Tsunami Democràtic es la organización independentista que está liderando las protestas tras la sentencia del procés. Una nueva entidad que pese a su carácter descentralizado, utiliza la tecnología como una potente herramienta para planificar sus movilizaciones. Tsunami dispone de una cuenta de Twitter que en estos momentos supera los 185.000 seguidores, un canal de Telegram con más de 310.000 suscriptores y una aplicación para móvil a la que sólo dan acceso completo a personas de confianza.
Como anunció la propia organización después de las protestas en El Prat, "a partir de ahora las acciones de Tsunami Democràtic irán centralizadas a través de una aplicación para móviles". Una app que, aseguran, servirá para coordinar y visibilidad las acciones hechas en todo el territorio.
¿Cómo funciona la aplicación de Tsunami Democràtic? ¿Por qué han decidido utilizar este método para coordinarse? Intentamos responder a estas preguntas, repasar cuál es la tecnología utilizada por Tsunami y qué riesgos puede conllevar su uso.
Una aplicación exclusiva para Android y no disponible en Google Play
Como describen los propios creadores, estamos ante "una plataforma de coordinación de acciones pacíficas de desobediencia civil". Es decir, una aplicación a través de la cual se pueden organizar movilizaciones. Sin embargo, al contrario que la mayoría de aplicaciones, la app de Tsunami no se encuentra disponible para descargar a través de Google Play, la tienda oficial de Android.
En su lugar, es desde la página web oficial de la plataforma, 'app.tsunamidemocratic.cat', donde han puesto a disposición de los usuarios la descarga directa del APK, en dos versiones diferentes. La primera versión es la recomendada para la mayoría de dispositivos Android, mientras que la segunda versión está pensada para móviles más modernos, con arquitectura ARM64.
Tampoco se encuentra disponible la aplicación de Tsunami en iOS. Sin embargo, desde el FAQ de la aplicación explican que "puede que haya una versión para iOS en un futuro" y que "pronto estará disponible para Google Play".
Una promesa por el momento difícil de creer pues como explica Enric Luján, coautor del libro "Resistencia Digital" y experto de la Universidad de Barcelona en privacidad y tecnología digital: "Hace dos semanas, con las manifestaciones de Hong Kong, tanto Google como Apple retiraron la aplicación que usaban los manifestantes. Que la aplicación esté subida a una tienda hace que el proveedor tenga la capacidad de decidir cuándo corta el acceso. La solución pues pasa por subir el .APK a su web y que se descargue libremente. Entrando en el terreno de la especulación; aquí no han sido transparentes, no han subido el código todavía y no ofrecen una explicación de qué hacen con los datos de los usuarios. Unos que precisamente se encuentran entre los más sensibles al estar encuadrados, por el perfil de la app, en temas ideológicos".
La aplicación sí cuenta con un repositorio de Github donde también se puede descargar la aplicación. El creador es un usuario llamado "s3rrallonga", en referencia al bandolero Joan Sala i Ferrer. Desde el repositorio no se puede acceder por el momento al código abierto de la aplicación, aunque sí hay un mensaje de hace dos días donde el creador explica que su intención sí es liberar la app bajo licencia copyleft para intentar que sea "utilizada a nivel global por cualquier grupo de personas que quiera auto organizarse sin sufrir censura".
Según los propios datos de Tsunami Democràtic, la aplicación cuenta con más de 15.000 activaciones. No es un indicativo del número de descargas, todavía desconocido, sino una referencia del número de usuarios que tendría acceso real a la aplicación. Esto es debido a que Tsunami requiere de un código QR para activarse. En caso de no disponer de uno de estos códigos, la aplicación no deja realizar ninguna acción.
Una plataforma basada en Retroshare y códigos QR de hasta 10 usos
Al instalar la aplicación de Tsunami nos aparece una descripción de la misma. "Un espacio donde puedes compartir tu compromiso en forma de tiempo y recursos. El Tsunami está hecho de gotas". La pantalla principal consiste en tres apartados: leer un código QR, solicitar un código QR y encontrar más información.
Si pulsamos en la primera opción, la aplicación nos pedirá permiso para acceder a la cámara del móvil y poder hacer fotos y grabar vídeos. Se trata de un permiso habitual y necesario para poder leer el código QR. Sin embargo, deberemos disponer de un código QR funcional para que se active. De lo contrario, la app no hace nada.
Al pulsar en la opción de "no tengo un QR" nos lleva a un apartado donde se nos explica que para conseguir uno deberemos solicitarlo a alguien de "nuestro círculo". Es decir, se trata de un mecanismo para intentar que únicamente las personas implicadas en las movilizaciones puedan acceder a estos códigos. Para dificultad todavía más el acceso, estos códigos únicamente sirven un total de 10 veces.
Estamos ante una aplicación técnicamente elaborada. No se trata de una app que pueda realizarse de la noche a la mañana, sino que requiere de un alto grado de especialización y conocimiento para poder construir la infraestructura. "Es un nivel de sofisticación en la manera de operar que solo lo he visto una vez, durante el 1 de Octubre", explica Luján.
La opinión de algunos expertos consultados que prefieren mantenerse en el anonimato es que esta aplicación "no se hace en un rato, requiere de al menos varias semanas por un grupo de personas con conocimientos técnicos".
En primer lugar, parece que la app requiere de ser "activada". Pero no por un actor central, sino por "una persona de tu entorno próximo". ¿Es quizá un mecanismo de validación para evitar infiltraciones y operaciones de "falsa bandera". No soy de conspiranoias, pero "makes sense"
— Jaime Gómez Obregón (@JaimeObregon) October 14, 2019
Explorando el APK se aprecia que la aplicación está desarrollada en Flutter y construida sobre la plataforma Retroshare, con conexiones entre pares en malla (peer-to-peer mesh). Se trata de una plataforma de software libre que permite establecer conexiones encriptadas totalmente descentralizadas. Retroshare permite comunicaciones anónimas mediante Tor o I2P, aunque se desconoce qué sistema, si es que lo hay, se ha utilizado en esta ocasión.
Según explica José Luis Blanco, profesor asociado en la Universidad de Almería, "la propia arquitectura de la red está diseñada ex profeso para ocultar quién o quienes la iniciaron o pertenecen a ella".
La fortaleza de esta plataforma es que convierte el móvil en un nodo de una red formada por personas de nuestra confianza. Sobre el papel es una red segura basada en GNU Privacy Guard, aunque esta seguridad se basa en las claves intercambiadas por los usuarios. En este caso, los códigos QR.
Cómo se utiliza la aplicación y qué se necesita para activar el código QR
Para evitar posibles infiltrados, la transmisión del código QR tiene varias limitaciones. Según explica El Confidencial, Tsunami utiliza un código Java modificado y cifrado que analiza la ubicación de la persona que está escaneando el código y la compara con la persona que la ha enviado. Si la diferencia es grande, entonces se impide el acceso. Esto provoca que este código QR no se pueda enviar por WhatsApp o por correo, ya que las personas deben estar una cerca de la otra para transmitir el código.
Buscando ampliar la seguridad de la red ante infiltrados, según explica El País, la aplicación puede detectar patrones extraños y eliminar la conexión. Adicionalmente, la persona únicamente puede ver lo que ocurre en su nodo y zona geográfica. Es decir, un usuario de Barcelona solo vería las convocatorias de su zona.
Medios que han obtenido acceso y conseguido un QR funcional muestran que la aplicación permite seleccionar "los recursos disponibles" e insta a que "cuando abandonen la acción también lo notifiquen". En las imágenes se puede ver cómo se hace referencia a si se dispone de "una moto, furgoneta, bicicleta, tractor, patinete, coche o camión". La aplicación también sirve para indicar la disponibilidad de acción, desde los días hasta la horas.
La app de Tsunami informa de qué acciones están ocurriendo y cuáles están planificadas. Según describe El Mundo, la aplicación cuenta con un mecanismo que permite avisar a la organización de la presencia policial bajo el código "hay piolines".
Entre los mensajes que aparecen en el código de la aplicación se encuentran los siguientes:
- "Tu zona geográfica no tiene ninguna acción en curso"
- "¿Confirmas que has llegado al lugar de la acción?"
- "¿Confirmas que han llegado los piolines al lugar de la acción?"
- "Si durante la acción hay alguna incidencia relevante, contacta con el coordinador para notificarla"
Qué permisos y datos utiliza la aplicación de Tsunami
Inicialmente la aplicación únicamente solicita el permiso de cámara para funcionar, pero Tsunami requiere también del permiso de almacenamiento, micrófono y ubicación. El hecho de no disponer del código abierto por ejemplo impide conocer en detalle para qué se utiliza el permiso de micrófono. Sobre el permiso de ubicación, como hemos descrito, se aprovecharía para comparar la ubicación del usuario con la de otro usuario y admitir así el código QR.
Sin tener acceso al código, tampoco es posible conocer si la información y los datos de la aplicación se guardan en el dispositivo o se envían a un servidor externo. En caso de ser así, se introduciría un factor centralizador que no encaja con la filosofía de los nodos basados en Retroshare. Según Enric Luján: "No sabemos absolutamente nada, pero es jerárquica desde el momento en que las movilizaciones se convocan desde el Tsunami. Si lo piensas, es justo lo contrario a los CDR. El Tsunami es anónimo, no abierto y está por todo el territorio, está en las antípodas de los CDR".
"Lo que están es preparándose para algo mayor. Que yo sepa, el nodo central todavía no ha empezado a dar órdenes. Ellos mismos dicen que el lunes empieza todo. No montas una aplicación así para dejar de utilizarla en una semana", explica Luján. "Lo más eficiente para hacer movilizaciones es saber con cuánto capital humano cuentas y eso hace pensar que los datos de ubicación podrían recogerse."
El DNS de la aplicación Tsunami está registrado en julio de 2019 en CloudFlare.com, pero la aplicación no especifica qué se realiza con los datos de los usuarios. Para Sergio Carrasco, jurista especializado en privacidad y seguridad: "El RGPD se basa en una serie de derechos, siendo básico el de información al titular de los datos. Debe informarse adecuadamente de los datos que se van a tratar, y su finalidad. No basta simplemente con asumir que con la instalación se acepta cualquier uso que la aplicación haga de los datos de los usuarios". Una información que por ejemplo no se aplica respecto al uso de la ubicación. "No tiene por qué ser maliciosa, pero es importante informar adecuadamente. ¿Conocen todos qué sub-ubicación se comparte? ¿Se conoce realmente el fin?", reflexiona.
Y es que descargar la aplicación desde una fuente externa e instalar directamente el APK también abre la puerta a que se distribuyan versiones modificadas. Habrá que estar atentos a cómo evoluciona el uso de esta aplicación, una que según Tsunami Democràtic "será muy útil" para los próximas movilizaciones.
Ver todos los comentarios en https://www.xataka.com
VER 83 Comentarios