1 puntos por GN⁺ 2025-08-10 | 1 comentarios | Compartir por WhatsApp
  • Tor nació como una investigación militar y hoy cumple una función de infraestructura clave para la privacidad digital
  • La técnica de Onion routing para la protección de los metadatos de red se convirtió en la base de Tor
  • A través de la colaboración entre el ejército de EE. UU. y el grupo de hackers ciberpunk, evolucionó hacia una plataforma de anonimato utilizada por el público general
  • En el conflicto continuo entre protección de la privacidad y seguridad pública, se vuelve evidente la necesidad de herramientas como Tor
  • Se destaca el papel de Tor como alternativa frente a los riesgos sociales de una infraestructura de control y vigilancia centralizados

Orígenes y evolución de Tor

  • Tor comenzó como un proyecto del Laboratorio de Investigación Naval de EE. UU. (NRL) y hoy se ha consolidado como una tecnología central para la protección de la privacidad
  • Tor permite anonimizar la identidad del usuario mediante una red de servidores distribuidos y el Tor Browser
  • Con esta red, el tráfico del usuario se enruta y cifra de forma compleja a través de servidores en varios países, lo que dificulta su seguimiento y censura

Auge del dark web y la tecnología de privacidad

  • Las tecnologías de privacidad como Tor son la base de la sociedad digital y, junto con VPN, mensajería cifrada como WhatsApp y diversas tecnologías de seguridad, son esenciales para proteger a las personas de los delitos cibernéticos
  • Dado que la tecnología de privacidad tiende a bloquear tanto el delito digital como la vigilancia estatal, continúa un debate constante entre políticas, tecnología y valores sociales

Cryptowars y el movimiento cypherpunk

  • En los inicios comerciales de Internet en los años noventa se desató la llamada Cryptowars por la adopción pública de la tecnología de cifrado
  • Los cypherpunks y los científicos de la computación buscaban popularizar el cifrado militar para que Internet fuera una herramienta que rompiera con la autoridad y diera poder a las personas
  • El gobierno y las grandes empresas, aunque por motivos distintos, coincidieron en la importancia del cifrado

Espionaje, submarinos y metadatos de internet

  • Internet se diseñó para exponer la ruta del tráfico (metadatos), lo que representó una vulnerabilidad, especialmente para la seguridad de militares o agentes desplegados en el extranjero
  • El contenido de mensajes confidenciales puede protegerse con cifrado, pero la información de origen y destino (metadatos) queda visible para los operadores del servicio o los ISP
  • Los investigadores del NRL trabajaron para encontrar un método que ocultara no solo el contenido, sino también el origen y el destino

Onion routing y estructura de anonimato

  • El principio central de Onion routing es envolver la información de ruta en tres capas de cifrado y ir descifrándolas de a una a medida que pasa por varios nodos de retransmisión
  • Cada servidor de retransmisión solo conoce una parte de la ruta completa, de modo que ningún nodo puede conocer simultáneamente todo el origen y destino
  • La anonimidad se fortalece cuanto mayor es la cantidad de usuarios, por lo que debe ser una estructura abierta al público general para ser efectiva, y no solo militar

Colaboración entre cypherpunks y el ejército, y apertura como plataforma pública

  • Los investigadores de Tor entendieron que solo se logra un anonimato real cuando lo usan ciudadanos comunes y corrientes, y discutieron colaborar con los hackers cypherpunk
  • En el Information Hiding Workshop de 1997 se produjo un intercambio de ideas y valores entre los cypherpunks y los investigadores del NRL
  • La alta exigencia de seguridad militar y la visión de los cypherpunks sobre una privacidad distribuida y democrática se fusionaron en la construcción de Tor

Debates sobre privacidad y sus implicaciones sociales

  • La historia de Tor no es una confrontación simple de Estado vs. individuo, sino un proceso en el que distintas fuerzas se unieron para buscar un nuevo equilibrio de poder
  • En debates políticos actuales, como la Online Safety Act del Reino Unido, se muestra que la tecnología de privacidad en la práctica puede reforzar la protección de los sectores más vulnerables
  • Los intentos de debilitar el cifrado vulneran, en cambio, la autonomía de grupos vulnerables como mujeres y niños, y existe el riesgo de que esa información sea aprovechada por quienes ejercen poder
  • La respuesta real al riesgo debe basarse en sistemas de gestión de contenido democráticos y transparentes y en la reconstrucción de la confianza social; las soluciones técnicas centradas en la vigilancia no son suficientes

Conclusión: la relevancia social de Tor

  • En una internet cada vez más centralizada y con mayor control de una élite en torno a la IA y otras tecnologías, la importancia de herramientas como Tor sigue creciendo
  • Además de proteger la privacidad personal y prevenir delitos cibernéticos, Tor ofrece un camino hacia una sociedad digital más democrática y confiable

1 comentarios

 
GN⁺ 2025-08-10
Opinión de Hacker News
  • Usé Tor para vigilancia y creo que fue una forma adecuada. En una startup de integridad de la cadena de suministro construimos un crawler para vigilar discretamente un marketplace internacional grande. Elegíamos nodos de salida de Tor por región para ver el mismo contenido que vería un usuario local, y Tor funcionó perfectamente para ese uso. Aun así, les insistí mucho a los del equipo que no presumieran ni difundieran esos datos. (Siempre corríamos el riesgo de que una sola orden C&D detuviera la recolección de datos en cualquier momento). El marketplace se beneficiaba de los productos falsificados y de las ventas del mercado gris que queríamos evitar, así que un conflicto era inevitable. En lugar de eso, nos ocupamos de que el crawler funcionara de forma suave pero efectiva, sin causar daño a otros y sin llamar atención innecesaria. (Ahora sí puedo decirlo, pero en aquel momento los inversionistas se mostraron cautelosos durante la Covid y la startup se quedó sin dinero).
    • Si se vuelve a dar una situación similar, en realidad se puede lograr el mismo efecto con un VPN de alrededor de $5 (Mullvad, por ejemplo). Es menos llamativo que un nodo de salida de Tor y además es más rápido en latencia, ancho de banda y cambio de región. En esos casos basta con un VPN, no con enrutamiento Onion.
    • Este no es un buen enfoque. Los nodos de salida de Tor son públicos y el marketplace puede marcarlos como objetivo específico. Por eso cuesta creer que se estén obteniendo datos reales. La forma correcta sería combinar Tor/VPN con proxies residenciales para ocultar la intención.
    • Si eliges nodos de salida de Tor por región, en la práctica estás usando un proxy. El enrutamiento Onion no tiene mucho sentido para este caso.
    • Me intriga qué datos específicos se recopilaron.
    • Me estimuló la imaginación y se me dibujó una sonrisa, me parece genial.
  • Si te interesa el libro del autor sobre Tor, puedes descargarlo gratis https://direct.mit.edu/books/oa-monograph/5761/TorFrom-the-D... (por cierto, yo pertenezco a MIT Press)
    • Excelente trabajo. Creo que se cruza bastante con el periodo y el contenido que yo cubrí, y que captura muy bien varias complejidades. Me impresionó especialmente que se hubiera empezado desde una investigación única basada en entrevistas directas con operadores de nodos de salida de Tor.
    • Si quieres apoyar al autor, también puedes comprarlo https://mitpress.mit.edu/9780262548182/tor/
    • Me pregunto si también hay formato epub. Quiero leerlo en Kindle.
  • Un relay de Tor se puede correr con pocos recursos. Tengo un VPS de $5/mes en el que lo dejo corriendo como uno de varios usos, incluyendo un relay de Tor. Basta con 1GB de RAM y con un núcleo de CPU básico. Mi relay envía y recibe alrededor de 150GB de tráfico al día (alrededor de 15Mbit). Como no es un exit node, no hay preocupación legal (comparto ejemplo de override de config y systemd)
  • Creo que la popularización de Tor fue para ocultar un uso militar. Si solo hubiera usuarios militares, sería demasiado fácil convertirse en objetivo, así que lo ocultaba mezclándolo con tráfico común.
    • No está claro si eso fue la causa real o una retórica para convencer al gobierno. De todas formas, dicen que los inventores de Tor le dijeron directamente al gobierno ese objetivo con honestidad.
    • Yo también escuché algo parecido. Si todos usan una red accesible solo por el gobierno de Estados Unidos para hackear servidores externos, es difícil diluir la responsabilidad.
    • Todas las fuentes confiables que he recibido cuentan lo mismo.
  • Yo no he usado Tor, pero sí he hecho scraping cuando necesitaba múltiples IP. En realidad, creo que esos endpoints probablemente ya estén bloqueados. Desde que en Reino Unido y otros sitios empezaron a bloquear contenido para adultos, la función "New Private Window with Tor" de Brave es bastante conveniente. Si la regulación se endurece más, es posible que herramientas como Tor sean aún más necesarias para la privacidad. Hoy en día hay muchos casos donde la IP se vuelve irrelevante, como con servicios de "residential proxy" o bots como Perplexity. Ahora es una era en la que, pagando 1 dólar por GB, se pueden utilizar millones de IP.
    • En algunas investigaciones recientes de ciberataques que hice, hay muchos casos que usan IP residenciales de California y Nueva York, pero el origen real estaba en India. Hoy esto es bastante fácil.
    • En el punto sobre el bloqueo de contenido adulto en Reino Unido, me alegra que la aceleración de la censura estatal termine impulsando tecnologías de privacidad y seguridad.
    • Gran parte de la infraestructura tiene grandes huecos de seguridad por centralización y transparencia. Consultar estudios como el ataque Raptor de Princeton de 2015 (Raptor attack) ayuda a entender el principio.
  • Si ya tienes claro cómo funciona Tor y quieres aprender más sobre ataques, te recomiendo estos documentos
  • Cada vez que usas Tor, asumo que todos los paquetes se recolectan y analizan con máxima prioridad. A veces creo que mezclarte entre la multitud puede ser más seguro.
    • Esta perspectiva de corto plazo precisamente puede dificultar a largo plazo mezclarse con la multitud.
  • Nunca estuve convencido de cuál es la manera correcta de usar Tor. Tampoco confiaba en aprender esa forma de alguien.
    • Instala y usa el Tor Browser. Este navegador es un Firefox reforzado para conectarse a la red Tor. No cambies el tamaño de la ventana, ni instales extensiones extra. Todas las ventanas deberían tener el mismo tamaño para evitar seguimiento por huella digital. Tampoco introduzcas datos personales en cuentas de uso cotidiano. En redes donde Tor esté bloqueado, puedes evadirlo con los métodos del FAQ (bridges, etc.) https://www.torproject.org/download/
      https://support.torproject.org/censorship/
    • Entiendo esa prevención exagerada. Yo prefiero plataformas como "Tails", un sistema operativo Linux de arranque desde USB con Tor integrado (recomiendo investigar por mi cuenta) https://tails.net/
    • El método recomendado en general es instalar Tails en una USB y arrancar desde ahí. Es mucho más seguro para el sistema que usar solo Tor Browser, y aunque te hackeen, no quedan tus datos reales en el sistema operativo. https://tails.net/
    • Cuando usé Tor antes, lo recuerdo como un Firefox modificado.
  • En mi opinión, Tor no es del todo perfecto para la privacidad. Creo que alguien que posee la mayor cantidad de servidores podría ver todo el tráfico.
    • Si de verdad tener más servidores significa todo el tráfico, me pregunto esto: si hay un millón de servidores y yo tengo solo 10, y el resto los tiene como máximo 9, ¿no se perdería casi todo el tráfico?
    • Me pregunto cómo se puede asegurar que siempre seas dueño de los node de entrada y salida. No creo que todos los grupos que tengan esa capacidad se vayan a cooperar completamente.
  • Tor está bien, pero yo prefiero i2p
    • Creo que algún día i2p reemplazará a Tor, o al menos debería hacerlo. Tor tiene de base un problema de deanonymization, porque basta con que alguien despliegue muchos nodos para lograrlo. Ya hicieron intentos de ello en algunas instituciones, pero no hay manera de saberlo.
    • I2P es superior en diseño de red. Es una pena que algo tan bueno no reciba atención.
    • La desventaja es que es más difícil de operar.
    • En el fondo, todo es cuestión de confianza.