del contenido de EL ESPAÑOL.
Continúan las agresiones
A pesar de la restauración gradual del tráfico, los responsables de ciberseguridad detectaron ataques adicionales a la CDN del diario desde otros dominios maliciosos. En paralelo, se descubrió el robo de credenciales de dos correos electrónicos corporativos, lo que llevó a la Guardia Civil a ser informada para investigar el origen de estos ataques. Afortunadamente, la intervención rápida del equipo técnico logró contener los envíos fraudulentos y recuperar el control de las cuentas afectadas.
Hasta el momento, no se han encontrado evidencias de que los sistemas de EL ESPAÑOL hayan sido comprometidos ni de que haya habido exposición de datos personales. Sin embargo, la marca ha sido utilizada para enviar correos phishing a cuentas del servicio postal francés La Poste, con mensajes fraudulentos que simulaban notificaciones de peaje no abonadas.
Además, se han recibido denuncias falsas contra el contenido del diario en redes sociales, particularmente en Instagram, lo que ha limitado su capacidad de ganar seguidores y alcanzar nuevos públicos. Estas denuncias, alegando violaciones de derechos de propiedad intelectual, han sido constantes y han resultado en sanciones automáticas por parte de Meta, restringiendo el alcance de las cuentas de EL ESPAÑOL.
A pesar de los esfuerzos por aclarar estas situaciones, el equipo jurídico del diario ha solicitado a la Guardia Civil que investigue también estas campañas coordinadas en redes sociales, que parecen coincidir cronológicamente con los ciberataques sufridos. La situación continúa desarrollándose y se mantendrá bajo observación.
