“El problema con TOR”, desde otra óptica

tor

Esta semana publicaba un servidor un artículo sobre la desmitificación de que redes como TOR eran únicamente escenario de negocios clandestinos, y escasas horas más tarde, CloudFlare, ese popular CDN que un servidor ha utilizado en esta y otras página, publicaba un artículo en su blog sobre El problema con TOR (EN), al que varios medios (anglosajones e hispanohablantes) se han hecho eco de forma un tanto superficial.

En mi pieza analizaba el estudio realizado por Darksun junto a Intelliagg (inteligencia británica), en el que llegan a la conclusión de que más de la mitad de webs alojadas en TOR sirven a intereses puramente sociales (foros y demás servicios de ayuda a colectivos en riesgo de exclusión social, webs de intercambio de opiniones sobre temas considerados tabú, cuando no directamente censurados,…). Más de la mitad de esas 13.000 páginas indexadas por el software que han usado para categorizarlas.

Por su parte, CloudFlare, como buen CDN, lo que expone es que según su propio registro (un registro que podemos considerar bastante fiable, a sabiendas de que quizás una cuarta parte del tráfico mundial pase por sus servidores), el 94% de tráfico proveniente de redes TOR podría ser malicioso.

Esto se ha malinterpretado en buena parte de los medios de comunicación, dejándose llevar por la histeria habitual, y señalando a TOR como un verdadero peligro para nuestra seguridad. La realidad, como cabría esperar, es bastante distinta.

Ese tráfico TOR malicioso que no lo es tanto…

Matthew Prince, CEO de CloudFlare, salió a esclarecer el asunto en Ars Technica (EN) horas más tarde:

[El tráfico de Tor] no quiere decir que estén visitando contenido controversial, sino que pueden ser peticiones automatizadas diseñadas para lastimar a nuestros clientes. Un gran porcentaje de los comentarios spam, escaneo de vulnerabilidades, fraudes publicitarios, escaneo de login, vienen de la red Tor.

Es decir, que de ese 94% de tráfico malicioso, un porcentaje significativo viene dado por automatismos, generalmente asociados a la búsqueda de inputs (como los formularios de contacto o de comentarios de un blog) para el envío de spam o demás acciones ilegales. No hablamos de tráfico real, sino tráfico de bots, cuyo impacto es considerablemente menor en el riesgo al que está expuesto un servicio digital, o un usuario.

Y de hecho, son datos totalmente entendibles, habida cuenta de que ya en 2013 se calculaba que de todo el tráfico mundial (no tráfico en redes privadas como TOR, sino tráfico de Internet, a secas), el 63% era realizado por bots y automatismos.

Bots y automatismos que no siempre tienen objetivos maliciosos. Muchos de ellos forman parte de crawlers (como las “arañas” que Google y otras empresas utilizan para indexar las páginas), u otros bots que operan como servicios a usuarios que desean automatizar algunas acciones de su día a día (publicación en redes sociales, alertas enviadas a email o notificaciones push a sus smartphones, por ejemplo).

¿Que el 94% del tráfico que reciben de TOR es potencialmente malicioso? No es de extrañar. Si un servidor quisiera montar un servicio de envío masivo de spam, un crawler con fines malignos, lo suyo sería montarlo en una red cuyo pilar principal fuera el anonimato.

¿Significa eso que debemos cerrar el tráfico proveniente de redes privadas? Todo lo contrario. Lo que sí conviene realizar (y que de hecho en el artículo del blog de CloudFlare exponen con mucho criterio) es segmentar adecuadamente el tráfico, delegando a un segundo o tercer nivel el tráfico automatizado, y bloqueándolo cuando haya realmente conocimiento de que sea malicioso. Criterios que ya se están aplicando (o deberían aplicarse) de manera genérica en todo el tráfico que llega a servidores de servicios digitales.

La criminalización del tráfico proveniente de redes privadas

Existe un interés claro en criminalizar el uso de estas herramientas.

Como comentaba recientemente a colación del uso del cifrado por parte de la ciudadanía, el que la sociedad tenga acceso a herramientas que le permite ser más anónima es un problema para el sistema, que basa su poder en el control que pueda llegar a desarrollar frente a ésta.

TOR, a diferencia de otras redes como FreeNet, permite el consumo de contenido proveniente de la internet genérica, bajo una suerte de tecnologías que anonimizan la comunicación (a cambio de una navegación mucho más lenta, todo hay que decirlo).

Es por tanto una herramienta perfecta (por su sencillez, tanto de instalación como de uso, al ser semejante a la navegación que ya estamos acostumbrados a hacer desde un navegador convencional) para consultar servicios digitales sin estar expuesto a los abusos de tracking y seguimiento de usuarios que gobiernan, a día de hoy, la red de redes.

En estos momentos, CloudFlare ha considerado el tráfico proveniente de la red TOR como si de un país se tratase, favoreciendo a los administradores de sistemas que utilicen la versión de pago de CloudFlare una manera de sencilla de segmentar esta audiencia, y delegando en éstos qué criterios y acciones deben realizarse en cada caso. Sin embargo, obliga a pasar un captcha arbitrariamente (EN/PDF) a los usuarios que intentan acceder a una página dentro del servicio gratuito de Cloudflare, con la merma de usabilidad que ello conlleva.

Es, como se explica en el PDF superior, hasta un ataque a los derechos humanos, ya que se está bloqueando el derecho de información y la libertad de acceso a la misma, sobre todo en países con conexiones más reducidas, que encuentran verdaderos problemas a la hora de conseguir pasar este control (o la pagina no carga, o la imagen no carga, o se muestra un error de fallo a la hora de autenticarlo).

Una criminalización que ya se está llevando a cabo en sitios como la Wikipedia, donde un usuario que navega por la red TOR no puede editar artículos, en Amazon, cuya navegación suele estar bloqueada si intentas realizarla desde estos lares, o aquellos que utilizan, de una u otra manera, tecnologías de Google (prácticamente cualquier web actual), que periódicamente bloquea a los usuarios que navegan desde esta red, a falta de que completen un captcha para demostrar que en efecto son “humanos”. La lista de páginas está continuamente siendo actualizada en este archivo del proyecto TOR (EN).

Y es un verdadero problema para páginas como la de un servidor, cuyo contenido interesa generalmente a perfiles conscientes de los riesgos a una exposición digital de datos personales, y en donde ese porcentaje de visitas desde redes privadas es sustancialmente superior. A día de hoy he decidido quitar CloudFlare, a sabiendas que quizás la carga del site se vea impactada negativamente (¿ha notado algo?), a sabiendas que por el camino estoy más expuesto a ataques DDoS.

Hay que ser conscientes de a qué nos atenemos cuando implantamos una u otra medida. Por la propia idiosincracia de una red como TOR, resulta bastante complicado controlar qué tráfico es malicioso y cuál es legítimo. Pero esto no debería servir de excusa para un bloqueo opt-in.

Quizás un punto medio sea el adecuado, controlando a nivel de acción y no tanto a nivel de tráfico. A fin de cuentas, cuando los objetivos buscados son maliciosos, la acción puede ser bloqueada mediante las herramientas de control que ya tenemos habilitadas (intentos de logging o búsqueda de errores continuos, ataques por fuerza bruta, inyecciones de código,…). En todo caso, parece que esto será durante mucho tiempo una opción solo para versiones premium…

Pero bloquear por defecto cualquier petición es pagar justos por pegadores a aquellos que precisamente han preferido delegar parte de usabilidad a cambio de luchar por nuestros intereses.

Es apoyar, a fin de cuentas, una industria que ha demostrado por activa y por pasiva anteponer los intereses comerciales a los intereses de sus clientes.

 

________

Realizar este tipo de artículos me lleva varias horas, y en algunos casos, gastos extra que habitualmente suplo de mi bolsillo, o gracias a esa comunidad de patronos que me apoyan realizando donaciones puntuales o periódicas.

Si le gustaría ver más de estos tutoriales y análisis por aquí. Si el contenido que realizo le sirve en su día a día, piense si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.

hazme patrono pabloyglesias