(+34) 910 42 42 93 [email protected]

privacidad tsunami democratic

Tema profundamente interesante, y de actualidad.

Xuxo Rondinaire, activista pro independencia de Cataluña, y miembro del grupo Tsunami Democràtic, fue detenido (CAT) hace unos días por petición de la Audiencia Nacional como presunto miembro de una banda terrorista.

Del activismo al terrorismo

Todo se remonta a 2019, cuando este grupo activista fue considerado como terrorista por, presuntamente, planificar acciones contra el rey de España:

«La Audiencia Nacional está llevando a cabo una investigación en la que el movimiento Tsunami Democratic ha sido confirmado como una organización criminal que impulsa la comisión de ataques terroristas. El objetivo principal de Tsunami Democratic es coordinar estos disturbios y acciones terroristas usando cualquier medio posible».

En ese momento, y aplicando la regulación vigente, se procedió a bloquear el acceso a su página web, y tras la creación por parte de la banda de una aplicación móvil para mantener la coordinación, las autoridades también pidieron el bloqueo del repositorio subido a Github (EN), operando desde entonces, y principalmente, desde Telegram.

Un servicio de mensajería que, como explicábamos recientemente en el podcast enCLAVE DIGITAL, no cumple la regulación de prácticamente ningún país democrático.

Faltaba, eso sí, dar con parte del equipo detrás del movimiento. Cosa bastante complicada, ya que estos se comunicaban principalmente por Telegram y por Proton, una suite de herramientas de comunicación cifradas de punto a punto.

Pero el diablo está en los detalles.

Cazado por un error humano

Como ya se sabía, el usuario llamado «Xuxo Rondinaire» era uno de sus integrantes, del que se conocía por filtraciones pasadas su correo electrónico.

Potron, la plataforma que usaba el grupo para estar en contacto con sus miembros, está, como te decía, cifrada de punto a punto, por lo que aunque bajo una petición judicial, como es el caso, están obligados a dar acceso a la información de la que dispongan del investigado, lo cierto es que esa información es muy vaga.

Algunos datos de comunicación y poco más, habida cuenta de que aquellos datos informativos están, como te decía, cifrados de punto a punto, lo que quiere decir que únicamente se pueden descifrar si el emisor o el receptor de dicho mensaje entrega sus claves.

Sin embargo, hecha la ley, hecha la trampa.

Entre la información disponible no cifrada de la cuenta, estaba el correo de recuperación de la cuenta que, bajo todo pronóstico… era un correo de Apple.

Y ahí viene lo bueno.

A las fuerzas del orden solo les bastó exigir acceso a la información asociada a esa cuenta de correo de Apple, obteniendo datos personales del sujeto. A saber, su nombre, la dirección de su casa y el número de teléfono.

Datos más que suficientes como para identificar al acusado, que al parecer, y para más inri, era un Mosso d’Esquadra (por si eres de fuera de España, los mossos d’escuadra son, para que nos entendamos, como la «guardia civil», pero de Cataluña).

¿Te preocupa tu Seguridad y Privacidad Online?

Hemos diseñado este curso online en 8 módulos en el que cubriremos todos los fundamentos de la ciberseguridad, ayudándote paso por paso a configurar la seguridad y privacidad de tus cuentas digitales y de tus dispositivos.

Proton asegura no tener la culpa…

La compañía emitió a las pocas horas un comunicado (ES) limpiándose las manos:

«Conocemos el caso de terrorismo español por presuntas amenazas al Rey de España, pero por norma general no comentamos casos concretos. Proton tiene información mínima sobre el usuario, como lo ilustra el hecho de que en este caso se utilizaron datos obtenidos de Apple para identificar al sospechoso de terrorismo. Proton proporciona privacidad de forma predeterminada y no anonimato de forma predeterminada porque el anonimato requiere ciertas acciones del usuario para garantizar una seguridad adecuada, como no agregar su cuenta de Apple como método de recuperación opcional. Tenga en cuenta que Proton no requiere agregar una dirección de recuperación ya que, en teoría, esta información puede entregarse mediante una orden judicial suiza, ya que el terrorismo es ilegal en Suiza».

Y parte de razón no les falta.

Proton ha cumplido con la ley internacional al entregar los datos que un juez de un país democrático les ha pedido. Y además, por la propia infraestructura de su servicio, son incapaces técnicamente de dar acceso a terceros (o a ellos mismos) a contenido potencialmente sensible, como puede ser el de los propios emails.

De hecho, en 2023, como cada año, la compañía hace público un informe de transparencia donde asegura que se han visto forzados a cumplir con las peticiones de 5.971 órdenes judiciales (EN), y en ninguna de ellas han podido (recalco que técnicamente es imposible sin la participación del emisor y/o receptor de los emails) compartir el contenido de los correos electrónicos.

… pero sí podrían haber hecho algo más

Y es que aunque, en efecto, no es per sé culpa suya que las autoridades hayan podido identificar a un supuesto terrorista como usuario de la plataforma, lo que sí se les puede recriminar es que no han dado información al cliente de los límites de ese cifrado de punto a punto.

En Proton es posible, y por tanto es solo opcional, el poner un email de recuperación de cuenta.

Lo suyo hubiera sido que la compañía, a la hora de sugerir dicha información, alerte al usuario que dichos datos no están protegidos por el cifrado de punto a punto (no pueden estarlo, ya que por el propio funcionamiento de un correo de recuperación de cuenta, la propia plataforma tiene que conocerlo para poder enviar el mail de recuperación…), y por tanto, que quede a decisión de cada uno si quiere aumentar la privacidad de su cuenta… o cubrirse frente a eventuales problemas de seguridad a futuro.

Un ejemplo más de que por mucha medida que se tome para proteger nuestras comunicaciones, la propia necesidad de interoperatividad entre diferentes servicios es, en esencia, un riesgo.

En CyberBrainers ayudamos a empresas y usuarios a prevenir, monitorizar y minimizar los daños de un ataque informático o una crisis reputacional. Si estás en esta situación, o si quieres evitar estarlo el día de mañana, escríbenos y te preparamos una serie de acciones para remediarlo.

Monitorización y escucha activa

Ponemos nuestras máquinas a escuchar para identificar potenciales fugas de información, campañas de fraude/extorsión y usurpación de identidad que estén en activo, y/o datos expuestos de ti o de tu organización.

Planes de autoridad y Presencia Digital

Ayudamos a organizaciones y particulares a definir la estrategia e implementar acciones digitales que mitiguen los posibles daños reputacionales que pueda sufrir en el futuro.

Gestión de crisis reputacionales

Cuando el mal ya está hecho, establecemos un calendario de acciones para reducir su duración e impacto, y que la organización y/o persona pueda volver a la normalidad lo antes posible.

Pablo F. Iglesias
Pablo F. Iglesias

Pablo F. Iglesias es Consultor de Presencia Digital y Reputación Online, director de la Consultora CyberBrainers, escritor del libro de ciencia ficción «25+1 Relatos Distópicos» y la colección de fantasía épica «Memorias de Árganon», un hacker peligroso, y un comilón nato 🙂


Suscríbete a nuestro boletín de reputación online
Recibe de manera totalmente gratuita, una vez al mes, un informe con recomendaciones de seguridad y reputación.
Suscríbete a nuestro boletín de reputación online
Recibe de manera totalmente gratuita, una vez al mes, un informe con recomendaciones de seguridad y reputación.