Tor es una red libre y global que te permite navegar por internet y la «dark web» de manera anónima. Sin embargo hay algunas cosas a tener en cuenta para usar Tor de manera segura.
Mientras que la vigilancia en la red cada vez es más y más frecuente, las herramientas que te ayudan a mantener tu privacidad y seguridad en la red son críticas.
Aunque las VPN son una de esas herramientas, existen otras opciones. Tor (nombre que proviene de las iniciales de «The Onion Router») es una potente herramienta para tu anonimato en la red y para burlar la censura.
Este artículo es una traducción del artículo en inglés escrito por Richie Koch para el blog de ProtonVPN. Me han dado permiso explícito para traducirlo y compartirlo en mi blog. Puedes leer el original en este enlace:
Comenzamos…
No hay una herramienta que sea 100% segura, e incluso Tor tiene algunas vulnerabilidades. Es esencial comprender bien, cómo Tor te puede proteger y cómo no puede.
Además si no sigues ciertas pautas a la hora de utilizar Tor, podrías exponerte tu mismo a vulnerabilidades y fallos de seguridad que podrían comprometer tu seguridad o la de tu dispositivo.
En este artículo se explican los factores a tener en cuenta antes de utilizar Tor y qué puedes hacer para tratar de reducir sus debilidades.
¿Es Tor ilegal?
Esta es a menudo la primera pregunta que hacen los usuarios, debido a que Tor y la «dark web» se han asociado con negocios ilegales como tráficos de drogas, etc.
La respuesta es no. No es ilegal ser anónimo y Tor tiene muchos usos legítimos. La propia «dark web» es una herramienta muy útil para proteger la privacidad y la libertad de expresión.
Tor es una red abierta de servidores puestos en marcha y mantenidos por voluntarios y es software libre (el navegador Tor) que es orientada por una organización sin ánimo de lucro como es Tor Project (o el Proyecto Tor).
Tanto la propia red como el software pueden utilizarse para navegar por el internet que todos conocemos y que visitamos cada día (llamado «clearweb») como con cualquier otro navegador que utilicemos.
De acuerdo con el Proyecto Tor, ni la propia red ni el navegador es ilegal en ninguna parte del mundo y utilizar Tor no es un acto criminal.
Las vulnerabilidades de Tor
Como cualquier tecnología, Tor no es 100% seguro, y los atacantes pueden llegar a comprometer la seguridad de Tor.
En 2014 un equipo de investigación de Carnegie Mellon University llegó a tener el control de una buen número de servidores de la red Tor, como para observar los nodos de la red tanto de entrada como de salida y comparar la sincronización del tráfico de la red, el volumen de tráfico y otras características únicas para identificar qué nodos de la red Tor formaban parte de qué circuitos.
Poniendo todos esos circuitos juntos, los investigadores fueron capaces de ver la dirección IP de un usuario en el primer nodo y el destino final del tráfico web del último nodo, permitiendo así identificar a los usuarios con su actividad en la red.
Quien esté más interesado en una explicación técnica del ataque el Proyecto Tor analizó dicho ataque.
El FBI utilizó ese ataque, para acorralar a algunos criminales que frecuentaban la «dark web» como parte de su Operación Anymous.
Tor actualizó sus nodos para corregir el protocolo específico que utilizaron los investigadores, pero aún así un ataque de correlación (identificar a usuarios mediante la sincronización y volumen de su tráfico) todavía es posible.
Recientemente, Zerodium, un vendedor de vulnerabilidades, descubrió un fallo en el navegador Tor que permitía a los atacantes ejecutar código JavaScript malicioso.
Este hallazgo se aprovechaba de un error en el complemento NoScript del navegador Tor. Tanto el complemento como el navegador Tor versión 8.0 ya han corregido este problema.
Estos ejemplos no deberían disuadirte de utilizar Tor, sirven para ilustrar que incluso Tor no es 100% seguro.
Cómo utilizar Tor de manera segura
Como con cualquier herramienta orientada a la privacidad, el uso adecuado de la misma es crítico. Hacer un mal uso de Tor puede comprometer tu privacidad en la red de formas que no puedes imaginar
- Tor cifrará tus datos cuando estos viajen por la red Tor, pero el cifrado de tu tráfico entre el nodo final de Tor y el sitio destinatario depende del propio sitio web. Sólo se deben visitar sitios que utilicen https o » Hypertext Transfer Protocol Secure». Este protocolo establece un enlace cifrado entre el nodo final de Tor y el sitio web que quieres visitar. Cualquier sitio que su dirección web empiece con https:// utiliza ese protocolo de cifrado y el propio navegador Tor viene con un complemento llamado HTTPS Everywhere desarrollado por la Electronic Frontier Foundation que además ofrece un interesante diagrama de cómo funciona https y Tor para proteger tus datos.
- El navegador Tor bloquea muchos complementos como Flash, RealPlayer, y QuickTime. Estos pueden ser manipulador para exponer tu dirección IP de maneras que Tor no puede prevenir.
- Si estás utilizando el navegador Tor, ten en cuenta que sólo el tráfico de ese navegador viajará por la red Tor. Otras aplicaciones de tu dispositivo estarán conectadas de manera normal a internet y pueden exponer tu dirección IP real.
- No deberías maximizar la ventana de tu navegador Tor. Si la maximizar, esto hace que ciertos sitios que determinan el tamaño de la pantalla de tu dispositivo, puedan identificar qué dispositivo estás utilizando y ayudarse de eso para hacer un rastreo de tu actividad. Tor recomiendo dejar siempre la ventana del navegador en el tamaño que viene predeterminado.
- No deberías abrir documentos descargados mediante el navegador Tor, mientras estés conectado. Esos documentos pueden contener contenido de internet que pueden revelar tu verdadera dirección IP. Si necesitas ver un archivo .doc o .pdf, deberías desconectar tu equipo de internet o deberías utilizar un sistema operativo como Tails.
- De manera similar, no se puede utilizar el protocolo BitTorrent en la red Tor. Sembrar archivos en la red Tor enviará tu dirección IP real y revelando tu tráfico web. Además reducirá la velocidad de la red Tor entera.
- Es también importante recalcar que Tor no protegerá tu privacidad de un sitio web en el que debas iniciar sesión. Una vez que inicias la sesión, ya te has identificado a ese sitio web y a cualquiera que este observando la actividad en ese sitio.
- Finalmente, si estás utilizando Tor para acceder a la «dark web», debes ser extremadamente cauteloso. Sólo utiliza dirección de las que te puedes fiar. No hagas clic en anuncios en cualquier sitio de la «dark web». Revisa cada enlace antes de visitarlo. Visitar sitios desconocidos de la «dark web» es la manera más rápida de comprometer tu dispositivo. Los sitios confiables tienen un certificado SSL válido y así lo refleja en la barra de direcciones el navegador Tor.
Tor ofrece una excelente forma de convertir en anónima tu actividad en la red, y para sortear censuras, pero existen ciertas limitaciones, particularmente relativas a la velocidad de navegación, que puede ser un poco lenta para algunas personas.
Hasta aquí la traducción del artículo, te recomiendo leer el original en su página web. Tor sigue siendo una herramienta muy útil para personas que tienen que proteger su identidad y utilizar canales seguros de comunicación y difusión.
Espero que este artículo te haya aclarado algunos conceptos y te ayude a conocer un poco más y mejor lo que la red Tor y el navegador Tor pueden ofrecerte como herramienta si en algún momento lo tienes que utilizar.
Descarga el navegador Tor para tu equipo y también disponible desde hace poco una versión para Android, que está en proceso de desarrollo.
Victorhck in the free world 
El tema del HTTPSEverywhere a veces es complicado porque realmente necesito entrar a una página sin HTTPS. ¿Hay alguna forma de entrar seguramente? ¿Exponemos nuestra IP al entrar a una HTTP o solo nuestro tráfico? Gracias
Hola! La ip sera del nodo de salida, pero todo el trafico queda expuesto por lo que es un agujero de seguridad. Deberías pedir al admin de rsas páginas que establecieran un certificado ssl para su web, con let’s encrypt es sencillo y gratuito…
Saludos y gracias por comentar
¡Hola!
Esta entrada me ha parecido muy interesante, aunque me ha quedado una duda que, como te imaginarás, te voy a plantear sin preguntar primero: para los que no somos ni periodistas ni necesitamos ser anónimos por motivos de seguridad, persecución política, etc. y hacemos una navegación normal y corriente (leer blogs y noticias, consultar Wikipedia, aprender a hacer pan o a manejar i3wm…) sin tener sesiones activas en el correo u otros servicios, ¿nos recomendarías usar TorBrowser habitualmente o un Firefox bien configurado, por ejemplo según las indicaciones de privacytools.io es suficiente?
Muchas gracias de antemano, un saludo y ¡gracias por el blog!
Hola!
Yo normalmente utilizo firefox configurado con complementos y modificaciones en el about:config para reducir la cantidad de datos, etc que nuestro navegador filtra. Eso con un VPN debería ser más que suficiente. Ya que en ese navegador tengo iniciadas mis sesiones, guardadas contraseñas, guardados favoritos, el historial, etc que en mi día a día me resulta útil.
Pero sí es cierto que nunca está de más tener el navegador tor en nuestro equipo. Para visitar enlaces dudosos, o ciertas páginas sí lo utilizo, además de algún dominio .onion que encuentro y quiero visitar, etc.
es mí opción personal, no sé si la recomendable… Saludos y gracias por la visita y por comentar! 😉
Buena entrada sobre Tor, es un navegador bastante estigmatizado por culpa de unos pocos que se aprovechan de su privacidad para utilizarlo en beneficio propio.
Aunque es cierto que normalmente sus vulnerabilidades tienen mucho que ver con el fallo humano, bien usado es una potente herramienta.
Tu articulo me ha ayudado mucho y he encontrado algún otro bastante interesante, lo dejo por aquí por si a alguien mas le resulta de utilidad navegarcontor.com
Hola, una pregunta de una ignorante, para descargar TOR tengo que estar conectada a mi proveedor de Internet, por lo que en el momento de la descarga el proveedor del servicio de internet conocerá que tengo TOR instalado, aunque estimo que no sabrá que sitios visito desde TOR .
¿Es así?
Hola.
Así es. Además cuando navegas con el navegador Tor tu proveedor y sitios sabrán que lo haces a través de la Red Tor, aunque como dices no sabrán que visitas y los sitios a los que accedes no sabrán desde donde accedes además de ofuscar otros datos…
Saludos y gracias por comentar
Hola.
Estoy haciendo un trabajo sobre esta temática. ¿Crees que es posible encontrar algo en la deep web para el beneficio social? Es decir, llevar a cabo actividades prosociales
Puedo usar mi tarjeta de crédito sin dejar rastro de la IP o la tienda online donde realice la compra?
Hola!
Al final tu banco sabe donde habrás realizado la compra.
Para identificarse en sitios es mejor no utilizar servicios que te hagan anónimo, porque no tiene mucho sentido…
Saludos.
Sobre la posibilidad de usar Tor desde la línea de comandos
Qué tal, victorhck?
Acá tratando de usar tor en una vieja pc sin interfaz gráfica.
Ya lo instalé con:
sudo apt-get install tor
Lo activé con:
sudo service tor start
Y miré que esté activo con:
sudo service tor status
Pero cuando miro la ip que se ve públicamente con:
curl ifconfig.co
…sale la misma de antes.
Y antes de ponerme a leer el p*** manual con:
man tor
…quería saber si ya lo has intentado hacer.
Como siempre, un lujo. Clarísima la traducción y muy bien complementado el artículo con las respuestas a los comentarios.
Gracias y un saludo!
Hola!
Desde la línea de comandos no me he puesto nunca a configurarlo y que mi tráfico salga todo enrutado por Tor. Igual hay que configurar algo más… No te puedo ser de mucha ayuda, lo siento…
Saludos!
No problemo. Gracias igual por responder.