Acerca de Tor

La comunicación en Internet está basada en un modelo de almacenaje y reenvío que puede ser entendido en una analogía con el correo postal: Los datos son transmitidos en bloques llamados datagramas o paquetes IP. Cada paquete incluye una dirección IP de origen (del emisor) y una dirección IP de destino (del receptor), en el mismo modo en que las cartas ordinarias contienen direcciones postales del remitente y el destinatario. El camino desde el emisor hasta el receptor involucra múltiples saltos de enrutadores, donde cada uno de ellos inspecciona la dirección IP de destino y reenvía el paquete más cerca de este destino. Por lo tanto, cada enrutador entre el emisor y el receptor aprende que el emisor se está comunicando con el receptor. En particular, tu ISP local está en la posición de elaborar un perfil completo de tu uso de Internet. Además, cada servidor en Internet que pueda ver cualquiera de los paquetes puede perfilar tu comportamiento.

El objetivo de Tor es mejorar tu privacidad enviando tu tráfico a través de una serie de proxys. Tu comunicación es cifrada en múltiples capas y enrutada vía múltiples saltos a través de la red Tor hasta el receptor final. Más detalles sobre este proceso pueden ser encontrados en esta visualización. Advierte que todo lo que tu ISP local puede observar ahora es que te estás comunicando con nodos Tor. Similarmente, los servidores en Internet solo ven que están siendo contactados por nodos Tor.

Hablando generalmente, Tor apunta a resolver tres problemas de privacidad:

Primero, Tor previene que los sitios web y otros servicios conozcan tu ubicación, la cual pueden usar para generar bases de datos acerca de tus hábitos e intereses. Con Tor, tus conexiones de Internet no te delatan por defecto -- ahora puedes tener la habilidad de elegir, por cada conexión, cuánta información revelar.

Segundo, Tor previene que las personas mirando tu tráfico localmente (tal como tu ISP o alguien con acceso a tu wifi o enrutador domiciliarios) aprendan qué información estás descargando y desde dónde lo estás haciendo. También las inmobiliza para tomar una decisión sobre qué tienes permitido aprender y publicar -- si puedes ir a cualquier parte de la red Tor, puedes alcanzar cualquier sitio en Internet.

Tercero, Tor enruta tu conexión a través de más de un repetidor Tor, por lo que ninguno de estos puede conocer lo que te traes entre manos. Ya que estos repetidores son administrados por diferentes individuos u organizaciones, la distribución de la confianza provee más seguridad que el viejo abordaje del proxy de un solo salto.

Ten en cuenta, sin embargo, que hay situaciones en donde Tor falla en resolver estos problemas de privacidad completamente: mira abajo la entrada sobre ataques remanentes.

Como se mencionó arriba, para un observador que te pueda ver tanto a ti como al sitio web de destino (o tu nodo de salida Tor) es posible relacionar los tiempos de tu tráfico a medida que entra en la red Tor, así como cuando sale. Tor no defiende contra tal modelo de amenaza.

En un sentido más limitado, ten en cuenta que si un censor o agencia policial tiene la habilidad de obtener observaciones específicas de partes de la red, es posible para ellos verificar una sospecha de que hablas regularmente con tu amigo observando el tráfico en ambos extremos, y correlacionando los tiempos de ese tráfico solamente. Pero como ya hemos visto, eso es útil sólo para verificar que las partes ya sospechadas de comunicarse entre ellas lo están haciendo. En la mayoría de los países, la sospecha requerida para obtener una orden de registro ya pesa más que lo que la correlación de tiempos pudiera proporcionar.

Es más, ya que Tor reutiliza circuitos para varias conexiones TCP, es posible asociar el tráfico anónimo y el que no lo es en un determinado nodo de salida, por lo que sé cuidadoso con qué aplicaciones ejecutas simultáneamente sobre Tor. Quizá incluso ejecuta clientes Tor separados para estas aplicaciones.

El nombre "Tor" puede referirse a varios componentes diferentes.

Tor es un programa que puedes ejecutar en tu ordenador y que te ayuda a mantenerte seguro en Internet. Te protege haciendo rebotar tus comunicaciones a través de una red distribuida de repetidores administrados por voluntarios de todo el mundo: evita que alguien que esté viendo tu conexión a Internet se entere de los sitios que visitas, y evita que los sitios que visitas se enteren de tu ubicación física. Este conjunto de repetidores voluntarios se llama la red Tor.

La forma en que la mayoría de la gente usa Tor es con el Navegador Tor que es una versión de Firefox que corrige muchos problemas de privacidad. Puedes leer más acerca de Tor en nuestra página acerca de.

El Proyecto Tor es una entidad sin ánimo de lucro que mantiene y desarrolla el programa Tor.

Tor es la red de enrutado en cebolla (the onion routing en inglés). Cuando estábamos comenzando el diseño e implementación de la nueva generación de enrutado en cebolla en 2001-2002, le decíamos a la gente que estábamos trabajando en enrutado en cebolla, y nos decían: "Genial. ¿Cual de ellas?" A pesar de que el enrutado en cebolla se ha convertido en un término de uso interno, Tor nació del proyecto de enrutado cebolla del laboratorio de investigación de la marina.

(También tiene un significado interesante en alemán y turco)

Nota: a pesar de que su origen es un acrónimo, Tor no se escribe "TOR". Solo la primera letra va en mayúscula. De hecho, normalmente podemos distinguir a la gente que no ha leído nada de nuestro sitio web (y por el contrario han aprendido todo lo que saben de Tor a través de la prensa) por el hecho de que lo escriben mal.

No. Necesitas usar otro programa que conozca tu protocolo y/o aplicación y sepa como hacerlo. El Navegador Tor intenta mantener los datos a nivel de aplicación, como por ejemplo la versión del navegador que estás usando, iguales para todos los usuarios. No obstante, el Navegador Tor no puede hacer nada con el texto que ingresas en formularios.

Un proveedor típico de proxy configura un servidor en algún lugar de internet y te permite usarlo para reenviar tu tráfico. Esto crea una arquitectura sencilla y fácil de mantener. Todos los usuarios entran y salen por el mismo servidor. El proveedor puede cobrar por el uso del proxy, o financiarse mediante publicidad en el servidor. En su versión más sencilla, no tienes que instalar nada. Simplemente tienes que configurar tu navegador con los datos del proxy. Los proveedores de proxy sencillos son una solución adecuada si no necesitas la protección de tu privacidad ni de tu anonimato en Internet, y te fías del proveedor. Algunos proveedores de proxy sencillo usan SSL para proteger tu conexión con ellos, lo cual te protege contra adversarios cercanos, como los que pueda haber en cibercafés con wifi abierta.

Además, los proveedores de proxy sencillo crean un punto único de fallo. El proveedor sabe quién eres y qué páginas visitas. Pueden ver tu tráfico mientras pasa a través de su servidor. En algunos casos, pueden ver tu tráfico cifrado mientras lo encaminan hacia tu banco o tienda virtual. Tienes que confiar en que el proveedor no está examinando tu tráfico, inyectando sus propios anuncios en tu tráfico o registrando tus datos personales.

Tor encamina tu tráfico a través de al menos 3 servidores diferentes antes de mandarlo a su destino. Como hay una capa de cifrado para cada uno de los tres repetidores, alguien examinando tu conexión a internet no puede modificar ni leer lo que estás enviando a la red Tor. Tu tráfico va cifrado entre el cliente Tor (en tu ordenador) y allá donde termina en algún lugar del mundo.

¿No puede el primer servidor ver quien soy?

Es posible. Un primer servidor malicioso de estos tres puede ver tráfico Tor cifrado proveniente de tu computadora. Eso no le permite conocer quién eres y qué estás haciendo a través de Tor. Solamente ve "esta dirección IP está usando Tor". De todas formas estás protegido frente a la posibilidad de que este nodo sepa quién eres o qué sitios visitas.

¿No puede el tercer servidor ver mi tráfico?

Es posible. El tercer de los servidores puede ver el tráfico que envías a Tor. No verá quién envió ese tráfico. Si estás usando cifrado (como HTTPS), solamente sabrá el destino. Mira este gráfico de Tor y HTTPS para entender cuál es la relación entre Tor y HTTPS.

Sí.

Tor es software libre. Esto significa que tienes derecho a distribuirlo, modificado o sin modificar, a cambio de una compensación económica o de forma gratuita. No necesitas pedirnos permiso explícitamente.

No obstante, si quieres distribuir Tor, debes respetar nuestra licencia. Resumiendo, esto significa que debes incluir el archivo LICENSE de nuestra licencia con la parte de Tor que estés distribuyendo.

De todas formas hemos de decir que la mayoría de gente que nos pregunta por esto, no quiere distribuir Tor de forma aislada. Normalmente quieren distribuir el Navegador Tor. Esto incluye Firefox Extended Support Release y la extensión NoScript. También deberás tener en cuenta las licencias de esos programas. Ambas extensiones están distribuidas bajo las condiciones de la licencia pública general GNU, mientras que la versión con soporte extendido de Firefox se distribuye bajo las condiciones de la licencia pública Mozilla. La forma más sencilla de no quebrantar dichas licencias es incluyendo el código fuente de esos programas en cualquier lugar donde incluyas el paquete propiamente dicho.

Además, tienes que asegurarte de que no confundes a tus lectores sobre lo que es Tor, quién lo hace o las funcionalidades que proporciona (o las que no proporciona). Consulta nuestras preguntas frecuentes al respecto para más detalles.

Hay muchos programas que funcionan con Tor, pero no hemos investigado las implicaciones en el anonimato en todos ellos lo suficientemente a fondo para estar en posición de hacer recomendaciones. Nuestra wiki contiene una lista (mantenida por la comunidad) de instrucciones para "Torificar" aplicaciones específicas. ¡Por favor, contribuye a dicha lista y ayúdanos a mantenerla relevante!

La mayoría de gente usa el Navegador Tor, que incluye todo lo necesario para navegar por la web de forma segura con Tor. Usar Tor con otros navegadores es peligroso y no se recomienda.

De ninguna manera. No hay una puerta trasera en Tor.

Conocemos a algunos abogados inteligentes que dicen que es poco probable que alguien intente obligarnos a añadir uno en nuestra jurisdicción (Estados Unidos). Si alguien nos lo pidiera, nos opondríamos y (los abogados opinan que) ganaríamos.

Nunca pondremos una puerta trasera en Tor. Creemos que poner una puerta trasera en Tor sería tremendamente irresponsable para con nuestros usuarios y un mal precedente para el software de seguridad en general. Si alguna vez pusieramos una puerta trasera de forma deliberada en nuestro software, eso arruinaría nuestra reputación como profesionales. Nadie volvería a confiar en nuestro software. ¡Y con razón!

Dicho lo cual, todavía quedan muchos ataques ingeniosos que la gente podría probar. Alguien podría suplantar nuestra identidad, o entrar sin permiso en nuestros sistemas informáticos, o algo por el estilo. Tor es de código abierto y siempre deberías comprobar el código fuente (o al menos los cambios respecto a la versión anterior) en busca de cosas sospechosas. Si nosotros (o los distribuidores que te dieron Tor) no te damos acceso al código fuente, es una señal de que algo no va bien. También deberías comprobar las firmas PGP de las ediciones (releases) de Tor, para asegurarte de que nadie ha manipulado los sitios de descarga de Tor.

Aparte, puede haber errores (bugs) en Tor que podrían afectar a tu anonimato. De vez en cuando encontramos (y arreglamos) errores relativos a (la pérdida de) anonimato, así que asegúrate de mantener Tor actualizado.

Tor (como todos los diseños prácticos de anonimato de baja latencia actuales) falla cuando el atacante puede ver ambos extremos del canal de comunicación. Por ejemplo, supón que el atacante controla u observa el repetidor Tor que eliges para ingresar a la red, y también controla u observa el sitio web que visitas. En este caso, la comunidad de investigación no conoce un diseño de baja latencia práctico que pueda detener confiablemente al atacante para que correlacione el volumen y tiempo de la información en ambos lados.

Entonces, ¿qué deberíamos hacer? Supón que el atacante controla, o puede observar, C repetidores. Supón que hay N repetidores en total. Si seleccionas nuevos repetidores de entrada y salida cada vez que usas la red, el atacante será capaz de correlacionar todo el tráfico que envías con una probabilidad de cerca de (c/n)2. Pero el perfilado es, para la mayoría de los usuarios, tan malo como ser rastreado todo el tiempo: quieren hacer algo a menudo sin ser notados por un atacante, y que el atacante los note una vez es tan malo como el atacante notándolos más a menudo. Por lo tanto, elegir muchas entradas y salidas al azar no le da al usuario la chance de escapar el perfilado por parte de esta clase de atacante.

La solución son los "guardianes de entrada": cada cliente Tor selecciona unos pocos repetidores al azar para usar como puntos de entrada, y usa solamente esos repetidores para su primer salto. Si esos repetidores no son controlados u observados, el atacante no puede ganar, nunca, y el usuario está seguro. Si esos repetidores son observados o controlados por el atacante, éste ve una fracción más grande del tráfico del usuario - pero aún así el usuario no es más perfilado que antes. Por lo tanto, el usuario tiene alguna chance (en el orden de (n-c)/n) de evitar el perfilado, mientras que antes no tenía ninguna.

Puedes leer más en Un Análisis de la Degradación de Protocolos Anónimos, Defendiendo las Comunicaciones Anónimas En Contra de los Ataques de Registro Pasivo, y especialmente Localizando Servidores Ocultos.

Restringir tus nodos de entrada también podría ayudar en contra de atacantes que quieren mantener unos pocos nodos Tor y enumerar fácilmente todas las direcciones IP de los usuarios de Tor. (Aunque no puedan tomar conocimiento de con qué destinos están hablando los usuarios, aún podrían ser capaces de hacer malas acciones con solo una lista de usuarios.) Sin embargo, esa característica no se volverá realmente útil hasta que cambiemos también a un diseño de "guardián de directorio".

Tor usa una variedad de claves diferentes, con tres objetivos en mente: 1) cifrado, para asegurar la privacidad de los datos dentro de la red Tor, 2) autenticación, para que los clients sepan que están hablando con los repetidores con los cuales querían hablar, y 3) firmas, para asegurarse de que todos los clientes conozcan el mismo conjunto de repetidores.

Cifrado: primero, todas las conexiones en Tor usan cifrado de vínculo TLS, de manera que los observadores no puedan mirar dentro para ver a qué circuito está destinada una celda dada. Aún más, el cliente Tor establece una clave de cifrado efímera con cada repetidor en el circuito; estas capas extra de cifrado significan que solamente el repetidor de salida puede leer las celdas. Ambos lados descartan la clave del circuito cuando éste termina, por lo que registrar el tráfico y después ganar acceso al repetidor para descubrir la clave no funcionará.

Autentificación: Cada repetidor Tor tiene una clave pública de descifrado llamada "clave onion". Cada repetidor rota su clave onion una vez cada cuatro semanas. Cuando el cliente Tor establece circuitos, en cada paso demanda que el repetidor Tor pruebe el conocimiento de su clave onion. De esa manera, el primer nodo en la ruta no puede fraguar el resto de la ruta. Ya que el cliente Tor elige la ruta, puede asegurarse de obtener la propiedad de "confianza distribuída" de Tor: no hay un único repetidor en la ruta que pueda conocer tanto al cliente como lo que está haciendo.

Coordinación: ¿Cómo saben los clientes cuáles son los repetidores, y cómo saben que tienen las claves correctas para ellos? Cada repetidor tiene una clave pública de firmado de larga duración, llamada "clave de identidad". Cada autoridad de directorio, adicionalmente, tiene una "clave de firmado de directorio". Las autoridades de directorio proporcionan una lista firmada de todos los repetidores conocidos, y en esa lista hay un conjunto de certificados de cada repetidor (autofirmados por su clave de identidad) especificando sus claves, ubicaciones, políticas de salida y demás. Por lo que a menos que el adversario pueda controlar una mayoría de las autoridades de directorio (en 2022 hay 8 autoridades de directorio), no puede hacer caer al cliente Tor en el truco de usar otros repetidores Tor.

¿Cómo saben los clientes cuáles son las autoridades de directorio?

El software Tor viene con una lista incorporada de ubicaciones y claves públicas para cada autoridad de directorio. Por lo que la única manera de hacer caer a los usuarios en el truco de usar una red Tor falsa es darles una versión especialmente modificada del software.

¿Cómo saben los usuarios que tienen el software correcto?

Cuando distribuímos el código fuente o un paquete, lo firmamos digitalnebte con GNU Privacy Guard. Mira las instrucciones sobre cómo comprobar la firma del Navegador Tor.

Con el objeto de tener la certeza de que realmente está firmado por nosotros, necesitas habernos encontrado en persona y haber obtenido una copia de nuestra huella digital de clave GPG, o bien conocer a alguien que lo haya hecho. Si estás preocupado acerca de un ataque a este nivel, te recomendamos que te involucres con la comunidad de seguridad y empieces a encontrarte con gente.

Tor reusará el mismo circuito para nuevos streams TCP por 10 minutos, siempre y cuando esté funcionando bien. (Si el circuito falla, Tor conmutará a un nuevo circuito inmediatamente.)

Pero ten en cuenta que un único stream TCP (ej., una conexión IRC larga) permanecerá en el mismo circuito por siempre. No rotamos streams individuales de un circuito a otro. De lo contrario, un adversario con una vista parcial de la red dispondría de muchas oportunidades a lo largo del tiempo para vincularte a tu destino, en vez de solo una.