Hechos clave:
-
El atacante crea servidores maliciosos que capturan el tráfico de usuarios.
-
Una vez desvía a los usuarios, coloca direcciones de criptomonedas fraudulentas.
Un hacker está vulnerando la red Tor para robar las criptomonedas a los usuarios que navegan con este servidor, el cual se enfoca en la privacidad de las conexiones a Internet.
Según un reporte publicado esta semana, desde enero de 2020 el atacante ha estado usando diferentes técnicas para desviar el tráfico de los usuarios de criptomonedas hacia sitios web maliciosos, con el fin de apropiarse de sus fondos de manera fraudulenta.
A través de los llamados «exit relays«, logran sacar a los usuarios de la navegación privada dentro de Tor hacia la red pública de Internet. En lo que denomina como «SSL stripping attack«, los atacantes dirigen el tráfico del protocolo HTTPS (encriptado) a HTTP (texto simple), exponiendo la seguridad de los usuarios.
Así, fácilmente el atacante puede sustituir una dirección hash por una propia, causando que el usuario envíe sus criptomonedas a esta dirección falsa, propiedad del atacante.
Los ataques fueron denunciados originalmente por un investigador identificado bajo el pseudónimo Nusenu en agosto de 2020, quien entonces relató cómo el atacante logró controlar el 23% del total de puertos de salida de la red Tor, siendo contrarrestado por los administradores de esta red.
Sin embargo, el nuevo reporte señala que el hacker continuó y continúa ahora perpetrando estos ataques. De hecho, indica que en febrero de 2021 el atacante logró acaparar el 27% de los puertos de salida de Tor. Ahora, en fechas actuales, el atacante controlaría entre el 4% y el 6% de la red, insistiendo en su propósito malicioso.
Ante las medidas que el equipo de Tor ha asumido para contrarrestar estos ataques, el actor malicioso arremetió con todas sus fuerzas a principios de mayo de 2021 para realizar otro ataque, logrando añadir 1.000 servidores de salida adicionales a los cerca de 1.500 que, en promedio, se mantienen en la red Tor.
Tor: navegador privado pero no de máxima seguridad
Tor ha publicado recomendaciones para los usuarios de su navegador y de sus servidores para evitar ser víctimas de este tipo de ataque, mismas recomendaciones que pueden ser aplicadas por los usuarios de criptomonedas que usan este servicio enfocado en la privacidad.
En relación a este servicio y Bitcoin, como reportó CriptoNoticias, recientemente se lanzó la versión 3 (V3) de las direcciones .onion, nativas del servicio de Tor. Ya que los nodos de Bitcoin y algunas carteras y servicios pueden conectarse a Internet a través de esta ruta, y las versiones anteriores son actualmente vulnerables a varios tipos de ataques.
