Hechos clave:
- Gracias a estos errores, proveedores de Internet podrían bloquear conexiones de Tor.
- El proyecto Tor niega la versión del investigador Neal Krawetz.
Dos vulnerabilidades podrían comprometer las conexiones al navegador enfocado en privacidad Tor. Se trata de problemas publicados por el investigador Neal Krawetz en días recientes.
Krawetz, quien corre nodos de Tor y tiene historial como investigador de vulnerabilidades en la red, expuso dos errores que podrían permitir a operadores de red detectar el tráfico y bloquear las conexiones de los usuarios a Tor.
En una publicación de blog del pasado 23 de julio, el investigador se refirió a la primera vulnerabilidad. En su texto, Krawetz describió cómo los proveedores de Internet podrían explotar una vulnerabilidad de Tor para impedir a los usuarios conectarse a través del navegador, haciendo posible censurar la conexión a la red.
Según su explicación, es posible hacer un escaneo a las conexiones y detectar una “firma de paquete distinta”, correspondiente a las conexiones de Tor. Con esa información, los proveedores de servicios o los gobiernos podrían bloquear las conexiones de Tor, alega Krawetz.
Krawetz reportó la segunda vulnerabilidad este 30 de julio, en una nueva publicación. En este texto, el especialista en ciberseguridad expuso otro error que permitiría la detección de conexiones a Tor.
A diferencia del primer caso, esta segunda vulnerabilidad ayudaría a la detección del tráfico en el navegador, pero a través de conexiones indirectas. Específicamente, la vulnerabilidad afectaría a los usuarios que se conectan a través de los puentes de Tor, un mecanismo para evadir bloqueos de acceso al navegador.
Atención a las vulnerabilidades en Tor
El investigador alega que se trata de dos vulnerabilidades de día-0 –no detectadas anteriormente o sin solución inmediata por el proyecto Tor-. Krawetz aseguró que no es la primera ocasión en que hace un reporte de vulnerabilidades que no son atendidas por los desarrolladores del navegador.
La respuesta de Tor niega esa versión. En un comunicado publicado vía Twitter, el proyecto aseguró que no se trata de vulnerabilidades desconocidas ni tampoco han pasado desapercibidas a sus esfuerzos de mejorar el sistema.
Específicamente sobre la vulnerabilidad de las conexiones por puentes, Tor explicó que explotar ese error no sería tan fácil ni tan efectivo como sugiere la publicación de Krawetz. Además, el comunicado expone que el investigador presenta sustentos que no apoyan realmente sus declaraciones.
Finalmente, desde el proyecto del navegador privado aseguró agradecer cualquier iniciativa de detección de errores en su sistema. Y en cuanto a los reportes de Krawetz, dicen que se trata de variables de vulnerabilidades conocidas, por lo que sería errado considerarlos como errores de día-0.
La privacidad es una de las preocupaciones constantes entre bitcoiners y entusiastas de las criptomonedas. Por ello, el proyecto Tor recibe gran parte de su apoyo de parte de esta comunidad. El propio proyecto sin fines de lucro ha expuesto que 20% de las donaciones que reciben son hechas con criptomonedas, como reportó CriptoNoticias en abril de este año.
