Un estudio sobre la infraestructura de la Dark Web revela que una entidad desconocida tuvo el control de hasta un 27% de los nodos de salida de la red Tor en febrero de 2021.

De acuerdo al informe publicado este fin de semana, el porcentaje de nodos de salida maliciosos ha ido en aumento, llegando a superar en algunos momentos la cuarta parte de su totalidad. En el periodo analizado, correspondiente a los últimos 12 meses, no se ha detectado una cuota inferior al 14%.

Estos ataques contra la red Tor y sus usuarios dieron comienzo a principio de 2020, y fueron ya documentados y expuestos en agosto de ese año por el mismo investigador.

Tor es un proyecto de código abierto que permite la comunicación anónima en Internet. La red oculta el origen y destino de las conexiones, dirigiendo el tráfico a través de los nodos de la red, lo que dificulta la vigilancia por parte de terceros de la actividad de los usuarios. Existen dos tipos de nodos en la red Tor, internos y de salida. Los primeros participan en la comunicación dentro de la propia red, reenviando información a modo de enlace, mientras que los segundos permite que puedan accederse a páginas de Internet.

Los nodos de salida son el punto crítico de la red, ya que son el último nodo Tor por el que pasa el tráfico de red antes de salir a Internet. Es por esto que los operadores de estos nodos pueden, potencialmente, analizar y manipular todo el tráfico que circula por ellos.

La comunicación con protocolo HTTPS no se vería afectada, y si lo fuera el usuario sería consciente de ello con la consiguiente advertencia de su navegador. Sin embargo, si el navegador solicita inicialmente una página con protocolo no seguro, como HTTP, el operador del nodo de salida tendría la capacidad de evitar la redirección a HTTPS, evitando el cifrado del tráfico y permitiendo su alteración. Esta técnica se conoce como «SSL Stripping».

El objetivo de esta entidad de la que habla el informe, que llegó a tener el control de más de 1000 nodos de salida, parecen ser los usuarios de criptomonedas, concretamente los usuarios de servicios de mezclado, que buscan dificultar la trazabilidad de las mismas, al mezclarlas previamente con otras de diferente origen. El ataque consistiría en el reemplazo de las direcciones de Bitcoin o Ethereum, entre otras, por las del atacante, robando así las cantidades que el usuario fuese a intercambiar.

Para mitigar este tipo de ataques, el Proyecto Tor señaló una serie de recomendaciones, entre ellas instar a los administradores de sitios web a habilitar el protocolo HTTPS por defecto y desplegar sitios .onion para evitar los nodos de salida.

Más información
https://nusenu.medium.com/tracking-one-year-of-malicious-tor-exit-relay-activities-part-ii-85c80875c5df
https://thehackernews.com/2021/05/over-25-of-tor-exit-relays-are-spying.html
https://blog.torproject.org/bad-exit-relays-may-june-2020