Recibo preguntas en los comentarios sobre cómo hacer “Tor + VPN en Tails” o cómo hacer un paquete de “VPN → Tor → VPN”. El objetivo de estos diseños es principalmente garantizar el anonimato. Sin embargo, muchas personas que se hacen estas preguntas están demasiado sesgados en el enfoque de IP y se olvidan por completo de cosas mucho más importantes.
No es que no debas intentar ocultar tu dirección IP, es que es completamente inútil si no entiendes los otros aspectos del anonimato.
Los siguientes son errores típicos que conducen al des-anonimato. Muchos de ellos pueden parecerte tontos. ¡Pero la gente los hace! En parte por no conocer los aspectos técnicos, y en parte simplemente olvidando cosas mucho más importantes, configurando 2 VPN a través de 3 Tor y 8 proxy.
- 1. Anonimato en las Redes Sociales
- 2. Anonimato y Cookies
- 3. Muchos Sitios Almacenan la IP de las Acciones Anteriores
- 4. Compraré una VPN (o un servidor VPS para configurar OpenVPN) y seré Anónimo
- 5. OpenVPN es muy bueno, pero no para el Anonimato
- 6. Hay 1000 y 1 formas de Averiguar la Dirección IP Real de un Usuario Remoto
- 7. Si Utilizas cualquier Software de Código Cerrado para Actividades Ilegales, hay una Puerta Trasera 100% Instalada
- 8. Falta de Comprensión de Aspectos Técnicos Simples de Redes, Servidores y Aplicaciones
- 9. El Panorama General
- 10. Metadatos en los Archivos
- ¿Debes usar Tor con una VPN, Proxy, SSH?
1. Anonimato en las Redes Sociales
Si te registras en Facebook (red social) con tu número de teléfono. Luego te conectas a Facebook a través de Tor para escribir “El señor Alcalde XYZ es un ladrón” en el grupo oficial de la Administración de tu Ciudad. ¿Significa eso que eres anónimo – porque usaste Tor?
No, no es así. Aunque sólo sea porque tienes un número de teléfono vinculado a tu cuenta de la red social. Y no necesitas una dirección IP para identificarte.
2. Anonimato y Cookies
Las cookies son pequeñas piezas de información que se almacenan en su navegador después de que un sitio web se las haya enviado.
Si visitas el sitio, obtienes tus cookies, luego te vuelves a conectar a través de Tor y escribes algo como “El señor WYZ, segundo concejal de la ciudad, también es un ladrón” en los comentarios, una cookie puede vincular al autor del comentario con el usuario que previamente se conectó con una dirección IP diferente.
Las cookies están diseñadas para identificar al usuario independientemente de tu dirección IP.
3. Muchos Sitios Almacenan la IP de las Acciones Anteriores
Por ejemplo, he registrado una cuenta VPN a la que me conectaré a través de Tor. Pero, lo registré desde mi IP (‘porque Tor es lento, y de todos modos ese sitio no acepta conexiones desde la red Tor). ¿Seré anónimo si me conecto a la VPN a través de Tor? No, porque se guarda la información de las operaciones anteriores con la dirección IP.
4. Compraré una VPN (o un servidor VPS para configurar OpenVPN) y seré Anónimo
Incluso si has leído el tercer punto y te conectas a través de Tor, pero utilizas monederos que pueden llevarte a ti, no hay duda del anonimato. Y cuando se compran tarjetas SIM desechables y se accede a sitios de monederos, también hay que tener en cuenta el anonimato, porque si no todo no tiene sentido.
Es por eso que simplemente Tor es más anónimo que Tor + OpenVPN. Es muy difícil comprar algo sin dejar rastro.
5. OpenVPN es muy bueno, pero no para el Anonimato
Si pensamos en el propósito original de las VPN, es organizar redes privadas virtuales, dentro de las cuales los ordenadores dispersos por el mundo pueden acceder a los recursos de la red local de los demás. El tráfico se intercambia de forma encriptada, pero este tráfico sólo está encriptado para el observador externo, no para el servidor y los clientes de OpenVPN.
Por este motivo, si compras una cuenta VPN gratuita o de pago, prepárate para que el propietario del servidor pueda hacer CUALQUIER cosa con tu tráfico y guarde los registros de actividad: qué peticiones se hicieron desde qué cliente.
Según las FAQ de Whonix: un tercio de los proveedores de VPN más populares son propiedad de empresas chinas (China no es un país que respete la privacidad), y el resto están en países como Pakistán, que también son “maravillosos” países. Cuántos de ellos son “honeypots” y registran la actividad es imposible de decir, pero en mi opinión el 99% de los proveedores de VPN de pago y gratuitos lo hacen.
6. Hay 1000 y 1 formas de Averiguar la Dirección IP Real de un Usuario Remoto
Las opciones van desde lo más sencillo, enviar un enlace a un sitio vigilado (o un acortador) y ver la IP (si te comunicas a través de un mensajero anónimo) o un archivo troyano, hasta formas bastante sofisticadas. Por cierto, sabes ¿Qué Podría Hacer Alguien con tu Dirección IP?
7. Si Utilizas cualquier Software de Código Cerrado para Actividades Ilegales, hay una Puerta Trasera 100% Instalada
También puede haber puertas traseras en software legítimo de código cerrado -como una vulnerabilidad difícil de encontrar que el proveedor conoce, o una simple puerta trasera-, como las que se han encontrado en el firmware oficial de los routers, por ejemplo.
En cuanto a los programas ilegales de código cerrado que se distribuyen de forma anónima, dígame, por favor, ¿por qué no instalar allí una puerta trasera? El propietario no sabrá nada, y aunque lo sepa, ¿qué hará? ¿Irá a la policía y dirá: compré scripts para romper la protección de los teléfonos robados, y me instalaron un virus?… Dudo que lo haga.
8. Falta de Comprensión de Aspectos Técnicos Simples de Redes, Servidores y Aplicaciones
¿Sabías que puedes encontrar los sitios de un atacante simplemente analizando a dónde va la solicitud POST?. ¿Por qué un atacante dejaría scripts archivados en su sitio? Al parecer, no sabía que es muy fácil rastrear a dónde va una petición POST, incluso si el código HTML está ofuscado.
Y puede haber muchos de estos escollos “técnicos”: una simple contraseña de conexión SSH (“nadie sabe dónde está mi servidor”), entender mal a qué información del servidor puede acceder un Pentester, entender mal para qué sirve CloudFlare, etc.
9. El Panorama General
Ejemplo: La infraestructura es atacada y los rastros de IP y otros indicios circunstanciales conducen a algún lugar lejano. Sin embargo, los objetivos y los métodos de ataque son similares a los utilizados por un grupo de hackers conocido. Al menos, nos da algo en lo que pensar.
10. Metadatos en los Archivos
Debes saber todo sobre los metadatos y el software para verlos y limpiarlos, por ejemplo, querrás saber Cómo Ver, Editar y Eliminar los Metadatos en Archivos de MS Word. De lo contrario, si distribuyes archivos, todas las demás medidas de anonimato pueden resultar inútiles. Similar al primer punto, cuando usas Tor, pero inicias sesión en la red social con tu cuenta.
¿Debes usar Tor con una VPN, Proxy, SSH?
Esta es una pregunta frecuente en diferentes variantes. Y no hay una respuesta única. Supongamos que en mi país o mi ISP bloquea el acceso a la red Tor, entonces no es tan bueno como la única solución es utilizar VPN + Tor. Dicho esto, deberías entender claramente los riesgos de una VPN, que está diseñada para proporcionar redes privadas virtuales, no anonimato. Si no entiendo los riesgos de añadir diferentes nodos intermedios, y lo hago sólo porque he leído en algún foro que es mejor, entonces no es una buena idea: no hay ninguna tecnología que funcione para averiguar la dirección IP real del usuario de Tor (vale, tal vez una vulnerabilidad), pero el “honeypot” de la VPN lo sabrá todo sobre ti:
- Tu dirección IP real
- A qué sitios se dirigen las solicitudes
- Qué respuestas obtienes.
Fuentes:
- https://support.torproject.org/faq/faq-5/
- https://trac.torproject.org/projects/tor/wiki/doc/TorPlusVPN
En conclusión, la mayoría de las veces las personas son capaces de lograr el anonimato en línea con algo de esfuerzo. Sin embargo, hay algunos errores fáciles de cometer que pueden permitir que un atacante o entidad te identifique.
Si te tomas el tiempo para entender las herramientas de anonimato que utilizas y las compensaciones, tu actividad será más anónima.