Selecciona Edición
Conéctate
Selecciona Edición
Tamaño letra

La misteriosa ‘app’ de Tsunami Democràtic esconde otras aplicaciones en su interior

La herramienta para recaudar fondos deja al descubierto un agujero en la seguridad de la plataforma

Tsunami Democratic
Corte de la AP-7 a la altura de Salt este martes, convocado por Tsunami Democràtic.

El servicio de tráfico catalán alertó a las 8:57 de la mañana de este lunes de que la autopista en La Jonquera estaba cortada. No era la primera ocasión, pero esta vez la convocatoria estaba mejor preparada: a las 9:12 ya había un escenario construido en el centro de la calzada.

Antes de esa hora no hay apenas rastro en Twitter de menciones a La Jonquera. Solo hay algunas referencias que proceden del Telegram de Anonymous Catalonia, que lanza mensajes de dónde hay unidades de las fuerzas de seguridad. En algunos aparece La Jonquera.

La primera persona que cita La Jonquera lo hace a las 8:45: "La Jonquera cortada en sentido sur", escribe. Dos minutos antes había escrito: "Ya estamos en el lugar", con el emoji de la ola del Tsunami. A las 8:48, un periodista lanzó: "Ahora mismo hay más policía en La Jonquera que en Guantánamo #buenosdias".

Son los únicos mensajes previos al anuncio del corte y a la convocatoria oficial por Telegram y Twitter de Tsunami Democràtic. Hubo una coordinación previa y seria, al margen de las redes. Por la presencia policial a ambos lados de la frontera, también parece obvio que algo sabían.

Tsunami Democratic

Quedan varias preguntas. ¿Fue la misteriosa app de Tsunami la que permitió esta coordinación? Parece poco probable, por varios motivos. Uno, la aplicación serviría para convocar a una acción. ¿Nadie tuvo la tentación de soltar, en Twitter por ejemplo, dónde era la convocatoria? ¿Ningún código QR para activar la herramienta cayó en manos de quien no debiera?

¿Puede cortarse una autopista y montarse una acción así con un escenario, litros de bebida, kilos de comida y baños portátiles a través de una app? En el corte que Tsunami hizo este martes por la tarde en la autopista en Girona, cuando la organización alertó por Telegram, decía que "diversos coches ya han bloqueado los dos sentidos de la marcha". La avanzadilla parecía haber hecho su trabajo.

"Hay una élite intermedia desplegada sobre el territorio, que es la encargada de organizar las acciones a nivel logístico", dice Enric Luján, profesor de Ciencia Política de la Universidad de Barcelona y miembro del grupo Críptica. "Esta manera de operar recuerda a las urnas de 2017 en dos sentidos: uno, se delega en apoyos intermedios de la población local; dos, no todos parecen conocer el plan en su totalidad."

En la operación urnas, los implicados no sabían quién más participaba ni conocían todos los detalles. Es seguridad operacional básica. En 2017 las conversaciones eran cara a cara y el móvil se dejaba en casa o se apagaba cuando se trasladaban las urnas, según cuentan Xavier Tedó y Laia Vicens en el libro Operació Urnes.

¿Una 'app' o varias aplicaciones?

Ahora, con el Tsunami, las acciones se suceden más rápido y la coordinación no puede prepararse tan bien. Ahí es donde puede entrar en juego la app o, mejor dicho, las apps. Al menos cuatro expertos consultados por este periódico creen que es obvio que la arquitectura de la app facilita la creación de servicios sobre Retroshare.

Retroshare es una red social segura de código abierta creada en 2006. Soporta chats, foros, intercambiadores de archivos y puede haber distintos niveles de acceso: la seguridad se logra "al conectar solo con amigos a los que has aprobado explícitamente", dice el mismo proyecto en su página. "RetroShare es una red privada mientras te conectes con gente que conozcas. Tu seguridad depende básicamente de la confianza de la gente con la que te conectas. Conéctate con gente de fiar, estarás seguro. Permite conectarse a quien sea: quién sabe qué pasará", añade.

Los administradores de la app saben la localización de sus unidades y pueden conectar el micro o hacer fotos

Los códigos QR que se intercambian en persona ofrecen un grado de confianza, pero no plena. Es impensable que los cabecillas o los mandos intermedios del grupo estén en esa aplicación. ¿Para qué sirve entonces? Puede tener varios usos. Hay algunos obvios: la gente de abajo puede alertar de presencia de policía, de necesidades como un médico o remitir otro tipo de mensajes. Pero no sabe quién los recibe ni cómo se gestionan. Su papel es el de soldados.

Los administradores de la herramienta conocen la localización de sus unidades y pueden conectar el micro o hacer fotos. Les permite observar qué ocurre desde el puesto de mando. También permite dar instrucciones algo más precisas o puntuales que con Telegram o Twitter. Sería una herramienta intermedia entre la app para dirigentes y las redes multitudinarias. El canal de Telegram de Tsunami es el número 70 con más seguidores del mundo.

Pero el misterio de verdad está por encima. "Si tienes a 50 mandos distribuidos por el mundo y necesitas comunicación frecuente y sostenida entonces quizá es útil. Si no, pasa de la tecnología", dice un experto en ciberseguridad que pide permanecer en el anonimato por su trabajo. Para coordinar el resto de logística, puede haber otras herramientas. Una vez se usa un móvil, el factor humano conlleva errores imprevistos.

"La infraestructura de Internet está hecha con la idea de rastrear siempre. La red de telefonía móvil, también. Cosas como RetroShare, Tor o Matrix intentan evitarlo", dice la ingeniera de sistemas de la red Tor, Silvia Puglisi. "La idea es tener un nivel de descentralización encima de lo que es la red. Hasta ahora se usaban muy poco, pero se están haciendo más accesibles". El mérito de la app de Tsunami es haber creado una interfaz sencilla para algo sofisticado como RetroShare, destinado a iniciados. La ventaja del movimiento es tener usuarios especialmente motivados. De otro modo, nadie abandonaría una red de mensajería tradicional, que ofrece garantías, pero que puede ceder a las presiones gubernamentales.

El problema del dinero

Este refinamiento en la arquitectura del sistema hace sorprendente la aparente falta de cuidado para los donativos. Este martes por la tarde, Tsunami anunció que habían gastado 135.000 euros y necesitaban más. Abrieron un "fondo". Aquí se advertían notas de improvisación más difíciles de encontrar en la app.

En la versión original del texto para pedir dinero, Tsunami decía: "El sistema que hemos implementado es totalmente seguro. Tu pago es indetectable". Pero en unas horas, el texto cambió: "El sistema que se ha implementado es seguro. Se utilizan los sistemas de seguridad más avanzados".

Stripe no ofrece ninguna seguridad específica ante una orden judicial

La improvisación es fácil de intuir por sí misma: "¿Por qué no crearon la caja de donativos después de la acción en el aeropuerto, cuando eran más fuertes? ¿No lo tenían previsto? Por el modo en que lo hacen ahora parece que esté preparado con menos previsión y se necesite repentinamente una cantidad de dinero imprevista", dice Luján.

Pero esa improvisación deja abierto un boquete de seguridad. La plataforma de pago que usa Tsunami es Stripe, una tecnología que permite cobrar por Internet. Pero que no ofrece ninguna seguridad específica ante, por ejemplo, una orden judicial. "Lo lógico habría sido montar un portal de criptomoneda y pasar instrucciones sobre cómo adquirir bitcoin de forma anónima. Pero con Stripe, las autoridades tienen todas las facilidades del mundo para solicitar información de las operaciones, justificándolo como posible malversación o blanqueo", dice Sergio López, informático especializado en virtualización y sistemas. Stripe no ha respondido a varios emails de este periódico.

Bitcoin, por ser poco común, habría ralentizado los pagos o reducido los ingresos. No parece que Tsunami lo tuviera planeado. Una vez han comenzado las acciones, hay multas o es preciso pagar infraestructuras y servicios con costes mayores de los previstos. No todo puede prepararse a conciencia.

¿Tienes más información sobre este caso u otros similares? Escríbenos a jordipc@elpais.es

Se adhiere a los criterios de The Trust Project Más información >

Más información