Un misterioso individuo o grupo, bautizado con el nombre de 'KAX17', lleva los últimos cuatro años conectando servidores maliciosos a la red Tor, convirtiéndolos en nodos (de entrada, medios y de salida) de la misma, en un momento en el que esta red se está quedando sin puentes ('bridges') para saltarse la censura.
Y según los expertos en ciberseguridad, todos los indicios hasta ahora señalan hacia que la misión de KAX17 es la de desanonimizar a los usuarios de Tor.
En su momento de mayor apogeo, KAX17 mantuvo activos y conectados a la red Tor un total de hasta 900 nodos, una cifra bastante considerable si tenemos en cuenta que la media diaria de nodos online en Tor se sitúa en torno a los 9.000-10.000.
Es decir, hasta el 10% de los nodos Tor llegaron a estar en manos de un actor malicioso y aún no identificado; en aquel momento, existía un 16% de probabilidades de que un usuario Tor se conectara a la red a través de uno de los servidores de KAX17… y un 35% de probabilidades de que su tráfico pasara por uno de sus nodos medios.
En palabras del experto Neal Krawetz a The Record, esta alta presencia de servidores se puede usar
"para identificar servicios ocultos, también para desvelar la identidad de los usuarios, especialmente si se cuenta con algún medio para rastrear el nodo medio, como la monitorización de servicios públicos comunes".
Y, aún así, tras haber proclamado la supresión de todos los nodos de salida en octubre de 2020, hace ahora un mes que los responsables del proyecto Tor afirmaron haber eliminado de la red 'cientos de servidores' vinculados a KAX17, a raíz de que el investigador en ciberseguridad 'Nusenu' denunciara en su blog la reaparición de KAX17.
Ni Nusenu ni el Proyecto Tor quieren especular sobre la identidad de quien esté detrás de KAX17: "Todavía estamos investigando", aclaraba ayer un portavoz del Proyecto Tor. El medio The Record, sin embargo, sostiene que
"todas las señales apuntan a un actor de amenazas de nivel nacional y bien dotado de recursos, que puede permitirse el lujo de alquilar cientos de servidores de alto ancho de banda en todo el mundo sin retorno financiero".
Sin embargo, Nusenu sostiene que KAX17 cometió al menos un error de seguridad operativa, repitiendo dirección e-mail tanto en la configuración de los nodos como a la hora de inscribirse en la lista de correo de Tor: en los debates llegó a posicionarse a favor de la supresión de sus propios servidores.
Nusenu también ha descartado que detrás de este individuo u actor malicioso no haya sino una mera investigación académica de los 'ataques Sybil', una técnica conocida por ser capaz de desanonimizar el tráfico Tor bajo ciertas condiciones.
Según argumenta, los investigadores académicos suelen planificar su labor como limitada en el tiempo (pero KAX17 ha estado activo desde 2017), no reemplazan los nodos de inmediato los eliminados por otros nuevos… y, en general, no necesitan recurrir a tácticas como éstas, porque el Proyecto Tor y la comunidad de investigadores suelen estar bastante bien conectados entre sí.
Fuente: Genbeta
¿Buscas dar el primer paso en tu formación dentro del campo de la Seguridad Informática? En EducaciónIT tenemos una amplia variedad de cursos y capacitaciones que te orientar y forman en distintos campos, brindándote contenido actualizado con la última tecnología. Conoce más de nuestros cursos de Seguridad Informática.