{"id":2697,"date":"2024-09-24T00:54:35","date_gmt":"2024-09-24T05:54:35","guid":{"rendered":"https:\/\/zidrave.net\/?p=2697"},"modified":"2024-09-24T00:54:35","modified_gmt":"2024-09-24T05:54:35","slug":"darknet-los-investigadores-utilizaron-analisis-de-tiempo-para-desanonimizar-a-los-usuarios-de-tor","status":"publish","type":"post","link":"https:\/\/zidrave.net\/index.php\/2024\/09\/24\/darknet-los-investigadores-utilizaron-analisis-de-tiempo-para-desanonimizar-a-los-usuarios-de-tor\/","title":{"rendered":"Darknet: los investigadores utilizaron an\u00e1lisis de tiempo para desanonimizar a los usuarios de Tor"},"content":{"rendered":"\n

El archivo de prueba de Boystown contiene evidencia de un an\u00e1lisis de tiempo que puede usarse para desanonimizar a los usuarios de Tor. No hay remedio a la vista.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Seg\u00fan los expedientes de la investigaci\u00f3n, el an\u00e1lisis del tr\u00e1fico de datos jug\u00f3 un papel importante a la hora de desanonimizar al operador de la plataforma de pedo darknet Boystown. As\u00ed lo informa la revista pol\u00edtica Panorama. Los investigadores no aprovecharon un fallo de seguridad en el servicio de anonimizaci\u00f3n Tor, sino conexiones temporales para poder rastrear la ruta de los datos a trav\u00e9s de la red Tor hasta el destinatario.<\/p>\n\n\n\n

Para mantener el anonimato de los usuarios del navegador Tor, la conexi\u00f3n se cifra al menos tres veces y se enruta a trav\u00e9s de Internet a trav\u00e9s de tres servidores diferentes antes de llegar a su destino. Al principio se encuentra el llamado Nodo de Entrada, tambi\u00e9n llamado Entry Guard, al que el navegador Tor se conecta cifrado de extremo a extremo. S\u00f3lo este nodo conoce la verdadera direcci\u00f3n IP del usuario.<\/p>\n\n\n\n

Desde el nodo de entrada, el navegador Tor establece una conexi\u00f3n cifrada de extremo a extremo con otro nodo Tor, el llamado nodo intermedio. El nodo intermedio solo conoce la direcci\u00f3n IP del nodo de entrada, por lo que no sabe qu\u00e9 usuario est\u00e1 detr\u00e1s de \u00e9l. El nodo de entrada, a su vez, no sabe qu\u00e9 est\u00e1n discutiendo el usuario de Tor y el nodo intermedio, porque solo ve la comunicaci\u00f3n cifrada entre el usuario de Tor y el nodo intermedio.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

El navegador Tor contacta al menos con otro nodo, el nodo de salida, a trav\u00e9s del nodo intermedio. Sin embargo, el nodo intermedio no puede leer los datos porque la conexi\u00f3n entre el usuario de Tor y el nodo de salida tambi\u00e9n est\u00e1 cifrada de extremo a extremo. El nodo de salida, a su vez, no sabe d\u00f3nde est\u00e1 el usuario porque s\u00f3lo conoce la direcci\u00f3n IP del nodo intermedio. S\u00f3lo el nodo de salida establece la conexi\u00f3n (con suerte cifrada mediante HTTPS) con el sitio web de destino. Si el objetivo es uno de los llamados servicios ocultos de la Darknet, los datos se enrutan a trav\u00e9s de tres nodos Tor adicionales y se cifran cada vez.<\/p>\n\n\n\n

Al conectarse en cascada al menos tres veces, el nodo de entrada conoce al usuario, pero no tiene idea de para qu\u00e9 est\u00e1 usando la red Tor. El nodo intermedio es esencialmente el que menos idea tiene; no conoce el origen de los paquetes de datos ni el destino ni el prop\u00f3sito; es simplemente un intermediario entre los nodos de entrada y salida; El nodo de salida, por otro lado, sabe hacia d\u00f3nde fluyen los datos, pero no tiene idea de qui\u00e9n es el originador.<\/p>\n\n\n\n

Adem\u00e1s, el navegador Tor reemplaza los nodos intermedio y de salida como m\u00e1ximo despu\u00e9s de diez minutos, para que las conexiones no puedan rastrearse durante un per\u00edodo de tiempo m\u00e1s largo. Esto hace que sea muy dif\u00edcil para los investigadores descubrir la identidad de los usuarios de Tor.<\/p>\n\n\n\n

Flujo de datos de un vistazo<\/h2>\n\n\n\n

Con el llamado an\u00e1lisis de correlaci\u00f3n, tambi\u00e9n conocido como an\u00e1lisis de tiempo, las autoridades aprovechan el hecho de que Tor es una red de baja latencia: los datos se transmiten en tiempo real, si es posible. El retraso suele ser tan peque\u00f1o que incluso puedes realizar transmisiones en vivo y chats en vivo a trav\u00e9s de Tor. Por ejemplo, si un usuario de Tor comienza a descargar un archivo grande, un investigador que observe el tr\u00e1fico del nodo de salida podr\u00eda ver un aumento correspondiente en el volumen de paquetes. Debido a la baja latencia, el tr\u00e1fico saliente a un servidor espec\u00edfico aumenta al mismo tiempo: el nodo intermedio quedar\u00eda expuesto sin que las autoridades pudieran acceder al nodo de salida o descifrar los datos.<\/p>\n\n\n\n

Tambi\u00e9n se podr\u00eda observar un aumento en el tr\u00e1fico entrante y saliente en el nodo medio en el mismo contexto temporal y, por lo tanto, se podr\u00eda determinar el nodo de entrada. Y en la siguiente etapa, anonimice usted mismo al usuario si logra observar el nodo de entrada. Con alrededor de 8.000 nodos Tor en todo el mundo, parece dif\u00edcil monitorear un n\u00famero relevante de conexiones temporales de este tipo.<\/p>\n\n\n\n

En comparaci\u00f3n con los chats en vivo y la mensajer\u00eda instant\u00e1nea, Tor es particularmente vulnerable debido a sus bajas latencias: un mensaje se transmite instant\u00e1neamente desde el remitente a trav\u00e9s del nodo Tor al destinatario. Seg\u00fan Panorama, esto es exactamente lo que supuestamente aprovecharon las autoridades en el caso Boystown al comunicarse con el presunto operador a trav\u00e9s del software de chat Ricochet, que cifra los datos y los transmite de forma an\u00f3nima a trav\u00e9s de la red Tor.<\/p>\n\n\n\n

Dado que los investigadores, como creadores, sab\u00edan exactamente cu\u00e1ndo enviaban un nuevo mensaje, fue suficiente monitorear unos cientos de nodos Tor para detectar simult\u00e1neamente paquetes de datos entrantes de tama\u00f1o similar, probablemente porque las autoridades alquilaron un n\u00famero correspondiente de r\u00e1pidos y bien equipados. -Servidores conectados y utiliz\u00e1ndolos como nodos Tor Put en la red. Dado que el navegador Tor cambia los nodos de salida y medio cada pocos minutos y favorece los nodos de baja latencia y alto ancho de banda, era s\u00f3lo cuesti\u00f3n de tiempo antes de que su interlocutor Ricochet usara el nodo Tor de los investigadores como nodo medio. De esta manera podr\u00eda determinar el nodo de entrada.<\/p>\n\n\n\n

Para obtener la direcci\u00f3n IP del sospechoso, habr\u00edan tenido que redirigirlo a uno de los nodos de entrada de los investigadores o monitorear o tomar control del nodo que estaba usando. Debido a ataques anteriores en los que los usuarios de Tor cambiaron r\u00e1pidamente los nodos de entrada a nodos controlados por los atacantes y luego quedaron expuestos, el navegador Tor ahora usa el mismo nodo de entrada durante varios d\u00edas a varias semanas, raz\u00f3n por la cual ahora se lo conoce como Entry Guard. . Podr\u00edan pasar meses hasta que el sospechoso del caso Boystown sea transferido a un guardia de entrada controlado por las autoridades.<\/p>\n\n\n\n

Direcciones IP monitoreadas<\/h2>\n\n\n\n

Todav\u00eda no est\u00e1 claro d\u00f3nde, pero los investigadores aparentemente sab\u00edan que el sospechoso utilizaba O 2 como proveedor de Internet. Por eso eligieron un enfoque diferente: bas\u00e1ndose en el an\u00e1lisis de correlaci\u00f3n del nodo central, ya hab\u00edan descubierto la direcci\u00f3n IP del guardia de entrada y pod\u00edan esperar que el sospechoso continuara us\u00e1ndola en los pr\u00f3ximos d\u00edas y semanas. Entonces, la pr\u00f3xima vez que el sospechoso de Ricochet est\u00e9 en l\u00ednea, todo lo que tuvieron que hacer fue pedirle a Telef\u00f3nica las direcciones de todos los clientes de O 2 que estaban actualmente conectados a este mismo Entry Guard. El resultado puede haber sido una lista bastante corta.<\/p>\n\n\n\n

Esto est\u00e1 lejos de ser una prueba de que una de las personas sea el operador de Boystown. Sin embargo, limitarlo a unas pocas personas permite a las autoridades concentrar sus investigaciones. El contacto con el guardia de entrada o el momento de los paquetes de datos son, en el mejor de los casos, una peque\u00f1a indicaci\u00f3n. La captura del perpetrador sigue siendo un trabajo policial cl\u00e1sico: el an\u00e1lisis de correlaci\u00f3n s\u00f3lo ayud\u00f3 a descartar a unos pocos sospechosos entre los miles de usuarios de Tor en todo el mundo.<\/p>\n\n\n\n

El m\u00e9todo de an\u00e1lisis de correlaci\u00f3n se conoce desde hace mucho tiempo; se dice que jug\u00f3 un papel en la incautaci\u00f3n del Darknet Forum Germany en la Deep Web (DiDW) en 2017. En aquella \u00e9poca, cada d\u00eda se produc\u00edan fallos de conexi\u00f3n de servicios ocultos reveladores, que resultaban ser desconexiones forzadas DSL del acceso a Internet del operador . c’t tampoco inform\u00f3 en detalle en el n\u00famero 22\/2017 sobre el m\u00e9todo y el papel crucial que desempe\u00f1a el nodo intermedio en los ataques de correlaci\u00f3n.<\/p>\n\n\n\n

Dif\u00edcil encontrar una soluci\u00f3n r\u00e1pida<\/h2>\n\n\n\n

Ser\u00e1 dif\u00edcil hacer que la red Tor sea m\u00e1s robusta contra este tipo de ataques de correlaci\u00f3n. Si hubiera m\u00faltiplos de los 8.000 nodos Tor actuales, los atacantes e investigadores necesitar\u00edan muchos m\u00e1s servidores para ser seleccionados por el sospechoso con suficiente probabilidad. Sin embargo, el mayor problema en el an\u00e1lisis de tiempos es la baja latencia, lo que hace que la red Tor sea atractiva para los usuarios. De esta manera, los nodos podr\u00edan recopilar paquetes de datos, comprimirlos o enmascararlos con datos aleatorios adicionales, de modo que no todos los paquetes de datos entrantes sean inmediatamente reconocibles como paquetes salientes de casi el mismo tama\u00f1o.<\/p>\n\n\n\n

Los usuarios de Tor deben asegurarse de utilizar la menor cantidad posible de aplicaciones en tiempo real, ya que son particularmente susceptibles al an\u00e1lisis de correlaci\u00f3n. No existe una protecci\u00f3n general porque incluso un servicio oculto comprometido podr\u00eda dividir im\u00e1genes y otros datos en paquetes de tama\u00f1os muy espec\u00edficos o enviarlos en intervalos de tiempo espec\u00edficos, generando as\u00ed una se\u00f1al caracter\u00edstica que los investigadores pueden rastrear f\u00e1cilmente a trav\u00e9s de la web oscura.<\/p>\n\n\n\n

A largo plazo, el proyecto Tor tendr\u00e1 que pensar en una soluci\u00f3n. Los investigadores estatales no siempre buscan encontrar delincuentes ped\u00f3filos. En algunos pa\u00edses, son los pol\u00edticos de la oposici\u00f3n, los disidentes o simplemente las personas que piensan diferente los que son perseguidos en la red oscura y, en el peor de los casos, pagan con su vida un anonimato inadecuado.<\/p>\n","protected":false},"excerpt":{"rendered":"

El archivo de prueba de Boystown contiene evidencia de un<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"ngg_post_thumbnail":0,"footnotes":""},"categories":[2377,3619],"tags":[6688,2243,6375,1664,1723,1702,6685,3794,6686,6687,6682,3574,6681,702,6684,6372,1758,6683,6680],"class_list":["post-2697","post","type-post","status-publish","format-standard","hentry","category-ciberseguridad","category-web","tag-amenazas-a-la-privacidad","tag-analisis-de-datos","tag-analisis-de-tiempo","tag-anonimato","tag-cibercrimen","tag-ciberseguridad","tag-criminalidad-en-la-darknet","tag-darknet","tag-desanonimizacion","tag-investigadores","tag-metodos-de-investigacion","tag-privacidad-en-linea","tag-redes-ocultas","tag-seguridad-informatica","tag-tecnicas-forenses","tag-tor","tag-trafico-de-drogas","tag-usuarios-de-tor","tag-vigilancia-digital"],"_links":{"self":[{"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/posts\/2697","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/comments?post=2697"}],"version-history":[{"count":1,"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/posts\/2697\/revisions"}],"predecessor-version":[{"id":2699,"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/posts\/2697\/revisions\/2699"}],"wp:attachment":[{"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/media?parent=2697"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/categories?post=2697"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/tags?post=2697"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}