1. La blogoteca mantiene registros de todas las visitas que llegan a los blogs inscritos en el directorio. Mantiene dichos registros porque se pide a los usuarios que instalen el botón en el blog, en el applet o en ambos. La imagen del botón se referencia de la siguiente manera: <img src='http://lablogoteca.com/images/blogotecaButton.gif">. El applet es en realidad una página de la blogoteca que los usuarios interesados en utilizarlo incluyen dentro de un <iframe>. De manera que cualquiera que sea el caso, botón o applet, Apache, el software que utilizamos como servidor web, mantiene un registro de los visitantes.

2. Los últimos ataques tuvieron lugar el 12 de marzo. Casualmente de esos blogs que destruyeron, varios estaban inscritos en la blogoteca y tenían el botón o bien el applet. Revisando nuestros logs encontramos uno y sólo un IP de una conexión a internet que visitó 5 blogs que estaban inscritos en el directorio y fueron borrados. Ese IP es 190.65.0.19.

3. En uno de los casos pudimos apreciar que dicho IP (190.65.0.19) accedió al blog apenas 8 minutos antes de ser atacado. Sabemos eso porque una vez el malechor accedía a los blogs borraba todos los posts y dejaba uno sólo en donde ponía su propaganda calumniosa e inculpaba a Jaime Ruiz. Como es estándar, cada post  tiene su fecha y hora de publicación. La entrada que nosotros tenemos data de las 12:40 PM y el ataque fue perpetrado a las 11:48 AM hora colombiana. Eso se explica porque nuestro servidor estaba adelantado 1 hora respecto a Colombia ya que a partir del 11 de marzo de 2007 todos los relojes en EEUU fueron adelantados 1 hora.

4. El blog mencionado en el punto 3 se llama Coprofalia. Dicho blog, casualmente, sólo tuvo cuatro visitas en todo el día 12 de marzo hasta que fue atacado. Las últimas 2 visitas llegaron a través de la conexión descrita con el IP en mención: 190.65.0.19. De igual manera pasa con el blog webargas y el de Kathy Mercado: que la última visita provino de ese IP y cesaron de llegarnos registros de visitas dado que el saboteador borraba la plantilla con el botón y/o el applet.

5. En varios de los casos (al menos dos) pudimos apreciar que después de que dicho IP accedía a un blog, los registros en nuestros logs cesaron de llegar, lo que indicaba que bien habían suprimido el applet o el botón de la plantilla de dicho blog. Esto se explica porque el intruso se encargaba de borrar la plantilla original que ya contenía el código del botón y/o applet.

6. De entre los blogs que fueron borrados y estaban registrados en la blogoteca, estamos convencidos de que la mayoría de sus autores no se conocía entre sí. Es decir, que el autor de Coprofalia no tenía ninguna relación con Katherine Mercado, ni con Sergio Méndez, ni con Bilioso, ni con el autor de Bizarro City y así sucesivamente para cada uno de estas personas. Lo que pretendemos argumentar es que es prácticamente imposible que una persona visitara esos blogs bien fuera a través de enlaces en alguna parte o porque fuera amigo o visitante habitual de cada uno de esos blogs. Los temas que se tocaban en ellos eran demasiado diversos: política, homosexualismo, temas personales, etc.

7. El IP 190.65.0.19 NO APARECE, salvo el día de los ataques, registrado en ninguno de nuestros logs antes o después del día 12 de marzo. La blogoteca cuenta con 996 blogs inscritos en este momento. Basta con que la persona que se conecta a través de ese IP visite cualquiera de esos blogs que tenga el botón o el applet, para que quede un registro en nuestros logs. Esto lo mencionamos porque nos parece aún más sospechoso que si se tratara de un error de nuestra parte inculpar a dicho IP, ya habríamos visto unos cuantos registros más provenientes de ese IP en alguno de los 996 blogs inscritos, de los cuales muchos tienen nuestro botón.

8. El IP 190.65.0.19 permaneció activo por varios días. Lo sabemos porque una vez identificamos dicho IP comprobamos que el computador estaba en línea haciendo varios pings. Después procedimos a escanear los puertos haciendo un "Christmas scan" con el programa nmap y determinamos que tanto el puerto 80 (http) como el 23 (telnet), entre otros, estaban abiertos.

9. Intentamos conectarnos al puerto 80 utilizando nuestro navegador. Se nos preguntaba por un nombre de usuario y una clave para poder acceder al sitio. Tras varios intentos probando diferentes nombres de usuario y claves pudimos ganar acceso. Se nos ocurrió probar los nombres de usuario y claves que la mayoría de enrutadores comerciales traen inicializados por defecto con tal suerte que uno de ellos funcionó, y así pudimos determinar que dicho enrutador está detrás de otro enrutador o en una red interna puesto que la dirección IP de su GATEWAY es el de un IP interno (10.0.1.21).

La colaboración anónima de los lectores y la denuncia a las autoridades de lo expuesto contribuirá sin duda a terminar con ese espíritu de sospecha y odio que se ha apropiado de la blogosfera a causa del afán del sector mayoritario de acallar a quienes de algún modo consideramos falacias los puntos centrales de su propaganda.Esta información se irá actualizando a medida que obtengamos más datos sobre esos hechos. Agradecemos la atención prestada.

Marzo 23: Invitamos a los lectores a leer un resumen del método empleado por los difamadores para obtener las contraseñas.

_______Es muy probable que esos crímenes formen parte de una conjura de editores de diversos blogs, pero es algo que de momento no se puede demostrar. En todo caso, para ver la calidad humana que reina en la blogosfera colombiana invitamos a leer esta entrada, según la cual quien borró los blogs era un "vengador" que estaba de nuestra parte. ¿Habrá quien siga creyendo que hay más inmoralidad en la conducta del lamer? Nosotros no, ciertamente. Ni tampoco más responsabilidad, sólo la tradicional división social del trabajo. Y la certeza que tienen algunos de que el patio de prisión moral que habitan es un paraíso digno de defenderse.

_______Un miembro del equipo de la revista virtual equinoXio que firma como Homo Urbanis ha dejado este comentario en la blogoteca:

Está sonando con mucha insistencia (y hay algunos indicios) la especie de que La Blogoteca sí tiene que ver con los ataques terroristas contra blogs. ¿Qué traman cerrando el tal Paí­s Bizarro? Tal vez si sea una cortinita de humo, al mejor estilo del gobierno que tanto defienden...como dicen los ciegos, amanecerá y veremos.

_______ ¿Por qué no publican esos indicios en lugar de andar divulgando rumores? Ya es evidente que esperan aprovechar la acción de sus compañeros de bando político para acallar a País Bizarro, pero el hecho de mandar a los miembros más torpes del equipo a ejercer esas prácticas es de veras repugnante.