TOR: Navegación anónima ¿segura?

Recientemente asaltaba los titulares de la prensa (digital y escrita) especializada en seguridad informática la noticia de las contraseñas publicadas en su blog por alguien apodado Egerstad (web cerrada posteriormente por el gobierno sueco). De entre los 100 usuarios y contraseñas publicados encontramos instituciones de varios países e inclusive datos de acceso al correo de algunos embajadores. Inicialmente no indicaba el medio para obtener este fruto, pero a día de hoy conocemos que fue gracias al sistema de navegación anónima TOR, aunque pudiera parecer paradójico.

Este alarmante suceso tiene una sencilla explicación. Si bien el medio utilizado para desarraigar la información entre emisor y receptor era un medio encriptado, el emisor de la comunicación (y perdonad que venga a mi mente un lustroso embajador leyendo atentamente su correo electrónico) no usaba una pasarela segura contra su servidor de correo, una simple capa SSL (https). TOR, como perfectamente define en su página web, una vez decide el camino a tomar, encripta toda la información entre origen y cada uno de los nodos por los que pase, excepto entre el nodo final y destino (al fin y al cabo el destino debe reconocer los datos que recibe). Esto hace ilegible la información si ésta se captura bien a la salida del emisor (haceros idea de lo ideal de ésta fórmula cuando la conexión se realiza desde una red WiFi compartida, y no quisiera acordarme de los puntos de acceso de los aeropuertos, verdaderos hangares de aficionados a lo ajeno), bien entre cualquiera de los nodos por el que discurre. Pero no es así si la captura se hace entre el último nodo y el receptor.

Proteger las comunicaciones SSL

Estamos por tanto ante otro mal asesoramiento técnico, en este caso recibido por estos organismos y embajadores. Si bien el canal TOR es perfectamente adecuado para cubrir con capas este delicado tráfico, olvidaron recordarles algo tan sencillo como el usar SSL a la hora de conectar con sus servidores de correo. Olvidaron recordarles que comprobaran el icono del candadito en su navegador. Menos mal que el sarcasmo no es compañero del periodismo técnico, ni del apodado Egerstad, y lo publicado han sido datos de organismos oficiales y embajadores, y no de profesionales del gremio de los cerrajeros. Por aquello del candado siempre cerrado…

Deja un comentario