Analizamos la aplicación del Tsunami Democrático

Advertencia: la información expuesta a continuación es el resultado de la observación y análisis de la aplicación distribuida por Tsunami Democrático. Se publica con intención pedagógica y para permitir que la ciudadanía pueda sacar sus propias conclusiones. Pirates no tiene ningún vínculo con el Tsunami Democrático.

El nuevo ciclo iniciado con la sentencia del «Procés» se ha visto marcado por el uso de las redes sociales y la mensajería instantánea. Si el 15M fue el fruto de grupos de Facebook, el Tsunami se ha iniciado en Telegram con réplicas a Twitter. Pero después de la acción de bloqueo del aeropuerto del Prat, la entidad nos sorprendió con una nueva herramienta: una aplicación, solo para Android, para la coordinación de acciones pacíficas de desobediencia civil.

Desde Pirates de Catalunya queremos explicar lo que hemos podido recoger y observar colectivamente sobre su funcionamiento. Consideramos que esta herramienta tendrá en sus manos la seguridad de miles de catalanes y catalanas, así que tiene que ser sometida al escrutinio más riguroso posible.

Antes de entrar en el análisis, queremos hacer énfasis en que la ausencia del código de fuente original ha dificultado esta tarea y que, en circunstancias normales, sería razón suficiente para rechazar su uso por no poder conocer exactamente qué puede hacer. Sin embargo, el núcleo de la aplicación, la comunicación de mensajes, sí que es libre. En este aspecto, a pesar de estar lejos de nuestro ideal, es mejor que Telegram, que solo el cliente es libre, o las redes sociales como Twitter, que son completamente privativas y sujetas al criterio arbitrario de una empresa que su negocio es la explotación de los datos personales que obtiene para publicidad y otras finalidades.

Retroshare: piedra angular

No nos alargaremos en los aspectos técnicos de la aplicación en cuanto a la interfaz de usuario y la interacción con el hardware de los dispositivos (cámara, micrófono, GPS, etc). Solo recoger que es una aplicación desarrollada en Flutter y con partes en diferentes lenguajes. Pero sí explicaremos algo más, la pieza principal, que ya se ha explicado en redes y en algunos medios: Retroshare.

Retroshare es un proyecto libre que permite crear redes cifradas entre amigos para comunicarse, compartir ficheros, videoconferencias, etc. sin ningún servidor central. Se basa en el principio de red de confianza, con el intercambio (preferiblemente presencial) de claves asimétricas.

Para hacer más comprensible la anterior frase, os exponemos un ejemplo. Si dos personas comparten la llave de una caja, una persona puede cerrar la caja y la otra puede abrirla; esto sería una clave simétrica porque ambas partes tienen la clave. Pero en el caso de una asimétrica, la caja tiene una cerradura especial: acepta dos llaves, una que llamamos pública y otra privada, y cada persona tiene una de cada. Esto permite que solo se pueda abrir la caja con la combinación correcta de llaves: la pública de una persona y la privada de la otra. En el caso de la mensajería, la persona A puede usar la clave pública de la persona B para cifrar un texto, que la persona B podrá descifrar con su clave privada.

Retroshare está diseñado para no tener ningún servidor central. Igual que IPFS, la aplicación con la que se replicó, sin posibilidad de censura, la web del referéndum del 1 de octubre, la información no está centralizada. La red entre amigos de Retroshare permite difundir mensajes entre ellos de forma automática para que lleguen a todos. El modelo de red no se aleja del de redes como BitTorrent o diferentes blockchains como Bitcoin, con la diferencia que aquí los nodos de la red son personas de confianza, cada cual con su identidad criptográfica, y las claves no están asociadas a sus datos personales.

Y, ¿cómo se establece esta confianza? Este es el papel de los códigos QR y por eso es importante no compartirlos libremente, puesto que la red de confianza pierde sentido si no se respeta. Los códigos QR son un medio para intercambiar las claves, puesto que suelen ser cadenas de texto largas y complicadas de escribir manualmente. Probablemente os preguntáis si las claves tienen más usos. Efectivamente, estas sirven para cifrar los mensajes y también para firmarlos. Como os decíamos antes, con la clave pública de otro se cifran mensajes que solo podrá leer quien tenga la clave privada correspondiente. Y con la privada se puede firmar los mensajes, para validar que son enviados por una clave pública conocida. La tecnología de cifrado implementada, GPG, es conocida y probada.

Así pues, tenemos una aplicación que convierte el dispositivo móvil en un nodo de una red formada por personas de nuestra confianza, conectada mediante estas con otras redes de personas hasta formar una gran red donde los mensajes pueden ser enviados desde un punto de esta y ser replicados a todo el mundo que participa. Sobre el papel es una red segura, pero el factor humano siempre es el eslabón más débil de cualquier sistema seguro. Por eso hay que tener mucha cuidado con quien se comparten las claves. Ninguna tecnología es absolutamente segura, sino razonablemente segura y esto depende mucho de su diseño y de sus usuarios.

¿Qué puede pasar si instalo la aplicación?

Queremos advertir que a partir de este punto hay cierta especulación. Dada la ausencia del código fuente no podemos validar si ciertas características de Retroshare están activas. Rogamos que se entienda que lo que viene a continuación es un llamamiento a la prudencia, no una recomendación negativa de la aplicación.

Retroshare usa una DHT (Distributed Hash Table) para indicar en qué dirección IP se encuentra cada amigo. Esta información es pública y, por lo tanto, relaciona nuestra clave con una dirección IP. Una fuente anónima ha confirmado que la aplicación usa la integración con la red Tor, que permiten ocultar la IP del dispositivo. En cualquier caso, recomendamos hacer uso de una VPN, como Mullvad, en el dispositivo para ocultar la dirección IP.

Si no se hubiera usado Tor por la conectividad, las IPs de nuestros dispositivos quedarían expuestas al DHT, aunque no relacionadas con nuestra identidad. En este caso, ¿qué relevancia tiene la asociación de una identidad criptográfica con una dirección IP? Un adversario estatal o superior con acceso a las comunicaciones a bajo nivel, asumiendo la colaboración de los proveedores de Internet, podría relacionar un par de claves con una persona, cruzando las horas en que se producen emisiones del Tsunami, las IPs que intervienen, etc. Ahora bien, es un ataque que requiere una cantidad importante de recursos, así como una intervención completa de la infraestructura local de Internet para poder hacer análisis de tráfico. A menor escala, pueden hacerlo concentrándose en usuarios “sospechosos”, tal como sería la intervención de una línea telefónica. A estos datos, que no son el contenido de los mensajes, se les llama metadatos y diferentes sistemas de vigilancia las usan.

Más allá de la conectividad, que afortunadamente se hace intermediando Tor, y dada la naturaleza abierta y libro de Retroshare, entendemos que los mensajes viajan cifrados de punta a punta pero desconocemos qué uso se le dan a los datos que se puedan introducir en la aplicación.

Por otro lado, el hecho de no poder acceder al código fuente nos impide confirmar qué uso se hace del micrófono, el único permiso que no llegamos a saber qué utilidad puede tener. Podemos especular con un posible acceso a las comunicaciones por Voz IP, tal y como permite Retroshare. También nos es imposible saber como se tratan los datos introducidos en el aplicativo, si se almacenan fuera del dispositivo – hecho que introduciría un factor de centralización nada deseable – o si se usan para filtrar notificaciones en función de los parámetros como la ubicación actual y la proporcionada por el usuario. Por cosas como esta, defendemos el software y el hardware libres, para poder conocer y verificar el funcionamiento de la tecnología.

Pero el verdadero riesgo no está en la herramienta en sí, sino en su distribución. La distribución del fichero APK, formato binario instalable, descargándolo de su web abre la puerta a webs falsas que distribuyen versiones maliciosas modificadas. Nuestro consejo es nunca instalar nada que nos hagan llegar, sino ir a la fuente original y asegurarse de que la dirección a la que se accede corresponde a app.tsunamidemocratic.cat, u otro subdominio suyo.

Conclusión

La aplicación del Tsunami Democrático hace uso de un cimiento técnicamente sólido para mejorar la seguridad de las herramientas que se están usando actualmente de forma masiva para las movilizaciones (como Telegram y Twitter) pero no es ninguna panacea. Esto mismo pasa con otras muchas tecnologías, puesto que la tecnología perfectamente segura no existe, solo existen herramientas razonablemente seguras, de las que Retroshare parece ser una. No tener acceso al código fuente de la aplicación añade una incertidumbre adicional, así que restaen la conciencia de cada cual decidir si asume los riesgos inherentes de su uso, como en otras muchas decisiones que se toman día tras día, a menudo sin conciencia de los riesgos que esto trae en nuestra privacidad y seguridad, como instalar la última aplicación de moda que te modifica la cara. Pero esto lo dejamos para otro día.

Pirates de Catalunya

Deixa'ns un comentari

  • (no el publicarem)