Agujeros en la cara oculta de Internet: nueva vulnerabilidad en la red Tor

Parece que el mundo de la seguridad informática no pasa por su mejor momento. O al menos la popularización de Internet y su incursión en nuestras vidas hace que este tipo de noticias tenga una relevancia mucho mayor.

Hace apenas unos días, el investigador de seguridad italiano Filippo Cavallarin, CEO de We Are Segment, anunciaba una grave vulnerabilidad en TorBrowser, navegador de la darknet Tor, por el que un atacante podría dar con la dirección IP del usuario. Para comprender la gravedad de este hallazgo, es conveniente que expliquemos antes qué es una darknet y qué es, en concreto, Tor.

¿Qué es una darknet? ¿Es lo mismo que la Deep Web?

Por definición, una darknet o “red oscura” es una red constituida sobre Internet, pero sólo accesible mediante un software específico y/o uso de protocolos no estándar. En muchas ocasiones se usa como sinónimo de Deep Web, pero no es así. Como Deep Web se conoce, simplemente, a partes de Internet que permanecen a propósito ocultas a los buscadores y, por tanto, no pueden ser encontradas a no ser que obtengamos su enlace directo.

Existen muchos tipos de darknets, habitualmente como redes descentralizadas peer-to-peer, pero sin duda su uso más habitual es el de las redes donde, por definición, todas las comunicaciones son siempre anónimas y en ningún caso los miembros de la darknet puede conocer la identidad o datos reales concretos, tales como la dirección IP de otro usuario.

¿Qué es Tor?

Tor es el acrónimo de The Onion Router y es un proyecto de darknet surgido en 2002 en el Laboratorio Naval de los Estados Unidos como software libre. El objetivo de Tor es el de preservar la privacidad del usuario y que la información transmitida no revele su identidad. Por eso, además de ser una darknet al uso, también es posible acceder a todos los recursos del Internet “tradicional” o clearnet mediante unos servidores proxy que sirven de puerta de enlace desde Tor hacia Internet.

Tor ganó mucha popularidad en los últimos años gracias a que la Free Software Fundation premió al proyecto Tor con el Free Software Award por “Mediante el uso de software libre, Tor ha permitido que aproximadamente 36 millones de personas en todo el mundo experimenten la libertad de acceso y expresión en Internet, al tiempo que les permite controlar su privacidad y su anonimato. Su red ha demostrado ser fundamental en los movimientos disidentes en Irán y más recientemente en Egipto.”

Consigue ahora tu e-book de gestión de ciberseguridad para PYMEs

TorBrowser podría revelar tu dirección IP real en Tor

Aunque existen otras maneras, la forma más extendida y sencilla de conectarse a Tor es mediante el uso del TorBrowser, un navegador que funciona sobre el motor de Firefox y que cuenta con el software necesario para permitir el acceso a la darknet.

La vulnerabilidad descubierta permite que, a través del manejo deficiente de Firefox de los enlaces hacia recursos locales tipo file:// que una web mal intencionada pueda obtener la dirección IP real, aun estando dentro de Tor, pero sólo bajo sistemas operativos Linux y macOS. Esto, como es lógico, contraviene el concepto mismo de Tor y para el fin que fue creado, y representa un problema de seguridad grave.

Los usuarios del modo sandbox del TorBrowser no estarían afectados, así como los usuarios más avanzados de Tor, que normalmente hacen uso de distribuciones de Linux específicas para la navegación anónima. En cualquier caso sigue siendo igualmente grave porque son, precisamente, los usuarios menos experimentados y, por tanto más vulnerables, los que se pueden ver expuestos.

Como es habitual entre los profesionales éticos, Cavallarin avisó del fallo a los desarrolladores del TorBrowser y a partir de la versión 7.0.9, actualmente la última versión estable, este fallo está corregido.

A modo de reflexión general, Tor, como cualquier otro sistema que permite el anonimato total, también imposibilita en gran medida la aplicación de la legalidad vigente en cada país ya que no es posible identificar al usuario. Pese a que el anonimato en Internet preserva nuestra identidad, seguridad y datos personales, también acarrea consigo que sea utilizado para fines no éticos o ilegales pero, como de costumbre, es la responsabilidad individual la que dicta hasta qué punto podría llevarse el uso, o mal uso, de la libertad.