Uno de los usos más habituales de la red Tor es preservar el anonimato. Esta red de routers distribuidos garantiza que el tráfico es prácticamente imposible de rastrear e identificar desde que sale de nuestro ordenador hasta que llega al destino, siendo generalmente utilizada para realizar actos ilícitos, sin embargo, esta red puede atacarse tomando el control de un router malicioso, identificando así a todos los usuarios que reenvían el tráfico a través de ella.
RAPTOR, como se ha llamado a este tipo de ataques contra los nodos de la red Tor, se basa principalmente en tomar el control de un nodo autónomo de esta red y aplicar ciertas técnicas de manera que las conexiones y el tráfico de todos los usuarios que se conecten a esta red distribuida a través de este nodo se vean comprometidas, pudiendo incluso a obtener tanto la identidad del emisor como el contenido de los paquetes que se envían a través de esta red. Podéis visitar nuestro tutorial sobre mejorar la privacidad en Internet con Privacy Redirect.
Según el ataque que se lleve a cabo desde estos nodos maliciosos podemos encontrarnos con 4 situaciones diferentes:
- Un pirata informático puede llegar a obtener los nodos de entrada y de salida de las conexiones, obteniendo con ellos la dirección IP real del usuario, aunque sin acceder a la información de los paquetes.
- El atacante puede monitorizar el tráfico de entrada y los paquetes TCP ACK entre el cliente y el servidor, pudiendo obtener la ruta completa del tráfico (aunque esta ruta suele cambiar cada poco tiempo) e identificar al emisor de dicho tráfico y el contenido de los paquetes.
- Monitorizar todo el tráfico desde el nodo malicioso identificando al nodo de salida y controlando el tráfico que va desde él al servidor de destino, junto con los paquetes ACK, teniendo bajo control todos los mensajes enviados entre el cliente y el servidor, pudiendo romper así por completo el anonimato de todo el tráfico de la víctima.
- Para finalizar, el posible controlar el tráfico TCP ACK, identificando la IP del usuario y del servidor desde el nodo malicioso.
Estos ataques pueden contrarrestarse, por ejemplo, monitorizando la capa BGP (Border Gateway Protocols) para detectar posibles ataques de control en alguno de los nodos de la red Tor y controlando la ruta de datos con Traceroute para identificar anomalías en los datos.
El éxito de los anteriores ataques contra la red Tor osciló entre el 94% y el 96%, lo que demuestra que un atacante que tenga control sobre un nodo de gran tamaño puede llegar a comprometer la privacidad de más del 90% de las conexiones que se reenvíen a través de dicho nodo. Tanto piratas informáticos como organizaciones gubernamentales cada vez están más centradas en poder explotar este tipo de conexiones ya que de lograrlo la información que se puede llegar a conseguir puede ser muy valiosa para cualquier parte interesada.
¿Crees que la red Tor es cada vez más insegura y menos anónima?
Os recomendamos leer nuestro tutorial sobre qué son los ataques SYN y cómo bloquearlos.