Hoy hablaremos de un claro ejemplo de como las nuevas tecnologías y el diseño de internet y las aplicaciones mobile han cambiado las reglas de juego mediante las cuales la gente puede comunicarse entre si y coordinarse cuando las redes de datos convencionales no son lo suficientemente estables o lo suficientemente seguras.

Para entender este concepto , y el por qué es tan dificil controlar por parte de nadie este tipo de movimientos que se apoyan en las nuevas tecnologías hay que remontarse al diseño de Internet - en concreto, su primera versión alfa, ARPANET - en la decada de los años  70 y que fué la espina dorsal de Internet hasta 1990 cuando comenzó el protocolo TCP IP sobre el cual funciona el internet moderno de hoy en día.

ARPANET fué una red de computadoras creada por encargo del departamento de defensa de los Estados Unidos.  Es importante destacar que esta red se creó bajo el pretexto de poder sobrevivir a un ataque masivo con armas nucleares.

Y así de golpe y plumazo tenemos la primera característica de internet. Internet - al menos su tecnología base, su esqueleto - sería capaz de sobrevivir a un bombardeo nuclear.  Es esta flexibilidad lo que crea de internet un espacio - llamemoslo jungla cibernética - donde al igual que en la naturaleza, sus usuarios pueden evoluconar y adaptarse para funcionar bajo diferentes maneras. Enviarse mensajes de forma completamente diferente e incluso anónima.

La idea de apps que funcionan de forma descentralizada surge ya tiempo atrás para ayudar en la coordinación de ayuda humanitaria en regiones devastadas por terremotos, seismos, maremotos etc. También se ha visto este tipo de tecnología siendo usada en otros movimientos como en las recientes protestas de Hong Kong.

De esta manera, por ejemplo, un usuario podría utilizar esta app para convertirse en un nodo a través del cual enviar y recibir información a otros nodos creando su propia red wifi a la cual otros nodos pudiesen conectarse y transmitir los datos.  El móvil tendría una cobertura bastante limitada - de unas decenas de metros - por lo que la señal podría almacenarse y propagarse a medida que la persona se moviese y contactase con otros nodos que a su vez también se encuentren en movimiento o andando por la calle.

No es la primera vez que se utiliza una app para coordinar los esfuerzos y burlar la seguridad de los estados que proveen internet. Desde Tor hasta la dark web hay cientos de ejemplos en internet donde se puede coordinar de forma anónima la distribución de información... la pregunta que nos hacemos hoy es ... ​¿Cómo lo hace el tsunami democrátic?

En este caso - hasta ayer - Tsunami Democratic tenía una página web que ha sido tumbada por el gobierno. Tampoco se podía descargar la app a través de ninguna de las app stores por motivos que podrían ser evidentes, aunque moralmente discutibles según el lado del conflicto al que se le pregunte. No obstante, y pese a que ha empezado la guerra del gato y el ratón en internet, el cierre de las páginas web técnicamente no sirve de nada, y su app es intocable. pero... ¿Por qué?

Tras el cierre del dominio principal Tsunamidemocratic.cat, la organización se ha movido rápidamente para reidirigir la web a dominios que hasta el momento estaban inactivos. La idea detrás de esta estrategia es la misma que la de una hidra. Cortar una cabeza y saldrán 3 mas. 

Desde un punto de vista técnico, es imposible descubrir que nombres de dominio han sido contratados con el propósito de realizar esto. Cualquier persona puede comprar cualquier dominio que no haya sido previamente comprado. A este dominio se le puede asociar un nuevo servidor web (que puede estar hospedado en cualquier país) y el proceso mediante el cual se debe dar una orden para cerrar una página web con el pretexto de terorrismo es bastante lento. Pese a que  también han tumbado las webs de tsunamidemocratic.github.io, donde se mantenía el código fuente  y las apks de la app, habilitar nuevos dominios es cuestión de minutos y es un juego contra el cual no se puede competir.

Un cierre de una página web de este tipo se produce si la Guardia Civil, tras una petición judicial, exige a los proveedores de internet en España bloquear los DNS de la web para evitar su acceso.

La web está siendo hospedada en servidores de rumanía a través de un proveedor de hosting de Dubái. Es un proveedor que acepta pago anónimo en bitcoin, por lo que de esta manera pueden evitar ser identificados. La app, al estar alojada en github se podrá seguir descargando sin ningún tipo de problema. La autoridad judicial Española solamente puede bloquear el acceso a URLs específicas dentro de España , y a bloquear el acceso a ciertos servidores siempre dentro de España. Lo que no puede hacer (porque no está en su poder) es cerrar un servidor de datos en Rumanía. Por lo cual cualquier persona que utilice una VPN ( Red privada virtual ) puede en teoría descargarse la APK como si estuviese en otro país.

Un recordatorio: Una Red Privada Virtual es una red a la que te puedes conectar como si fuese una red única dispuesta en un único país. (Por ejemplo Holanda). Desde España, un usuario podría conectarse a una red privada virtual en Holanda y desde Holanda conectarse con el servidor de github para descargar la APK ya que la autoridad judicial Española no puede tumbar el acceso a la app fuera de España.

Wikileaks demostró fácticamente que no existe un bloqueo total posible de un sitio web a internet.

Además, Tsunami democrátic tiene su propio canal de telegram a través del cual ha puesto a disposición del púlico instrucciones sobre como acceder a la web y descargar la app.

La APP  a priori lo que hace es, en vez de enviar la petición web del usuario a través del propio proveedor de telefonía local (Telefónica, Ono, Vodafone...) las envía directamente a los servidores que tiene en cloudfare (Estados Unidos). Es además un DNS cifrado, por lo que los proveedores de Internet no pueden ver qué sitio web está pidiéndole al DNS.

La auténtica clave de este sistema está en la app (que por cierto ha sido desarrollada utilizando las últimas tecnologías y Google Flutter).

Evitar que la gente se descargue esta app es también otra tarea igualmente imposible. Puede ocurrir que la Guardia Civil pida judicialmente el cierre de la cuenta de Github, donde se encuentra alojado el archivo apk descargable, pero en caso de conseguirlo, sería cuestión de unas escasas horas contratar otro proveedor de alojamiento y subirlo a otra web para luego difundirlo a través de su canal de Telegram.

Aunque cerrasen la cuenta en Github (sistema de descarga de código abierto en internet), se podría crear otra cuenta al instante y volver a empezar el proceso. Cerrar Github España sería una auténtica locura que rompería la neutralidad de la red y afectaría a cientos de miles de usuarios que nada tienen que ver con la protesta. Lo mismo ocurriría si cerraran su canal de Telegram.

Esta app es ahora mismo uno de los pilares a través de los cuales movilizan a miles de personas y que ha sido pensada y creada por el nucleo más duro de impulsores del movimiento independentista.

 El diseño técnico de la aplicación es muy sofisticado. Tanto a nivel de desarrollo de código (como hemos podido ver en Hamro Dev) como a nivel de diseño de usuario e interfaces de usuario.

Se trata de una  aplicación que ha sido montada sobre la plataforma de software libre "RetroShare" .  Esta plataforma lo que básicamente hace es conectar a gente de móvil a móvil y utilizar los móviles de cada uno como un punto de información y datos. No es necesario disponer de un servidor. Todo se encuentra almacenado en la terminal del usuario. Cada usuario pasa  y comparte la información de la aplicación de punto a punto. 

Para comenzar a usarla, se requiere a alguien  de un entorno de confianza y cercano al movimiento de Tsunami Democràtic que debe de pasarte un código QR

Al escanearlo, tienes acceso al contenido, los próximos pasos de movilizaciones, organización logística o contactar con otras gente del movimiento. De esta forma, sus creadores han logrado darle una vuelta de tuerca al diseño y conseguir mayor anonimato y sobretodo control.

Aparentemente han utilizado los códigos QR como una manera de cifrar quien está detrás. Cada código QR es diferente. Es la clave GPG pública de la persona que lo envía. Esa persona sirve de nodo, a él se conectarán todas las personas que reciban el código - el cual en principio es de 1 solo uso . Es como una red de doble capa en la que al principio tienes un número de personas de confianza que son quienes enviarán los códigos y por debajo de esta capa, la gente se conecta a través de estos códigos QR y crea sus cuentas.

La gran ventaja es que nadie puede tumbar la app. Siempre van a haber nuevos puntos desde donde descargarla. Así como  las cuentas de Twitter o Instagram del movimiento pueden ser intervenidas de un momento a otro, la app vive en los móviles de los usuarios de forma independiente. Descentralización en su estado puro.

Ya en Hong Kong se han utilizado este tipo de aplicaciones P2P para burlar la vigilancia del gobierno Chino sobre la antigua colonia Británica en las últimas protestas.

La primera y más importante ventaja -de cara al movimiento y a sus creadores - es no solo el anonimato de sus usuarios y de quienes cuelgan la información, sino también la dificultad añadida que se le pone a la Guardia Civil para obtener pruebas, pistas e información sobre quienes técnicamente rompen la ley.

Un enorme peligro  puede implicar es que quien utiliza esta app tal vez no sea del todo consciente de la posibilidad de colar "maware" en el móvil a través del código QR. Es uno de los fallos más frecuentes de este tipo de tecnologías que ha sufrido hasta la propia compañia de mensajes Whatsapp.

Al escanear un código supuestamente fiable, sin saberlo puede descargar en el móvil otra app que se utilice para grabar conversaciones, robar fotos y enviar todo al creador. 

La forma con la que supuestamente está contra atacando la Guardia Civil es aprovechando este tipo de vulnerabilidad pasando códigos QR con malware que hacen caer un nodo.

Otra posibilidad es la de robar las credenciales de identidad de alguien que disponga de acceso a suministrar estos datos a la plataforma. Estos datos una vez propagados por la red son dificiles de "resetear" por la inexistencia de un servidor central. Si en algún momento la cuenta de uno de los creadores se viese comprometida, podrían utilizar sus credenciales para pasar a través de la aplicación información falsa que pudiese hacer a sus propios usuarios desconfiar de la misma.

Tsunámi democrátic asegura que el sistema es 100% privado y que no recopila ningún dato. En teoría es así: la propia naturaleza de las apps P2P que evita que exista la necesidad de un servidor central por lo que no envias los datos en si a nadie. No obstante, es también cierto que la plataforma RetroShare, sobre la cual está basada la app, permite a los creadores de la misma acceder a un servidor que si podría estar recopilando datos personales de algunos usuarios. No obstante, y vistas las últimas sentencias contra los responsables del procès esto sería algo que podría jugar en su contra. Recopilar datos cuesta dinero y responsabilidad,  a menos que sea necesario, las empresas prefieren evitar recopilarlos.

Además, la aplicación del Tsunami no tiene el permiso en Android Read_Phone_State.  La app no puede tener acceso a nada de la información del teléfono móvil y por tanto no puede leer información relativa al móvil (número de teléfono, estado de la señal etc). El único dato realmente importante que queda expuesto para esta organización es la dirección IP - a través de la cual si puede obtenerse información del usuario.  Sobre que tipo de informaciones adicionales recopila la app (como por ejemplo la ubicación y para qué utiliza la información solamente lo sabe a ciencia cierta la propia organización de Tsunami Democrátic.