Una aplicación móvil de conexión P2P

Así funciona la sofisticada 'app' de Tsunami Democràtic para sembrar el caos

La plataforma Tsunami Democràtic se ha convertido en uno de los pilares clave de las protestas independentistas. Ahora han creado una 'app' para organizar nuevas protestas

Foto: (EFE)
(EFE)

"¡Ha llegado el momento de que nuestra voz se oiga en el mundo! Objetivo: colapsar el aeropuerto de Barcelona". Eran las 13:00 horas y la consigna cayó como una bomba. Un par de horas después ya sabemos lo que ocurrió: caos, decenas de vuelos cancelados y duras cargas policiales. Pocas veces un llamamiento a la protesta tuvo tanta efectividad en tan poco tiempo. La plataforma detrás, Tsunami Democràtic, invesigada por el Ministerio de Interior y las fuerzas y cuerpos de seguridad del Estado, es ahora mismo uno de los pilares clave de las protestas independentistas. Hacen y deshacen. Organizan el siguiente golpe a base de tuits, comunicados de Pep Guardiola y mensajes masivos en Telegram. Y ahora tienen un arma más: una nueva aplicación a través de la cual organizan sus próximos pasos y movilizan a miles de personas.

Es ahora mismo uno de los misterios que intentan desentrañar desde Interior, Guardia Civil y Policía Nacional: ¿quién está detrás de Tsunami Democràtic? Se sabe que es un movimiento con un núcleo duro, aunque relativamente amplio, de impulsores. Algunos de ellos tienen elevado conocimiento técnico y llevan meses preparando la oleada de protestas que ahora están paralizando Barcelona tras la sentencia del Supremo. De momento se han servido de redes sociales y grupos de Telegram, pero ahora han comenzado a usar una aplicación P2P (de red de pares) anónima con un diseño técnico que, quienes han estado inspeccionando su código, califican de "sofisticado".

"Se trata de una aplicación montada sobre la plataforma de software libre RetroShare y lo que hace básicamente es conectar a gente de móvil a móvil. No necesitas servidores, todo está en el terminal del usuario. Para comenzar a usarla alguien de tu entorno de confianza y cercano al movimiento de Tsunami Democràtic te tiene que pasar un código QR. Lo escaneas y con eso ya accedes al contenido, próximos pasos de movilizaciones, organización logística, puedes contactar con otra gente del movimiento etc", explica a Teknautas Sergio López, informático que ha analizado el código de la aplicación y que también destripó la verdad sobre el cifrado del censo para el referéndum del 1-O.

La aplicación solo funciona en móviles Android y no pasa por la tienda oficial de Google, el Play Store, para evitar ser vetada. El usuario se tiene que descargar un archivo en su móvil (un APK) que, al abrirlo, pide escanear un código QR para poder continuar. Es una de las vueltas de tuerca del diseño técnico con la que su creadores consiguen mayor anonimato y, sobre todo, control.

"Parece que han usado los códigos QR como una forma de cifrar quién está detrás. Cada código QR es diferente, es la clave GPG pública de la persona que lo envía. Esa persona sirve de nodo, a él se conectarán todas las personas que reciban el código, que en principio parece que es de un solo uso. Es como una red de dos capas: por encima tienes un número de personas de confianza que envían los códigos y por debajo la gente que se conecta", explica López. "En Hong Kong se han usado aplicaciones similares de conexión P2P aunque es difícil saber cómo las han montado técnicamente dada la barrera del idioma y la distancia".

El sistema de códigos permite a quien los envía, en teoría, controlar los usuarios que están detrás, tanto en número como en actividad. Si detectan que hay algún infiltrado, por ejemplo alguien de las fuerzas y cuerpos de seguridad del Estado, tienen la posibilidad de cerrar el acceso a ese nodo y a todos sus contactos. El sistema permite también cortar el rastro digital de los desarrolladores de la 'app' y de quienes envían los QR. La 'app' está subida al repositorio de GitHub (al igual que la web de descarga) y desde ahí puede analizarse su código. Curiosamente, la ha subido un usuario con el nick s3rrallonga, en referencia a Joan Sala i Ferrer, conocido como Serrallonga, un bandolero catalán que fue capturado y encerrado en el Castillo de Savassona (Barcelona) y posteriormente ejecutado.

Miles de personas se agolpan ante el Aeropuerto del Prat después de que la plataforma Tsunami Democràtic haya llamado a paralizar su actividad. (EFE)
Miles de personas se agolpan ante el Aeropuerto del Prat después de que la plataforma Tsunami Democràtic haya llamado a paralizar su actividad. (EFE)

Fuentes de la Guardia Civil consultadas aseguran que "detrás están los mismos informáticos que idearon la nfraestructura técnica del referéndum del 1-0", aunque de momento su web y cuentas en redes sociales siguen activas y no se ha producido ninguna detención. Y tal vez no porque no puedan o no sepan quién está detrás. "Está claro que alguien de la Policía Nacional o la Guardia Civil ya se ha infiltrado en esta 'app'. Y si no han cerrado ya la web o la cuenta de Twitter es porque de momento les interesa que sigan activas. Piensa en ello: les siguen 163.000 pesonas en Twitter. Es una forma muy sencilla de saber quién forma este movimiento, quiénes les apoyan. Pueden perfilarlos a todos", explica el abogado especializado en internet Carlos Sánchez-Almeida.

El dominio de la página web de Tsunami Democràtic se creó a finales del pasado julio. Está registrado por la empresa 1337 Services, con sede en el el paraíso fiscal de San Cristóbal y Nieves, dos islas de la región del Caribe. Se regsitró en la web Tucows y los DNS están alojados en la compañía Cloudfare (sede en San Francisco), famosa entre otras cosas por ofrecer servicios contra los ataques de denegación de servicio para evitar que un tercero tumbe el servidor web.

(EFE)
(EFE)

Conocer quién está de verdad detrás de ese dominio requeriría una petición judicial a Cloudfare, algo lento e improbable en este momento. Las peticiones judiciales a Twitter para facilitar datos sí han sido más eficientes en el pasado. De momento, la gran ventaja con la que juega Tsunami Democràtic es que nadie puede tumbar la 'app'. Su cuenta de Twitter, Instagram o su página web pueden acabar intervenidas de un momento a otro, pero no la 'app', que vive en los móviles de cada usuario. Pura descentralización.

El peligro de usar la 'app'

Juristas especializados en internet y privacidad alertan sin embargo de un punto que, quienes estén usando la 'app', tal vez no sean del todo conscientes: la posibilidad de colarles 'malware' en el móvil a través del código QR. Es uno de los fallos más frecuentes de esta tecnología que ha sufrido recientemente hasta WhatsApp. Escaneas un código supuestamente fiable y, sin saberlo, se te descarga en el móvil una 'app' que puede grabar tus conversaciones, robar tus fotos y enviar todo eso a su creador.

'Hackers' consultados conocedores del entorno de Tsunami Democratic que han analizado el código de la 'app' aseguran que está "libre de 'malware' conocido, es segura según Metadefender y muy bién programada. A estas horas deben estar circulando ya "fuentes fiables del QR" con chapa escondida en el bolsillo", dicen en referencia a versiones de códigos QR difundidas por la Guardia Civil o la Policía Nacional para infiltrar el sistema. "Un error, un código QR con 'malware', y caería un nodo. Técnicamente es una buena 'app' y (como siempre) su debilidad estará en quienes proporcionan el código necesario para su activación. Por otro lado, Retroshare es un plataforma P2P robusta, de código abierto y muy probada".

Guardiola en el vídeo difundido por Tsunami Democràtic.
Guardiola en el vídeo difundido por Tsunami Democràtic.

"Quienes están usando la 'app' y el código no saben a quién le están entregando sus datos", argumenta Sánchez-Almeida. Tsunami Democratic asegura que el sistema es 100% privado y no recopila ningún dato, es de acceso anónimo. En teoría, es así: la propia naturaleza de las 'apps' P2P de este tipo hace que no necesites servidor central para procesar o almacenar datos, las conexiones son móvil a móvil. Pero también es cierto que la plataforma RetroShare, sobre la que funciona la 'app', permite a los creadores acceder a través de una versión desktop con un servidor detrás que sí podría estar recopilando datos personales de algunos usuarios (números de teléfono, IPs, geolocalización...).

"La aplicación no tiene permiso Read_Phone_State, así que no puede leer el número de móvil. Por supuesto, puede que el usuario se lo dé voluntariamente. Sí recopila la ubicación, pero pide permiso antes. La IP también, pero siempre está expuesta", señala Sergio López. Sobre cuáles de estos datos se almacenan o no, durante cuánto tiempo y para qué, solo lo sabe alguien a ciencia cierta: Tsunami Democratic.

Tecnología

El redactor recomienda

Escribe un comentario... Respondiendo al comentario #1
9 comentarios
Por FechaMejor Valorados
Mostrar más comentarios