DÍGITS I ANDRÒMINES

El gat i la rata (digitals) de l’1-O

Els organitzadors del referèndum han explicat a l'ARA com van respondre als intents de sabotejar el procés telemàtic de votació

El gat i la rata (digitals) de l’1-O
i Albert Cuesta
08/10/2017
4 min

El divendres 29 al vespre, agents de la Guàrdia Civil es van presentar al Centre de Telecomunicacions i Tecnologies de la Informació (CTTI) de la Generalitat, al carrer Salvador Espriu de l’Hospitalet de Llobregat -a prop de la botiga Ikea i del recinte Gran Via de la Fira-, armats amb dues ordres judicials: la primera obligava els responsables de l’organisme a desactivar gairebé una trentena d’aplicacions informàtiques internes, suposadament relacionades amb processos electorals; la segona ordenava als tècnics de la flamant Agència de Ciberseguretat de Catalunya (ASC), ubicada en un edifici contigu, monitoritzar el trànsit de dades procedent d’una llarga llista d’adreces IP corresponents a dependències de la Generalitat, majoritàriament centres públics d’ensenyament que serveixen com a col·legis electorals, i bloquejar els intents d’accedir des d’elles a les aplicacions citades. Aquestes dues mesures pretenien neutralitzar el dispositiu tecnològic que havia de fer possible la votació en el referèndum convocat per al diumenge 1 d’octubre i l’escrutini posterior.

Inscriu-te a la newsletter Sèries Totes les estrenes i altres perles
Inscriu-t’hi

El que no sabien aleshores el jutge ni la Guàrdia Civil és que estaven vigilant el lloc equivocat. Els agents es van passar tot el cap de setmana a l’interior del CTTI -confinats en una de les sales del vestíbul de l’edifici, donant ordres al personal però sense manipular directament els sistemes perquè el manament judicial no especificava que poguessin fer-ho-, esperant bloquejar uns accessos que mai es van arribar a produir, perquè els organitzadors del referèndum ja havien descartat setmanes abans fer servir les aplicacions habituals per gestionar processos electorals. Per substituir-les en van crear una de nova i la van desplegar en diversos servidors ubicats fora de l’Estat. Tan bon punt es van haver constituït les meses de votació a primera hora de diumenge, el responsable de cada col·legi electoral va comunicar als membres l’adreça web citada, on s’havien de connectar amb l’ordinador o tauleta que se’ls havia facilitat, juntament amb la contrasenya de la xarxa wifi del local i una còpia impresa del cens on només figuraven els números de DNI dels ciutadans amb dret a votar en aquella urna.

A partir d’aquí tot es va accelerar. Quan el conseller portaveu Turull va anunciar a les 8 del matí en roda de premsa que s’aplicaria l’anomenat cens electoral universal perquè qualsevol ciutadà censat -inclòs el president Puigdemont- pogués votar en qualsevol mesa, els encarregats de sabotejar el dispositiu tecnològic de la votació van descobrir que se’ls havien rifat i van començar a reaccionar. El domini Registremeses.com va caure immediatament, de manera que només es podia accedir a l’aplicació mitjançant les adreces IP dels servidors. Com que tot els va agafar per sorpresa, els serveis d’espionatge espanyols només van tenir temps d’improvisar atacs de denegació de servei a les adreces IP de l’aplicació a mesura que les anaven descobrint, i fins i tot van demanar auxili als grups de hackers patriòtics que freqüenten fòrums de la xarxa com la web Forocoches.

Durant tot el dia, l’aplicació va anar jugant al gat i la rata amb els seus atacants, canviant contínuament d’ubicació; això va obligar els operadors -instal·lats en tres centres d’atenció telefònica creats per a l’ocasió- a observar contínuament les desenes d’adreces IP que s’havien reservat, anotades en pissarres que aquest diari ha pogut veure fotografiades, i comunicar als responsables dels col·legis electorals adreces noves per substituir les que estaven sent bombardejades en cada moment. Per aquest motiu al llarg del dia hi va haver meses que podien operar telemàticament mentre que d’altres, fins i tot al mateix col·legi, havien de fer-ho amb el cens imprès. Igualment, a la tarda es van arribar a reutilitzar algunes de les adreces IP que havien caigut al matí i havien perdut interès per als atacants.

Un dels responsables del dispositiu, que ha parlat amb la condició de mantenir l’anonimat, explica a l’ARA que el cens universal s’havia previst com a pla B en cas de clausura massiva de col·legis electorals, i confessa la seva sorpresa quan el Govern el va fer públic abans de l’inici de les votacions. Aquesta persona també justifica el relatiu èxit dels atacs per la impossibilitat de fer prèviament proves de càrrega del sistema, ja que calia evitar a tota costa donar pistes de la seva existència. Tot i això, es declara satisfet amb el funcionament, donades les circumstàncies, i assegura que en cap cas es va poder votar en més d’una mesa amb un mateix DNI.

Decebuts amb Google

Durant les setmanes anteriors a la jornada de votació, els seus organitzadors també van haver d’afrontar el sabotatge estatal del dispositiu d’informació prèvia als ciutadans. Mentre l’aparell judicial anava tancant la web oficial sobre el referèndum i les seves rèpliques, en quinze dies es va desenvolupar l’aplicació mòbil On Votar 1-Oct per a telèfons Android, els més utilitzats per la població, que servia per consultar el punt de votació assignat, exclusivament a partir del domicili de l’usuari, sense haver d’introduir cap dada personal. L’aplicació, de dos megabytes de pes, contenia tota la informació necessària per no haver de connectar-se a internet un cop instal·lada. Un dels seus dos desenvolupadors ha explicat a l’ARA -també sota compromís d’anonimat- la seva decepció quan va saber, el divendres 29 a la tarda, que Google Espanya havia acceptat retirar l’aplicació de la botiga Play Store per ordre judicial.

Tot i això, els més de 50.000 usuaris que ja havien descarregat als seus telèfons la versió original van poder actualitzar-la a una segona versió que, a més de contenir els canvis d’última hora en la relació de punts de votació, pesava sis megabytes perquè també contenia una còpia de la mateixa aplicació en format APK que es podia enviar directament a altres usuaris d’Android perquè la instal·lessin sense passar per la Play Store. Els creadors de l’apli havien previst fins i tot un mecanisme per enviar missatges d’alerta als telèfons dels usuaris, però no es va utilitzar perquè hauria requerit que l’aplicació es connectés a la xarxa després de ser instal·lada.

stats