Cómo se hicieron los ciberataques contra el referéndum

09/10/2017
Publicat a: Nació Digital

vie 06 oct 2017 12:49:45 CEST

1 de octubre a las 5:12 de la madrugada. Los expertos que se habían ofrecido voluntarios al Gobierno para montar una nueva estructura informática de gestión del referéndum, después de que la Guardia Civil cerró la que estaba preparada, intentaban descansar un poco. Era el último acto de una lucha nunca vista en la Internet catalana, el enfrentamiento de la ciudadanía favorable al referéndum contra el bloqueo legal y técnico de las redes por parte del gobierno español. Los ciberactivistas que montaban el sistema que haría posible lo que parecía imposible llevaban horas trabajando contra-reloj y en secreto. No se conocían ni los nombres.

Hacía semanas que había escaramuzas en la red. El 13 de septiembre, la Guardia Civil había entrado en el operador CDMon de Malgrat de Mar con una orden del Tribunal Superior de Justicia de Cataluña (TSJC) de cierre de la web oficial del referéndum. La respuesta de la ciudadanía con conocimientos de informática fue crear decenas de réplicas o webs espejo. El gobierno también lo hizo, con la apertura de una nueva web con nuevo dominio: ref1oct.cat.

Hay que decir que la primera web del referéndum era una chapuza técnica: expertos consultados aseguran que era "un wordpress desactualizado, con los plugins desactualizados, que permitía inyección de código y contenido". Esto significa que cualquiera con conocimientos podía meter un virus o información falsa. No sucedió, pero conocemos al menos a un hacker que entró con facilidad.

El 20 de septiembre, la Guardia Civil detuvo al responsable tecnológico de la Fundación puntCAT, obligó a eliminar dominios .cat de webs relacionadas con el referéndum y se llevó material informático de las oficinas. Los principales medios internacionales se hicieron eco, así como las organizaciones de defensa de los derechos digitales, como la Internet Society y la Electronic Frontier Foundation.

Dos días después, el 22 de septiembre, la policía entraba en casa de Dani Morales, un chico de Valencia que había publicado un listado de todas las webs espejo. Le requisaron el móvil, discos duros y le cambiaron las contraseñas de un par de cuentas en Internet. Después se supo que los policías habían sido compasivos porque las órdenes de la jueza del TSJC, Mercedes Armas, que ha llevado todos los casos relacionados con el referéndum en Internet, eran de borrar su identidad de la red. Drets.cat ha calificado la actuación de "desproporcionada".

Tras esta detención, fueron citados a declarar estudiantes, diseñadores web o activistas, la mayoría de entre 21 y 22 años, que habían publicado webs espejo del referéndum sin esconderse. Todos fueron informados de que estaban bajo investigación. Todos se negaron a declarar y están pendientes de qué pasará. En días posteriores serían cerradas otras webs, incluida la de la Asamblea Nacional Catalana (ANC).

Según el Open Observatory of Network Interference (https://ooni.torproject.org/ca/post/internet-censorship-catalonia-independence-referendum/), en total habrían sido bloqueados al menos 25 sitios web relacionados con el referéndum, que una investigación de Nodo50 asciende a 70 (https://www.nodo50.cat/lista.txt)) y la Guardia Civil a 140, aunque no hemos localizado en el archivo de notas de prensa de este cuerpo policial ninguna nota que lo afirme oficialmente.

Según el Open Observatory, el cierre de webs se hizo desde los proveedores de Internet, que "manipularon la configuración de los servidores de nombres de dominio, en el caso de France Telecom España y Euskatel". La técnica utilizada por Telefónica fue bloquear el protocolo HTTP, de forma que en vez de la página inicial de la web se veía una página que informaba de que la Guardia Civil había cerrado esa web.

Bots y trols contra el president

A las actuaciones judiciales las acompañaba una intensa actividad propagandística en las redes sociales. Bots anti-referéndum en Twitter que difundían informaciones falsas e hicieron bombardeos cibernéticos a varias cuentas pro-referéndum. A última hora aparecieron bots pro-referéndum. También había trols con un objetivo clave: responder con comentarios insultantes a los tuits del president Carles Puigdemont.

De forma novedosa en la historia de la infoguerra, la cuenta en Twitter del president se convirtió no sólo en instrumento de propaganda sino también en difusor de información "útil", como las webs alternativas a las cerradas (https://twitter.com/KRLS/status/911482634789953536), o manuales en 140 caracteres para saltarse la censura (https://twitter.com/KRLS/status/909126641145798656).

Otra cuenta clave fue la del activista Julian Assange, quien consiguió apoyo internacional para el referéndum, incluida la implicación de ciberactivistas de leyenda como el co-fundador de The Pirate Bay, Peter Sunde (https://twitter.com/brokep/status/909685207497879554).

Mientras todo esto ocurría, el bloqueo a las comunicaciones postales había hecho imposible enviar notificaciones electorales a la población. Internet fue la forma de saltarse esta limitación: el 21 de septiembre, desde la cuenta del presidente se anunciaba la web "Dónde votar?" (Https://twitter.com/KRLS/status/910888426026749952). Al día siguiente ya había una orden del Tribunal Superior de Justicia de Cataluña para cerrarla.

La respuesta civil fue replicar esta web salvajemente: en la web, en Telegram, en Twitter, en Facebook, Whatsapp ... Incluso en forma de app en Google Play, que el TSJC obligó a Google a eliminar (la orden llegó bastantes días después).

El cierre de la web "incerrable"

A pesar de la prohibición, la web oficial "Dónde votar?" tardó en ser cerrada porque, como decían, era "incerrable"... o casi: estaba alojada en una red distribuída (https://ca.wikipedia.org/wiki/InterPlanetary_File_System) sin un punto central que pudiera ser intervenido. La respuesta de Telefónica llegó el 25 de septiembre: cerró la "puerta" por donde se accedía a los contenidos prohibidos, el subdominio gateway.ipfs.io, que utilizaban también otras webs que no tenían nada que ver, como explica la Fundación Qurium (https://www.qurium.org/alerts/spain/blocking-techniques-catalunya).

La web "Donde votar" fue alabada por estar basada en algunas buenas ideas. Por un lado, por utilizar el sistema distribuido IPFS, que complicó su cierre, y también porque estaba hecha para ser replicada con facilidad en webs espejo. Además, tenía un sistema muy original donde se introducía el DNI, código postal y fecha de nacimiento y devolvía la mesa donde tocaba votar. Ahora bien, varios expertos descubrieron que el sistema de cifrado tenía un error que permitía a un atacante experimentado descubrir las cinco últimas cifras y letra de los DNIs (https://twitter.com/slp1605/status/915690932657442816). Técnicos consultados confirman el error, que justifican por las prisas con que se creó y la exigencia de hacerlo funcionar en un entorno distribuido.

Whatsapp

A estas alturas de la película, la lucha por el referéndum monopolizaba la Internet más masiva y casera: las redes de mensajería. Las actuaciones policiales habían provocado en las personas pro-referéndum mucha desconfianza y miedo a ser espiados por parte del gobierno español, lo que provocó una migración en masa hacia la red de mensajería Telegram, que se publicitaba como más segura. Allí la ANC tenía un canal informativo (https://t.me/AssembleaXarxes) que fue muy útil para combatir la intoxicación informativa que cada día saturaba más las redes sociales.

Pero aunque mucha gente probó Telegram, las conversaciones de grupo continuaron haciéndose en Whatsapp, con avalanchas de mensajes de artículos de periódicos, cartas a la Unión Europea, fotos, videos, encuestas, peticiones de firmas, avisos de concentraciones y movilizaciones, consejos sobre cómo acceder a las webs cerradas, listados de las webs abiertas, avisos de webs falsas, cosas ciertas, medias verdades, mentiras totales tras un "fuentes fiables dicen ...". Y el gran debate de aquellos días: ¿habría o no habría que llevar la papeleta de casa?

A medida que se llegaba al 1 de octubre se instauraba más sensación de peligro y alerta. Por Whatsapp corrió masivamente el anuncio de que el día del referéndum el gobierno español cortaría Internet. La respuesta de la población fue la descarga masiva del programa de chat FireChat (https://www.opengarden.com/firechat.html), que permite comunicarse sin necesidad de Internet. El 30 de septiembre, los chats de FireChat eran una fiesta mayor de gente que creaba zonas de chat para su pueblo, ciudad o distrito, por si acaso.

Pero nadie, dentro de aquella gente obsesivamente pendiente del móvil y motivada al máximo, pensó en lo más obvio: que el cierre de Internet no fuera general, sino sólo en los lugares claves para la votación. La tarde del domingo 30 de septiembre y por orden del TSJC, la Guardia Civil entró en el Centro de Telecomunicaciones de Cataluña (CTTI) y desmanteló el sistema informático preparado por el referéndum, incluida la base de datos de catalanes en el exterior.

La hora de los ciberactivistas profesionales

Mientras esto ocurría, un discreto grupo de expertos informáticos no relacionados con el gobierno, pero con su apoyo, se había puesto en marcha para montar un sistema informático alternativo al clausurado. La decisión del gobierno de activar el censo universal de votantes lo complicaba más porque obligaba a tener una base de datos centralizada, donde las mesas debían introducir los DNIs de las personas que votaban. De esta forma se evitaba que nadie votase dos veces. Aquel lugar centralizado fue la web Registremeses.com, alojada en Amazon y protegida por el escudo anti-bombardeos Cloudflare.

A las ocho de la mañana del 1 de octubre, cuando el portavoz del gobierno Jordi Turull abría oficialmente el referéndum, la mayoría de colegios electorales estaban sin Internet: la Red Telemática Educativa de Cataluña, que da conectividad a las escuelas y gestiona Telefónica, había dejado de funcionar.

Para acabarlo de complicar, media hora después de la apertura de los colegios electorales, los operadores españoles ya bloqueaban el dominio Registremeses.com. Esto quería decir que sólo se podía acceder a la web del censo tecleando no su dominio, sino su dirección IP, una serie de números tales como 52.50.25.234. Esta dirección IP de la web del censo fue mantenida en el máximo secreto.

¿Pero cómo se mantiene en secreto una dirección a la que deben conectarse todas las mesas electorales para introducir datos? La solución fue crear un ejército de "proxies" repartido por todo el mundo. Un "proxy" es un dispositivo que hace de intermediario. En este caso, hacía de intermediario entre la web del censo y las mesas electorales. Cuando una mesa quería entrar en la web, lo hacía con una app móvil donde ponía la dirección IP del proxy y el proxy la redirigía en la web.

Los primeros proxies se alojaron en Amazon, donde también estaba la web del censo. El mismo día 1 de octubre la juez envió un requerimiento a Amazon para que bloqueara las IP tanto de la web como de los proxies, de forma que no se pudiera entrar "desde España" (https: //www.elgrupoinformatico.com/amazon-recibio-una-petición-para-bloquear-los-servidoras-del-referendum-t38919.html). Se desconoce si la orden judicial llegó a tiempo a Amazon.

Pero para conectarse a los proxies las mesas necesitaban Internet y la mayoría no tenían. Esto se resolvió utilizando teléfonos, tablets y ordenadores cedidos por los vecinos, que en algunos colegios cedieron también Internet. Fuentes consultadas aseguran que el 4G fallaba en algunas zonas y se pedía a las personas que esperaban en la cola que pusieran el teléfono en modo "Avión", para no robar a las mesas la poca cobertura que había. Muchos informáticos prestaron anónimamente su ayuda, como demuestra este hilo de Twitter (https://twitter.com/QuimTorraiPla/status/914973921656627201)

El "encargo" de Forocoches A los problemas que tenían las mesas para acceder a Internet se añadían grandes dificultades para acceder a los proxies, que en un primer momento se creía que estaban congestionados porque todas las mesas se querían conectar a la vez. Pronto, sin embargo, se supo que alguien estaba ciber-bombardeando los proxies, en una acción coordinada desde el foro Forocoches y documentada por la Fundación Qurium (http://google.qurium.org/qurium.org/wp-content/ref1oct /forocoches/index.php?gallery=pics).

En el operativo nocturno de defensa del 1-O se había establecido un teléfono de ayuda a las mesas electorales, alojado en un operador virtual que la Guardia Civil no cerró. Cuando los proxies se congestionaban, las mesas llamaban a este número y les daban direcciones IP de nuevos proxies acabados de montar. Alguien publicaba estas direcciones IP en Forocoches, en un espacio donde se justificaba porque "alguien nos ha pedido ayuda", y las IPs eran bombardeadas en un juego del gato y el ratón.

El informe de la Fundación Qurium (https://www.qurium.org/alerts/spain/blocking-techniques-catalunya/#forensic) confirma que "los ataques fueron coordinados desde el foro" ForoCoches ", donde se publicaban las direcciones IP alternativas ". Pero, según Qurium, el ataque no venía de Forocoches, sino que "utilizaban una infraestructura de Denegación de Servicio". Esto significa que Forocoches era la pizarra donde se apuntaban los objetivos y alguien los atacaba desde servicios de pago del mercado negro o bien utilizaba herramientas propias de bombardeo.

La gran incógnita es cómo se enteraba ForoCoches de las direcciones de los proxies. Según la investigación de la Fundación Qurium, algunas se publicaron en las redes sociales de forma inocente. Otras "fueron tan rápidamente bloqueadas que nos hace pensar que los operadores monitorizaron las conexiones que venían de los colegios electorales, para identificar y sabotear la infraestructura IT de la votación". Según el catedrático de la Universitat Politècnica de Catalunya, Manel Medina (http://beteve.cat/clip/noticia-oberta-les-xarxes-socials/), posiblemente "las operadoras detectaban el tráfico procedente de las apps de las mesas electorales".

También existe la posibilidad de que hubiera infiltrados en varios niveles. Una historia publicada por el medio "El Confidencial" demuestra que era posible engañar al "call center" y registrarse como mesa electoral del referéndum sin serlo. Esto daba acceso a las direcciones IP de los proxies e, incluso, a enviar DNIs a la web del censo, siempre que no hubieran sido utilizados en la votación.

La respuesta de Anonymous

A última hora del día la web de Forocoches fue bombardeada por el movimiento Anonymous (https://twitter.com/AnonymousBCN/status/914496910806978560), que llevó a cabo otras acciones de protesta por la represión policial: AnonPlus hizo caer la web de la Comunidad de Madrid y difundió las bases de datos (https://twitter.com/AnonPlus_Info/status/914591299092779008). Annoymous España publicó varias bases de datos de servidores de la policía (https://twitter.com/ANONSPAIN2/status/914934103555919875). La9deAnon publicó bases de datos del Sindicato Unificado de la Policía (https://twitter.com/La9deAnon/status/917308875937861632).

Se dio el caso de un grupo hacktivista, Spanish Electronic Army, que la noche del 1 de octubre difundió información privada de la web de Esquerra Republicana de Cataluña, con la intención de protestar contra el referéndum. Al día siguiente, sin embargo, cambiaron de enemigo: publicaron una base de datos filtrada de diversos sitios de la policía porque "debido a los acontecimientos ocurridos en Cataluña con la Policía Nacional no nos dejan otra opción" (https://twitter.com/sea_gob/status/914507558647459840).

El ciberactivismo más blanco estuvo también en el frente del referéndum: Softcatalà creó una guía de seguridad y privacidad (https://autodefensa.softcatala.cat/). X-Net también hizo una guía (https://xnet-x.net/en/how-to-guide-for-preserving-fundamental-rights-internet/) y un resumen de los acontecimientos destinado al público internacional (https://xnet-x.net/en/digital-repression-and-resistance-catalan-referendum/). Destaca la labor de Piratas de Cataluña (http://pirata.cat), que tiene 3 miembros investigados por las webs espejo.

Y así, contra todo pronóstico, el referéndum se celebró gracias, entre otros factores, a una estructura informática y de telecomunicaciones que aguantó hasta el final, a pesar de haber sido montada de forma tan rápida y precaria y haber recibido todo tipo de obstáculos por parte de un actor estatal. El funcionamiento distribuido se demostró como fórmula ganadora y la total dependencia de Cataluña de los operadores y redes españoles pasó factura sin piedad, no sólo en el cierre de webs sino también en el más silencioso espionaje de la navegación y el correo electrónico de los investigados. Este pequeño país llamado Cataluña acaba de tener el privilegio de vivir, como un día Estonia, u hoy Ucrania, una auténtica guerra cibernética. Lo decía proféticamente AnonymousBCN (https://twitter.com/AnonymousBCN/status/914319580255997952) el día antes del 1-O. Que de los errores se aprenda.

TUITS DE AGRADECIMIENTO A LOS HACKERS PARA PONER COMO ILUSTRACIÓN:

https://twitter.com/carlesm/status/916045395679174656

https://twitter.com/kcraam/status/915450240391663616

https://twitter.com/didacrios/status/915510690403819520

https://twitter.com/PebrotsOmflats/status/915879387907674112



Mercè Molist