La ‘app’ de Tsunami Democràtic usa la tecnología de los cibercriminales
Los expertos consultados creen que la élite tecnológica que ha diseñado la aplicación podría operar desde países considerados paraísos legales para evitar la extradición
18 octubre, 2019 00:09El procés ha dado un salto peligroso hacia el anonimato y el desbordamiento de las fronteras nacionales con la app de Tsunami Democràtic. Esta aplicación usa la tecnología de los cibercriminales informáticos y escapa del propio control de los líderes visibles del nacionalismo desde el momento en que no pasa los certificados de las tiendas oficiales de Android y Apple para ser instaladas.
Este medio ha consultado con una empresa de software internacional en asuntos de seguridad que ha investigado el dominio de la web y ven que, el mismo 15 de octubre, fue infectada por un “malware de criptominado” con el objetivo de lograr criptomonedas --un sistema de pago que no deja rastro-- que se utiliza para negociar en la “dark web”. “Esto ya no tiene nada que ver con Cataluña. Los cibercriminales se han introducido en el dominio de Tsunami Digital y han incorporado malware de criptominado”, explica el experto de la firma consultada.
Una élite tecnológica desconocida
Otro de los malwares que opera es el de Adware. Sin el permiso del usuario se instala en su móvil u ordenador para poner publicidad o una barra de herramienta extra en su navegador para ir sacando datos del usuario. Pero hay que diferenciar entre la web y la app. Esta última sigue controlando el movimiento independentista con consignas verticales que luego se socializan entre los usuarios.
Todo apunta a que la app ha sido encargada por el núcleo de Carles Puigdemont y las entidades independentistas. La coordinación deTsunami Democràtic con el expresident, la ANC y Òmnium Cultural se vio desde el primer tuit de la nueva iniciativa, que enseguida fue compartido desde las cuentas de Twitter oficiales. Es decir, estaban al corriente de ello desde el primer momento.
Los expertos consultados aseguran que sus ideadores se han puesto en manos de desconocidos para desarrollar "una app al alcance de muy pocos”, explica Enric Luján, profesor de Ciencia Política especializado en tecnología de la Universidad de Barcelona y miembro del grupo Críptica. “La sofisticación tecnológica es increíble y no es comparable a la tecnología de las protestas de Hong Kong, que era mucho más simple. Ésta está pensada en la tecnología hacker”.
Las herramientas obsoletas del Estado-nación
A la misma conclusión llega la empresa de ciberseguridad consultada: “Esto no te lo hacen chavales de 16 años en un garaje. Lleva una preparación de entre seis meses y un año y una inversión económica importante. El nivel de sofisticación es de una empresa a quien has contratado y unos programadores de alto nivel”. Para contar con una segunda opinión, el director técnico en España y Portugal de la empresa israelí de software de seguridad Check Point, Eusebio Nieva, cree que estas apps "no tienen el mismo nivel de control ni ofrecen las mismas garantías que otras al no haber sido validadas por estas tiendas de aplicaciones" y que, en consecuencia, "cualquiera podría estar detrás de su desarrollo", desde "una persona particular a "grupos de hackers".
Por su parte, Luján añade que hay una “decisión política consciente” en el “ofuscamiento” de cómo fluye la información en la app y que “estratégicamente está por encima de las herramientas del Estado-nación para combatirlo”. El politólogo asegura que detrás de esta aplicación podrían haber personas interesadas en “desestabilizar un país” y deja en el aire la pregunta “ética” sobre hasta qué punto “el fin justifica los medios de opacidad” o, incluso, de contratación de mercenarios para esquivar las responsabilidades penales como las del 1-O. El experto de ciberseguridad consultado coincide con Luján y señala las consecuencias inesperadas de una app de este tipo, como es dejar el "control de las masas" a personas sin ninguna simpatía con una causa pero que busquen “beneficios” como tener “poder político” o generar “crispación”.
Instrumentalizar la ola de protestas
Pero, de momento, no hay que ir tan lejos. En el caso de que la división del independentismo se trasladase a nivel de movilización en las calles no habría manera de saber “quién está enviando la convocatoria” ni “qué grado de dominio sobre la ola tendría”, hipotiza Luján.
Y es que alguien podría utilizar las notificaciones de acuerdo con sus intereses partidistas, llamar a movilizar en unos emplazamientos en lugar de otros y responder así a una “agenda política” propia que, quizás, no responde a lo de los partidos políticos independentistas ni a las convocatorias que, hasta ahora, se hacían de forma pública y transparente. Las consecuencias de esta nueva revolución 2.0 podrían abarcar desde un acto de manifestación legítima a acciones constitutivas de delito como es el delito de sedición.
Consecuencias penales
El abogado Jordi Ferrer, miembro de la comisión de Transformación Digital en el Ilustre Colegio de abogados de Barcelona (ICAB) llama a ser prudente: “El anonimato en sí no es ningún delito, solo si hay un hecho delictivo detrás”. También considera que las apps pueden "alojarse" en otras tiendas más allá de la de Google Play o App Store y que esto, en sí, no es "ilícito". Nieva, de Chek Point, matiza que aunque no sea ilícito hay que "desconfiar" ya que al no pasar las "verificaciones" de las principales tiendas puede llevar escondido un "uso malintencionado".
Ferrer cita la Directiva Europea de 2002 que obliga al responsable de un servicio, en este caso una app, a aportar “información transparente” sobre él mismo o la entidad que hay detrás del servicio. En el caso de incumplir estas directrices se podría “incurrir en una infracción” pero en ningún caso un “delito penal”. Una de las claves --agrega-- es la “información y el consentimiento” cuando alguien se decarga una app. Sin embargo, según la versión de usuarios que se han instalado la aplicación en sus terminales móviles, ésta no informa ni pide permiso para acceder a los datos del usuario.
Se trata de un terreno muy nuevo en el que todavía es difícil atisbar los efectos que puede tener la movilización masiva mediante las nuevas tecnologías y hasta qué punto podrían ser constitutivas de delito si se extralimitan del dereho de legítima protesta. Como sucede con el delito de usurpación de identidad, la regulación sigue siendo insuficiente para hacer frente a este delito cuando ocurre en el mundo virtual.
¿Cómo funciona la ‘app’?
Se trata de una app que no dispone de un servidor central que regule todo el flujo de información. “Es similar al programa Emule en el que usuarios comparten archivos. No hay un servidor que tiene el contenido sino que son enlaces de los usuarios que se van pasando”, explican desde la compañía de software en seguridad. Es lo que desde Tsunami han apodado como "gotas" por las cápsulas de información que se pasan los usuarios entre ellos.
Es una red P2P (Peer to peer), de fuente desconocida y descentralizada, que hace que se diluyan las responsabilidad a nivel de los usuarios. La app utiliza un código QR para evitar que las fuerzas y cuerpos de seguridad del Estado puedan investigar, y en el que las comunicaciones son cifradas. El usuario comparte su geolocalización, la élite tecnológica capta esa información que atañe a su ubicación para lanzar movilizaciones cuando sea necesario en el sitio elegido. "Pueden ver la eficacia de acciones como la del Aeropuerto de El Prat, cuánta gente se está movilizando en tiempo real y cuándo tardan en ocuparlo", apostilla el experto informático.
Accede a tus datos
Al no ser una app certificada se desconoce los datos a los que tiene acceso del terminal móvil más allá de la geolocalización. Pero los expertos consultados no dudan de que recoge datos de las “rutinas diarias” de los independentistas así como del “micrófono del móvil”, sus fotos y su historial de navegación.
Muchos catalanes de buena fe que se han instalado la app en sus móviles están expuestos a recibir consignas de unos líderes que, a diferencia del 1-O, no son visibles y que pueden tener intereses que van más allá de la independencia de Cataluña. El procés ha dado un salto internacional, se ha pasado a la revolución 2.0 y los expertos advierten de que podría operar a través países con una legislación laxa por lo que respecta a ciberdelitos y órdenes de extradición.