7: Modelo de amenazas y consideraciones legales
Ahora que ya sabemos qué es Tor y cómo podemos participar dentro de su ecosistema, es importante conocer los riesgos potenciales que podemos correr al utilizar esta tecnología en sus diferentes niveles.
Los aspectos más importantes a considerar en términos de responsabilidades al utilizar Tor como tecnología, se pueden dividir en dos:
1. La legalidad del uso de Tor como tecnología de anonimato
Es posible en algunos contextos (nacionales o incluso locales) se prohiba o criminalice el uso de tecnologías de anonimato o cifrado como Tor, esto aplica tanto para navegar utilizando el navegador de Tor o aplicaciones que funcionan sobre Tor como al operar nodos dentro de la red.
En algunas regiones esta prohibición se ejerce generalmente a través de leyes que prohiban el anonimato y/o el cifrado y en contextos locales (oficinas, centros educativos, redes de interés públicos, etc.) mediante controles tecnicos que no permitan el tráfico que parezca ser de Tor u otras herramientas de anonimato o de evasión de bloqueos.
2. El descubrimiento de los datos que se transmiten a través de Tor y la legalidad de la naturaleza de las actividades realizadas usando la red
Parte de la idea de utilizar Tor es poder utilizar internet mientras protegemos nuestra identidad, entonces asumimos que al utilizar Tor/Tor Browser ya estaríamos protegidos. El problema con esta afirmación recae en que el anonimato que ofrece Tor también depende de otros aspectos, por ejemplo:
Existen varios factores ajenos al uso de Tor que pueden comprometer nuestra identidad al usar la red, por ejemplo el código de algunos sitios que pueden emplear técnicas de localización que se salten las características que Tor ofrece para proteger nuestra identidad.
La confianza que tengamos en que la tecnología no será vulnerada
Toda la tecnología es suceptible de ser intervenida o vulnerada, y aunque Tor ha resultado ser una tecnología robusta y confiable, no significa que sea la excepción, ante el caso de que en algún momento alguien consiga romper las caracteristicas de seguridad de Tor o alguno de sus componentes, la información que se transmite a través de la red estaría potencialmente comprometida.
En el caso en que la información que se transmita dentro de la red tor pueda ser revisada por terceras partes, cualquier consecuencia que podamos experimentar, como criminalización, infracción de leyes o atención indeseada por factores interesados en nuestro tráfico estarán inevitablemente vinculados a la actividad que estamos realizando a través de la red Tor. Para analizar los riesgos en estos casos es necesario hacer un estudio propio de las actividades que queríamos proteger en primer lugar, algunos recursos recomendados para hacer este análisis de riesgo son:
En el caso de operar nodos, es importante diferenciar los riesgos según el tipo de nodo que estemos operando. Para nodos de entrada, medios y de puente, el único tráfico particular que se manejaría sería de Tor, y no deberíamos saber ni siquiera las actividades que se están realizando a través de este tráfico o la ruta completa de la comunicación. El caso con los nodos de salida es muy diferente, ya que representan el punto en donde las comunicaciones dejan de estar cifradas y salen a sus destinos finales, en este caso hay que tener claro que el tráfico, así como las actividades que de el se pueden deducir seran completamente visibles para nuestro proveedor de servicio, red interna, entes reguladores y para los puntos finales a los que se dirigen las comunicaciones del nodo que operamos, pudiendo generar consecuencias negativas que dependerán de cada región y de la naturaleza del tráfico que sale por el nodo.
Además del trafico que se maneja en los nodos de la red Tor como indicadores de riesgos potenciales, para los nodos de entrada, medios y salida existe otro factor aconsiderar: estos nodos están listado de forma pública en el directorio de nodos de Tor, el cual muestra información tal como las direcciones IP de los nodos, permitiendo la potencial asociación de estos con las personas e instituciones que los operan. Si en nuestro modelo de amenazas resulta riesgoso que se sepa que operamos un nodo Tor, puede ser más conveniente configurarlo como un nodo de puente, el cual no aparece en el directorio público de nodos y por esto es más dificil de obtener la información que puede asociarlo con nosotros como operadores.
En líneas generales los riesgos asociados al uso de la Tor como tecnología e infraestructura son los descritos anteriormente, de igual manera, a continuación hablamos de los riesgos específicos dependiendo del rol que tengamos en la operación de la red Tor.
Riesgos potenciales al usar el navegador de Tor y ejecutar servicios usando la red Tor
- El anonimato no está garantizado sin ciertas medidas: Por ejemplo, si utilizamos una cuenta en una red social atada a nuestra identidad y publicamos algo en ella usando la red tor, nuestra identidad seguirá atada a la publicación. Incluso si realizamos una publicación a través de la red tor en una cuenta no atada a nuestra identidad, si un adversario con la suficiente determinación y poder puede determinar que estabamos usando la red Tor en el mismo momento de la publicación, pudiera asociarnos con el contenido publicado. Un tercer ejemplo puede ser que aún utilizando Tor con ciertas medidas de seguridad si permitimos la ejecución de cierto código Javascript, los sitios a los que nos conectamos pudieran tener suficiente información como para identificarnos.
- Monitoreo de nodos de salida: Dado que en los nodos de salida la información de la red Tor se descifra y se envía a sus destinos finales, teóricamente si alguien está monitoreando este tráfico, y los datos ya no utilizan cifrado o los metadatos correspondientes son losuficientemente comprometedores, el ente realizando el monitoreo pudiera potencialmente identificarnos.
- Criminalización y/o prohibición del uso de Tor: Generalmente, el tráfico de Tor puede ser identificado al analizar una conexión a internet, si en nuestra región el uso de este tipo de herramientas está prohibido por ley o criminalizado puede traernos problemas legales, o en el caso en que el uso de Tor sea legal, pero a algún adversario poderoso le interesa que no utilicemos Tor, o al darse cuenta que lo utilizamos nos volvemos un objetivo de interés, ser detectados puede traernos otro tipo de problemas. En este tipo de casos la sugerencia siempre será evaluar nuestro modelo de amenazas antes de utilizar Tor.
Riesgos potenciales de operar un nodo Tor
Dependerán del tipo de nodo y el contexto legal, judicial y extrajudicial, algunas consideraciones son:
Para nodos medios y de entrada
- Criminalización y/o prohibición del uso de Tor: Generalmente, el tráfico de Tor puede ser identificado al analizar una conexión a internet, si en nuestra región el uso de este tipo de herramientas está prohibido por ley o criminalizado puede traernos problemas legales, o en el caso en que el uso de Tor sea legal, pero a algún adversario poderoso le interesa que no utilicemos Tor, o al darse cuenta que lo utilizamos nos volvemos un objetivo de interés, ser detectados puede traernos otro tipo de problemas. En este tipo de casos la sugerencia siempre será evaluar nuestro modelo de amenazas antes de utilizar Tor.
- Divulgación de la dirección pública: Al operar un nodo de tor necesitamos comunicarle a la red nuestra dirección IP y algunos otros datos de nuestro nodo (también incluyendo información de contacto) para su publicación en un directorio accesible a cualquier usuario de Tor, esto puede generar la asociación directa del nodo con nosotros, si esta asociación puede resultar problemática para nosotros, la primera recomendación puede ser configurar el nodo como puente, los cuales no aparecen en el directorio público de nodos, sino cuando son solicitados por aquellos clientes que necesitan conectarse a estos nodos de puente. Otra recomendación puede ser evaluar si de verdad es conveniente para nosotros operar un nodo tor, especialmente si estamos en un contexto en el que resultaría riesgoso.
Para nodos de salida
- Las mismas consideraciones que para los nodos de entrada y medios
-
Responsabilidad sobre el tráfico saliente: Dado que en los nodos de salida el tráfico de la red Tor es descifrado y transformado en tráfico de internet habitual, algunos actores que pudieran perjudicarnos dependiendo del tráfico que estemos ayudando a dirigir a través de nuestro nodo pudieran ver estos datos:
- De cara al proveedor de acceso a internet: Por ejemplo, nuestro proveedor pudiera tener restricciones para acceder a cierto tipo de contenidos o servicios, que en caso de ser consultados a través del nodo pueden causar que nos reporten como usuarios abusivos o que incluso nos bloqueen nuestra conexión a internet, dependiendo de los mecanismos de sanción que disponga el proveedor de foa interna y por regulaciones legales.
- De cara a los gobiernos y a los organismos de seguridad: De forma similar a los proveedores de acceso a internet, algunos gobiernos y cuerpos de seguridad pudieran tener acceso al tráfico de datos de nuestro nodo mediante órdenes judiciales o incluso de forma directa (legal o ilegalmente según cada caso), pudiendo evaluar si las actividades que se realizan a través del nodo son o no legales, en algunos casos, se puede determinar que nosotros como operadores somos los responsables de cualquier actividad potencialmente ilegal que se haga a través del nodo de salida. Nencesitamos evaluar muy bien el contexto legal al respecto en nuestro país para entender bien si a efectos legales somos o no responsables de las actividades que se realicen a través del tráfico del nodo de salida que operemos.
- De cara a los servicios de destino del tráfico: Los servidores de destino del tráfico, así como sus administradores no solo reciben todos los datos como si vinieran de una conexión habitual, sino que además, pueden saber que estan siendo accedidos desde la red Tor, especialmente por saber la aparente dirección IP de origen, pudiendo tomar ciertas acciones al respecto, como bloquearnos para establecer conexión con ellos (algunos sitios web bloquean su acceso desde la red tor) o colocarnos alertas de seguridad, asumiendo nuestro tráfico como sospechoso al ser usado para establecer conexiones de diferentes usuarios registrados en varias parte del mundo por ejemplo.
- Posibles ataques: Dado que la dirección IP del nodo de salida es pública y que muchos servicios pueden estar interactuando con el nodo, este es suceptible a llamar la atención por parte de atacantes que quieran afectar el funcionamiento del nodo o que quieran controlarlo para poder revisar su tráfico de datos, pensando en esto es importante configurar el nodo de salida de la mejor forma posible, minimizando tanto como se pueda la posibilidad de ataques y vulnerabilidades, por ejemplo manteniendo el sistema en donde opera el nodo actualizado en todo momento y minimizando la cantidad de servicios innecesarios instalados entre otras recomendaciones.
Para nodos de puente
- Las mismas consideraciones que para nodos de entrada y medios a excepción de los riesgos por la divulgación de la dirección IP del nodo, ya que esta no aparece en el directorio público de nodos de Tor disponible para todos los usuario de la red. Esto no significa que la dirección IP del nodo de puente no se pueda determinar, sino que resulta mucho más incómodo e inconveniente obtenerla por la misma naturaleza de la distribución de esta información a los usuarios que la solicitan. Basicamente aquellos usuarios que requieren utilizar nodos de puente solicitan una lista reducida aleatoria de estos para evitar el filtrado de la lista completa, sin embargo, algunos atacantes se hacen pasar por usuarios que necesitan nodos de puente y recolectan tantas direcciones de nodos de puente como sean recibidas para bloquear estas direcciones o realizar ataques, siendo esta práctica común en gobiernos represivos que bloquean el uso de Tor y tienen el nivel de sofisticación y recursos para llevar a cabo este flujo de trabajo.
Para servicios onion
- Las mismas consideraciones que para nodos de entrada y medios
- La interacción del equipo con servicios externos: Posiblemente el equipo que mantiene el servicio onion puede tener otras interacciones con internet que pueden potencialmente revelar información sobre el servicio onion que se está ejecutando, se recomienda estudiar estas interacciones y minimizarlas tanto como sea posible, por ejemplo pasándolas también por la red Tor.
- Riesgos asociados al equipo físico: En caso de que algun atacante tenga acceso físico al equipo que está corriendo el servicio onion, posiblemente puede consultar los datos que maneja la aplicación correspondiente, con las consecuencias que esto puede traer, esto aplica para robos, hurtos, confiscación o acceso no autorizado al espacio físico en donde opera el equipo con el servicio onion.
- Posibles ataques: Generalmente a través de la dirección .onion que está asociada al equipo, en este caso se recomienda minimizar la superficie de ataque, como sólo habilitar los puertos necesarios para el correcto funcionamiento de la aplicación que se ejecute en el equipo, entre otras medidas.
¿Qué dice la ley sobre usar Tor?
En principio depende del país, en cada jurisdicción existen diferentes marcos legales que pueden afectar el uso de Tor Browser u operar nodos de entrada, medios, de salida o puente, así como operar servicios onion, la mejor recomendación es chequear minusciosamente la normativa vigente en nuestros países para estar seguros de que podemos formar parte de la red Tor sin mayores consecuencias legales. Algunas preguntas que pueden ayudar a dirigir mejor esta investigación son:
- ¿Es legal usar herramientas que brinden anonimato?
- ¿Es legal usar herramientas que cifren nuestras comunicaciones?
- ¿Somos responsables abolutos del tráfico de datos que se genera en nuestras conexiones contratadas de internet? Esta pregunta es particularmente útil si deseamos operar nodos de salida
- ¿Es legal operar servicios o aplicaciones que funcionen de manera anónima? Esta pregunta es de especial importancia si queremos operar un servicio onion y tememos que pueda ser descubierto y asociado a nosotros como administradores.