·      Trama compleja que mezcla desinformación, ingeniería social y criptoestafas, con víctimas en Colombia y operadores en al menos 3 países (Mauritania, Uruguay, Mauricio ).



·      Anuncios y páginas clonadas difunden afirmaciones falsas sobre “enriquecimiento ilícito” y actividades fraudulentas de Gustavo Bolívar, sin pruebas reales.



·      Estrategia publicitaría cuyo objetivo es la captación de recursos de colombianos que terminan envenenando la opinión pública interconectada.



·      Atacantes se aprovechan de pasiones políticas nacionales para concretar una posible estafa.

Plataforma no vigilada por la Superintendencia Financiera de Colombia, que tiene la capacidad técnica de captar dinero de colombianos, aprovecha coyuntura política colombiana y despliega masiva operación de bots con publicidad maliciosa en la que difaman a Gustavo Bolívar, director del DPS.

Atacantes aprovechan Desorden Informativo colombiano y usan Disinformation (creación y difusión voluntaria de información falsa que busca crear daño o generar problemas) para engañar usuarios en la plataforma X y llevar tráfico a plataforma de captación de recursos.

En medio de la actividad, no solo difaman al empleado público, sino que añaden una carga política y de mentiras al ya contaminado ambiente de opinión pública interconectado del país. Actividad que seguirá activa hasta que autoridades locales y la plataforma X tomen medidas para detenerla.

Las evidencias técnica demuestran que no se trata de una estrategia política (Aunque sí tiene consecuencias políticas) sino más bien una elaborada trama de 5 fases que busca principalmente dos cosas: Captar datos personales de colombianos e intentar captar recursos de incautos.

Fase 1: Publicidad prohibida en X

La Operación de Información se viene detectando desde inicio del mes de marzo de 2025.

Todo inicia con en el pago de anuncios publicitarios en la plataforma X desde perfiles aleatorios que hacen parte de una botnet que difunde publicidad maliciosa.

En esta investigación se detectó una red al menos 15 cuentas que tienen como característica perfiles pagos, tienen entre tres y 23 seguidores y publican trinos en inglés con contenido similar donde promocionan canciones o canales de YouTube. Todas las cuentas fueron creadas en los años 2009, 2012, 2020 y 2018.  Todas estas son características de una Botnet.

La intención de la Botnet publicitaria es posicionar una idea escandalosa o llamativa alrededor de la figura de Gustavo Bolívar. Lo acusan de un supuesto enriquecimiento ilícito, pero al mismo tiempo de ser un exitoso inversor. No importa el tipo de mensaje, el objetivo es que los usuarios de X en Colombia den clic a los anuncios.

Para lograr su objetivo usan fotomontajes de bajísima calidad donde usan la figura real de Bolívar para ponerlo en contextos de un juzgado o acompañado de la policía.

Usan el poder de la imagen junto a trinos como “debes conocer la verdad que muchos callan” o “las cosas empiezan a descontrolarse”.

Es evidente un esfuerzo de comunicación para generar el clic, no solo en el copy del trino sino en el uso ilegal de la imagen del político y el texto que acompaña el anuncio publicitario.

Sumado a lo anterior el anuncio tiene dos ganchos adicionales. Un supuesto link a Youtube (que nunca lleva a un video) y un pie de foto que hace preguntas cómo ¿Qué ocurre?.

Es una campaña efímera ya que los anuncios que son vistos quizás por millones de personas en Colombia son borrados a los 20 o 30 minutos después de publicados.

Fase 2: Contenido Impostor

La Operación de Información continúa con la técnica de Disinformation llamada Contenido Impostor. Crearon un portal falso del periódico El Tiempo que usa identificaciones o logos de la publicación pero que realmente no fue producido por esta casa editorial.

Luego de que la víctima es manipulada y movida por sus emociones políticas para dar clic termina visitando una entrevista publicada por una versión falsa del periódico El Tiempo.

La publicación parece real, pero no lo es. Es una versión clonada de El Tiempo y una publicación creada supuestamente por Andrés Felipe Balaguera Sarmiento, actual periodista de Red Más Noticias.

El contenido es una larga entrevista de un supuesto video podcast producido por Mauricio Navas Talero quien en la vida real sí tiene un emprendimiento digital llamado Ser o No Ser. Este canal en Youtube ha sido usado en varias oportunidades como gancho y excusa para llevar tráfico a diferentes portales que captan recursos.

La larga entrevista complementa los anuncios que hablan de un supuesto enriquecimiento ilícito y la “verdadera” respuesta de Bolívar. El relato que construyen es que una plataforma en línea ha llevado al éxito al político colombiano.  En todo el texto se hace mención con link 14 veces a una Url que tiene una infraestructura técnica compleja.

Fase 3: Señales de malware y compleja infraestructura técnica

Quien es movido por la pasión política y la ya tradicional idea del colombiano para adquirir recursos sin mucho esfuerzo terminará en diferentes versiones clonadas de El Tiempo.

Las versiónes falsas de El Tiempo (Que son varias) están alojada en el subdominio https://bra(.)gourmetfoodhub(.)cfd. Esto quiere decir que el atacante administra el dominio Gourmetfoodhub.cfd.

El sitio web tiene la extensión de dominio. cfd que por su bajo valor es usado y conocido ampliamente en el sector de ciberseguridad para ataques de pishing.

Father sucked into CFD trading scam, next steps?
byu/Abalith inScams

Cada vez que una persona le da clic a los anuncios se despliega la versión clonada de El Tiempo en una URL que tiene unas características técnicas específicas.  Esta es la URL de uno de los anuncios que indica que el atacante puede reconocer ciertos datos del performance de la campaña publicitaria.

https://bra.gourmetfoodhub.cfd/post/co-eltiempo-gustavo_bolivar/index.php?exid=&cep=PcGdbcjgKxgEUSiZvuEpxly3UbkpOzKBR8QjL0xmY-Mf2k6qzb3hWgfuXphlvmBnNH-aZdGe0Q4KTGbdTKhN5KsqCpyL7vOBDauF-Qx4aYroSZPgnrd_cy5uLx-TFStX93LVBbMpvRnp2XWoab5YIiXCzE0qhRM1C-gusSGMNuhEFa_VmCu53uYNEtsCzOzI2mW7gBb8cE_PW3B3C5D0JWai1fzf1DM4zL52wyR4SUa-SyxYQqKN4C4KXtC-icopQhVohZccwryETbBDOrsinzJ3-zhQU28qWiHgDqWo_EpXAx4TbHLaTTDthH6M4XTTk1wl6yc8aJW_mnZrbf2JbyvsYdw1SV0Zz5Ag6JeLO2WsWN_jFg34P6lO4MPsAkV-G_l9r9rzNgDo08PnKNJHooVxxBuRYe2gRyaeIpi3izFeGurER8xyFxN0KtKEdS7hq-jS-b7dN0FykNioIK2R2SuDr9YUPxJd_nBWhpJXVm8&lptoken=176e43fc541f912d1363&key1=kA&ad_name=ad1&lpkey=00206709ec8c6e160a

Analizando la URL de la campaña publicitaria se pueden observar parámetros que son usados dentro de campañas de marketing digital y cuyo objetivo es generar información.

Se observa el uso del parámetro exid= Usado en sistemas de marketing digital para identificar la fuente de un clic (ej: Google Ads, Facebook Ads).

Como ya lo habíamos reportado hace meses X no es la única plataforma donde se despliega esta campaña.

Utilizan la imagen de empresario David Vélez y un artículo falso de Revista Semana para inducir el uso de una cuestionada plataforma de Trading

También se registra en Meta. El atacante sabe dónde hacen clic con mayor efectividad y es parte del perfilamiento digital que hacen.

Igualmente se observa cep=“Campaign Encrypted Parameter” (Parámetro Encriptado de Campaña). Contiene datos codificados sobre la campaña publicitaria (ej: origen, creativo, audiencia). Esto puede servir para obtener datos como geolocalización.

También se observa lptoken=“Landing Page Token” (Token de Página de Destino). Acá lo usan para dirigir el tráfico a las varias versiones de El Tiempo que usan.  En algunos casos la versión solo se puede abrir en dispositivos móviles y con ciertos navegadores.

Finalmente está lpkey=”Landing Page Key” (Clave de Página de Destino) se usa para redireccionar el tráfico.

Basada en la evidencia que sale de analizar los parámetros de la URL podemos afirmar que estamos ante una completa, compleja y efectiva campaña de marketing digital que en su despliegue puede conocer datos de usuarios.

La complejidad de los parámetros explica por qué razón la plataforma donde aterriza el ataque tiene diferentes nombres y diferentes Landing Page. Hemos recolectado evidencia de que se usa la misma estrategia para diferentes servicios como DevonixTrader o TraderFlix + 9gpt.

La campaña es capaz de mostrar diferente servicios por cuenta de las características de la víctima. Es decir, luego de hacer clic en el anuncio, visitar la página falsa de El Tiempo y caer en la tentación de darle clic a la palabra “Plataforma” aparecerán unas páginas de unos supuestos servicios de Trading con criptomonedas.

Dentro del código fuente de uno de los portales falsos encontramos un código que utiliza la página y que diferentes servicios de ciberseguridad lo califican como fuente de Malware.

 hoksomuptak(.)net Dispara un evento ------>  src="//hoksomuptak.net/850/66175/mw.min.js?z=7868393&sw=/sw-check-permissions-9de81.js"

No hemos podido identificar qué hace exactamente el archivo .js.

Fase 4: Entrega de datos y acoso telefónico

Si finalmente alguien cae en la tentación de dar sus datos en los portales de trading aparecerá finalmente la verdadera plataforma que está detrás de todo este complejo entramado.

Al dar los datos aparecerá una nueva página https://bra(.)artvibegallery(.)cfd/post/offer/form/register/index.php que está alojada en el dominio artvibegakkery.cfd y que tiene como función usar un formulario creado en php para enviar los datos de la persona.

Una vez enviado los datos aparecerá la url https://www.smartstp.com/onboarding según las evidencias recolectadas es la beneficiaria de todos este entramado digital.

Para comprobar el funcionamiento de la fase cuatro entregamos datos falsos y un número de teléfono. A los tres minutos se recibió una llamada del teléfono 601996847.

Esta es la grabación de la llamada donde una agente supuestamente ubicada en Montevideo, Uruguay, insiste y hace todo lo posible para que la persona que entregó sus datos consigne 250 dólares.

Tras la llamada donde pedimos tiempo para consignar el dinero recibimos otra llamada del teléfono 601996847 donde una persona con acento argentino o uruguayo en tono amenazante invita a consignar el dinero. “ De no hacerlo, se pierden los privilegios”, indicó.

Posteriormente a las 13:51 y 14:10 se recibieron dos llamadas más de los teléfonos 3009126900.

Desde Mauritania envenenando la opinión pública colombiana

Ahora pasemos a la parte más importante de nuestra revisión. Necesitamos verificar las licencias de la empresa, su dirección legal y otros aspectos operativos. Solo así podremos determinar la verdadera naturaleza de la plataforma y responder la pregunta clave: ¿es esta empresa confiable o no?

En el pie de página del sitio web se menciona la entidad legal MRL Investments (MU). Está registrada en Mauricio, una jurisdicción offshore, y posee una licencia local de la MFSC. Verificamos los registros de esta comisión financiera y confirmamos que esta entidad efectivamente recibió una licencia en 2022.

La empresa está ubicada en la dirección 7th Floor, Tower 1, NeXTeracom, Cybercity, Ebene 72201, Republic of Mauritius. Las evidencias muestran que la empresa beneficiada esta ubicada en este edificio en un país africano.

El Peligro del Uso Malicioso de Imágenes en Campañas de Desinformación: Un Riesgo que Todos Enfrentamos

El reciente caso en el que actores maliciosos utilizaron la imagen del político colombiano Gustavo Bolívar para impulsar una sofisticada campaña de captación de recursos y desinformación revela una inquietante realidad: en la era digital, ninguna persona está realmente a salvo del uso fraudulento de su identidad. Lo que hoy ocurre con figuras públicas podría mañana afectar a cualquier ciudadano, con consecuencias potencialmente devastadoras para su reputación, seguridad financiera y bienestar emocional.

Las plataformas digitales, a pesar de contar con políticas contra la suplantación y el contenido engañoso, suelen actuar con lentitud ante estos casos. Los bots y anuncios maliciosos permanecen activos durante días o incluso semanas, acumulando víctimas antes de ser eliminados. Mientras tanto, el daño ya está hecho: imágenes manipuladas, acusaciones falsas y enlaces fraudulentos se propagan sin control, alimentados por algoritmos que priorizan el engagement sobre la veracidad.

Para un ciudadano común, sin recursos legales o influencia mediática, probar que fue víctima de un ataque digital puede convertirse en una batalla cuesta arriba.

El impacto de estos ataques no se limita al mundo virtual. Una imagen falsa que asocie a una persona con actividades criminales puede destruir su reputación laboral, afectar sus relaciones personales y exponerla al acoso. En casos como el analizado, donde la campaña incluía presión telefónica y solicitud de dinero, el perjuicio económico es directo. Pero incluso cuando no hay un componente financiero, el estrés emocional derivado del linchamiento digital puede dejar secuelas profundas.

Hacia una Solución Colectiva

Proteger a la sociedad de estos abusos requiere acción en múltiples frentes:

1. Mayor responsabilidad de las plataformas: Deben implementar sistemas proactivos para detectar cuentas falsas y contenido manipulado, en lugar de depender únicamente de reportes de usuarios.
2. Educación digital crítica: Enseñar a reconocer señales de deepfakes, dominios sospechosos (.cfd, .xyz) y tácticas de ingeniería social reduce el número de víctimas potenciales.
3. Mecanismos ágiles de denuncia: Las autoridades necesitan equipos especializados en ciberdelincuencia con capacidad de respuesta rápida, idealmente en colaboración con empresas tecnológicas.

El caso de Gustavo Bolívar no es una excepción, sino un ejemplo de una amenaza creciente. En un mundo donde cualquier foto o audio puede ser alterado para fines maliciosos, la defensa de la identidad digital debe ser una prioridad colectiva.

Mapa de la Operación de Desinformación de SmartSTP