Nos venden la red Tor como baluarte de la privacidad online. Muchos no están nada de acuerdo (y recuerdan que la creó el Pentágono)

Durante primaveras, Tor ha sido recomendada como la aparejo definitiva para la privacidad online: periodistas, activistas, y hasta usuarios comunes preocupados por su anonimato... muchos han confiado en que este software los protegería tanto de la vigilancia estatal como del corporativo.

Pero esta confianza está allí de ser universal, puesto que, en los últimos tiempos, toda una serie de investigaciones y testimonios señalan que Tor puede no ser tan seguro, independiente ni ignorado como se ha venido creyendo.

Un mito en reprobación

Tor (The Onion Router) nació, y esto es poco que a menudo se olvida, como un plan financiado y desarrollado por el gobierno de Estados Unidos, específicamente por la Oficina de Investigación Naval y la DARPA. Su propósito llamativo no fue proteger a ciudadanos comunes, sino encubrir las actividades online de agentes de inteligencia.

Para conquistar que su tráfico no fuera identificable, era necesario que más personas usaran la red. Así, nació un gran incentivo para rajar Tor al conocido genérico. Roger Dingledine, cofundador del plan, lo dejó claro en una conferencia en 2004:

"El gobierno de EE. UU. no puede proceder un sistema de anonimato para sus agentes sin que otras personas además lo utilicen. De lo contrario, cada conexión sería sospechosa".

De modo que usar Tor significa aportar tráfico que encubre a agentes de inteligencia en operaciones encubiertas. Tor se diseñó para que los espías se mezclaran entre el ruido, y ese ruido eres tú.

Por supuesto, esa obligación de ruido además se aplica a todo heredero de Tor, y el caso del estudiante de Harvard Eldo Kim lo ejemplifica: fue identificado como el autor de una amenaza de obús precisamente por ser el único conectado a Tor desde la red universitaria en ese momento.

¿Cómo de ignorado es positivamente Tor?

A pesar de su diseño enrevesado, múltiples estudios y operaciones judiciales han demostrado que Tor puede ser vulnerado. La Agencia de Seguridad Doméstico (NSA) de EE. UU., por ejemplo, ha venido desarrollando desde 2006 métodos para desenmascarar usuarios a gran escalera, según documentos filtrados.

La Universidad Carnegie Mellon fue contratada por el FBI para romper el anonimato de Tor por escasamente 3.000 dólares en hardware, una técnica que permitió identificar IPs reales de usuarios y sitios ocultos.

El FBI ha rechazado en varias ocasiones presentar pruebas en tribunales por temor a revelar sus métodos de desanonimización, lo que prueba que estas técnicas existen y son efectivas.

Vulnerabilidades técnicas y errores de heredero

Tor solo protege el tráfico que pasa por su navegador. Archivos abiertos desde el extranjero, como PDFs o ejecutables, pueden filtrar tu IP existente. Asimismo se han documentado fallos —como el bug que revelaba IPs al usar enlaces locales— que comprometen gravemente la privacidad.

El propio Tor Project admite que si un atacante puede observar tanto el ingreso como la salida del tráfico, puede realizar correlación de tiempos y descubrir identidades. Esto lo hace relajado frente a adversarios proporcionadamente posicionados, como gobiernos.

La financiación de Tor

Contrariamente a lo que suele pensarse, entre el 90 % y el 100 % del presupuesto de Tor proviene del gobierno de EE. UU. a través de agencias como el Área de Estado, el Pentágono y la Agencia de Medios Globales (ex BBG). Estos fondos no fueron donaciones desinteresadas: Tor ofrecía "influencia en el rumbo del plan" a sus patrocinadores.

Cooperación directa con agencias gubernamentales

Contrariamente a la imagen de comunidad refractaria que Tor proyecta, sus desarrolladores han mantenido comunicación directa y continua con agencias como el FBI y el Área de Ecuanimidad. A través de solicitudes FOIA (Freedom of Information Act), los periodistas han obtenido correos electrónicos en los que se discuten vulnerabilidades con funcionarios federales ayer de hacerlas públicas.

Así, por ejemplo, sabemos que Steven Murdoch, desarrollador del plan, descubrió una vulnerabilidad crítica que fue comunicada en primer puesto al gobierno estadounidense. Este patrón alimenta la sospecha de que Tor pueda estar sirviendo más a los intereses de vigilancia que a los de privacidad.

El problema de los nodos: ¿quién controla la red?

Tor funciona gracias a una red descentralizada de nodos voluntarios que enrutan el tráfico. Esto implica que cualquier persona —incluso actores maliciosos o gobiernos— puede instalar nodos y espiar lo que pasa por ellos, especialmente si se tráfico de nodos de salida.

El caso más emblemático es el del hacker sueco Dan Egerstad, que mediante la instalación de cinco nodos Tor logró recoger contraseñas y correos de diplomáticos, ONGs y empresas. Poco similar ocurrió con Wikileaks, que obtuvo documentos sensibles interceptando tráfico en nodos Tor.

Por otra parte, las investigaciones muestran que hay nodos maliciosos dedicados a modificar archivos descargados con malware (en algunos casos se han llegado a manipular actualizaciones de Windows) o a recoger datos de navegación.

Alternativas: ¿VPNs mejor que Tor?

Aunque no están exentas de sus propios problemas, las VPN (redes privadas virtuales) presentan ventajas frente a Tor. Ofrecen enigmático de todo el tráfico del sistema, mejor velocidad, último visibilidad y una viejo variedad de proveedores auditados. Por otra parte, las VPN permiten configurar cadenas multinodales (multi-hop) y combinarse con Tor (Tor sobre VPN) para mejorar la privacidad.

En este postrer esquema, tu IP existente queda oculta incluso para Tor y sus nodos, y tu proveedor de Internet no sabrá que accedes a la red onion, por lo que usar conjuntamente ambas tecnologías puede ser la mejor posibilidad para proteger tu privacidad. Y aun así, seguiría sin ser perfecta.

Vía | CyberInsider

Imagen | Marcos Merino mediante IA

En Genbeta | Así fue como la falsa expectativa de anonimato del bitcoin permitió derribar la viejo comunidad de pornografía pueril del mundo