El truco oculto de Tsunami Democràtic para evitar y cazar infiltrados: espiar tu ubicación

La 'app' creada por Tsunami Democràtic para organizar movilizaciones analiza tu ubicación para saber si de verdad eres alguien de confianza. Si no lo eres, estás fuera

Foto: Un grupo de manifestantes, en Barcelona. (EFE)
Un grupo de manifestantes, en Barcelona. (EFE)

El 'sketch' que arrasa estos días en Twitter es un fiel reflejo de lo que está ocurriendo en la realidad. Dos jóvenes catalanes se citan a escondidas. Miran nerviosos a un lado y a otro, temen ser descubiertos. "Hola, buenas, no tendrás por casualidad uno de estos... ¿Tú tienes?". "Me los han pasado ayer, colega". "¿Ah, sí?". Es el típico encuentro fugaz entre cliente y camello salvo que la mercancía, esta vez, en lugar de droga son... códigos QR. "Joder, negro, estas mierdas están muy buscadas. Tengo códigos QR de primera calidad, tío. Android nos hará volar, pero Apple está en el ajo. Ve con mucho cuidado tío, la Brimo está que trina".

El vídeo, protagonizado por el mismo humorista, caricaturiza a la perfección el empeño de media Cataluña desde el lunes: conseguir un código QR para acceder a la 'app' diseñada por Tsunami Democràtic, la plataforma que organizó el asedio del aeropuerto de El Prat y que promete nuevas movilizaciones masivas. Para ello, el lunes publicaron una aplicación de Android con la que, aseguran, coordinarán los próximos golpes. El programa se basa en un ingenioso sistema que usa códigos QR para permitir el acceso a los usuarios. Sin uno es imposible entrar, participar, enterarse antes de qué va a ocurrir y apoyar el 'movimiento'. ¿El problema? Ahora mismo estos códigos son como los Pokémon más exóticos: todo el mundo intenta cazar uno pero nadie lo consigue.

Tsunami Democràtic está orquestando, de hecho, una efectiva campaña de 'marketing' de escasez que poco tiene que envidiar a la de los gigantes de Silicon Valley. En un comunicado, ayer, establecieron sus tres grandes prioridades para las próximas semanas. La segunda es la 'app': "Que esté instalada y validada en el máximo número posible de teléfonos. La aplicación nos permitirá actuar con mucha más precisión y eficacia en el largo camino de la desobediencia civil no violenta que comienza ahora". El comunicado no hizo sino avivar el interés por descargar el misterioso programa.

La avalancha de peticiones fue tal que Tsunami Democràtic publicó horas después una guía para explicar a la gente qué está ocurriendo. "En 24 horas, miles de personas os habéis movilizado para encontrar códigos QR en toda Cataluña. ¡Os acabarán llegando!". En el mismo documento, aclaraban cómo conseguir uno: "Se han repartido cientos por toda Cataluña. Pregunta a amigos, familiares y compañeros de trabajo". Esto es justo lo que miles de simpatizantes del independentismo (además de otros tantos curiosos, periodistas y fuerzas y cuerpos de seguridad del Estado) han estado haciendo desde entonces. Sin éxito. ¿Qué está ocurriendo de verdad, más allá de la propaganda de Tsunami Democràtic? ¿Por qué nadie consigue uno de estos códigos?

Foto: Reuters.
Foto: Reuters.

La respuesta está en las tripas de la aplicación y en los mensajes que fluyen en los círculos reducidos del independentismo. Al abrir la 'app' para escanear un código, el programa pide permiso expreso para acceder a la cámara y la ubicación. Por detrás, como muestra la imagen inferior, está accediendo sin avisar a otros recursos del móvil: el micrófono, el almacenamiento para guardar y modificar archivos o la pantalla para evitar que el teléfono se apague. Lo importante, sin embargo, es la ubicación.

El truco oculto de Tsunami Democràtic para evitar y cazar infiltrados: espiar tu ubicación

La 'app' accede a dos tipos de ubicación: la que marca el GPS (con mayor nivel de precisión) y la que marca la red celular del operador de cada cliente. El truco llega al activar la cámara para escanear un código QR: solo va a funcionar si te lo ha pasado alguien en persona. Codo con codo. Nada de recibirlo por WhatsApp, 'e-mail', Twitter u otras vías electrónicas. O lo escaneas directamente del móvil de un 'company' de confianza, que a su vez tiene que conocerte a ti para dártelo, o no hay forma. El ardid técnico para conseguirlo es bastante ingenioso.

Datos y recursos del móvil a los que accede la 'app' de Tsunami Democràtic. (Imagen: Teknautas)
Datos y recursos del móvil a los que accede la 'app' de Tsunami Democràtic. (Imagen: Teknautas)

La 'app' usa un código Java modificado y 'hasheado' (cifrado) que analiza la ubicación (coordenadas) de la persona que está escaneando el código, la compara con la de la persona que lo ha enviado y calcula la diferencia. Si la diferencia es muy grande (10, 15, 20 metros), el sistema entiende que no están juntos físicamente e impide el acceso. Si la diferencia es pequeña, bingo, significa que ambas personas están juntas, se conocen y (en teoría) ambas son de confianza.

Este sistema cumple dos funciones clave: por un lado, evita que el número de personas usando la 'app' se descontrole (con los problemas de disponibilidad técnica que eso supondría) pero, sobre todo, reduce (aunque no elimina) el riesgo de infiltrados indeseados, especialmente de las fuerzas y cuerpos de seguridad del Estado.

El truco oculto de Tsunami Democràtic para evitar y cazar infiltrados: espiar tu ubicación

Diversos especialistas en ciberseguridad consultados que han analizado en detalle el código de la 'app' y conocen el entorno de Tsunami Democràtic aseguran que la idea es "inteligente" y "está muy bien adaptada". "El código QR lo llevan solo móviles de confianza y puede estar en otra 'app' que interconecta ambas. El análisis [ver imagen debajo] indica que hay acceso a otro elemento cuando se arranca la aplicación, se resetea o se para", explica un experto en ciberseguridad que pide el anonimato. Es decir, solo un número reducido de personas cuenta con estos códigos: lo muestran en persona a quien consideran de confianza a través de una 'app' intermediaria, esta otra persona lo escanea y, milagro, está dentro.

Como todo en internet, es posible saltarse estas barreras ocultando el rastro de tu ubicación, usando servicios como FakeGPS o ejecutando la aplicación desde el móvil en un entorno emulado. Sin embargo, no son soluciones sencillas para el usuario de a pie y siempre seguirás necesitando escanear el móvil en persona a alguien del entorno de confianza de Tsunami Democratic que, a su vez, confíe en ti. Además, si todo esto falla, el sistema puede detectar actividad y usuarios sospechosos. Cualquier responsable de un nodo de contactos (la gente que inicialmente sí tuvo acceso a los QR) puede cortar de raíz un nodo y todos su contactos. Adiós a la manzana podrida.

Imagen: Teknautas.
Imagen: Teknautas.

Frente a la propaganda de Tsunami Democràtic de lograr que la 'app' se la instale el mayor número de personas posible, la realidad es que buscan un perfil más bajo, que esté en el móvil de unos pocos cientos, tal vez miles, de afines al movimiento para que sean ellos los que luego dirijan al ejército callejero a través de otros canales. En otras palabras: Twitter, Telegram e Instagram para la masa, la 'app' para un núcleo más reducido de organizadores.

Diversos mensajes enviados en grupos paralelos de Telegram destinados a organizar altercados como los de las dos últimas noches explican el verdadero sentido de la 'app'. "Los códigos QR no se pueden pasar por WhatsApp, Telegram, Signal ni usando otra aplicación de mensajería. Si lo hacéis, no funcionará. La 'app' tiene un sistema de geolocalización para evitar que se pasen los códigos digitalmente y que circulen de forma descontrolada. Está pensada solo para aquellos que os queráis involucrar en actividades de preparación de acciones", se lee en varios textos a los que ha tenido acceso Teknautas.

Está por ver si Tsunami Democràtic cambiará de estrategia y eliminará la necesidad de estar físicamente juntos para escanear el código QR a alguien de confianza. Lo podrían hacer, pero eso supondría perder al instante el control de la 'app'. En su lugar, asegurar en abierto que el objetivo es llegar a la masa pero, a la vez, capar y restringir el sistema a unos pocos miles de fieles guerrilleros es la maniobra más lógica para alimentar el secretismo y la épica. "Aquestes merdes van buscadísimas".

Tecnología

El redactor recomienda

Escribe un comentario... Respondiendo al comentario #1
33 comentarios
Por FechaMejor Valorados
Mostrar más comentarios