TOR ya no es lo más seguro y la culpa la tiene tu ratón

Es algo parecido a si repente, todo en lo que has creído se desmorona: TOR Browser, el navegador por excelencia de los que no quieren dejar rastro en Internet, deja en realidad una mancha de aceite por cada web que pasa. Esa es la conclusión principal que se desprende del estudio que el programador español José Carlos Norte ha elaborado y que puede consultarse en su página web. “Cualquier organización con un interés en identificar usuarios puede hacerlo, incluso aunque estos utilicen TOR”, afirma.

Los círculos que describimos con nuestra mano sobre el ratón son suficientes. Los movimientos, aunque únicos, nos delatan. Y eso es un leak. Es esa acción que proporciona información al resto sin que nosotros lo sepamos. Como el que abre bien los ojos cuando lleva un póquer de ases. Esta vez somos nosotros mismos moviendo el ratón y usando la rueda para hacer scroll los que, sin quererlo, estamos revelando lo que somos, qué vemos, por cuánto tiempo y cómo lo hacemos. El programador ha creado también una web para comprobar cómo esos datos son leekeados desde el navegador.

Hay muy pocas razones para no usar TOR en todas tus comunicaciones, salvo que estés haciendo algo que requiera el más alto ancho de banda y el menor retraso”, decía Edward Snowden a eldiario.es en una reciente entrevista. El navegador, adalid de los que quieren proteger su anonimato y ocultar su rastro en Internet, “permite generar patrones de uso del usuario”, según José Carlos. “Una de las cosas más importantes de las que te protege TOR, en teoría, es del tracking de usuarios”, añade. Se refiere a la información que recopilan las diferentes páginas web por las que navegamos, como cuando buscamos un producto en amazon -por ejemplo- y todos los anuncios que nos aparecen después están relacionados con él.

“Mi artículo lo que viene a denunciar es que, como en TOR JavaScript viene activado por defecto, es posible generar patrones de uso del usuario: de cómo mueve el ratón, de cómo hace scroll, de cómo se acerca a una caja de texto...”, dice el programador. En definitiva, de cómo un usuario utiliza una página web. Para demostrarlo, José Carlos ha creado otra web de prueba que muestra todos esos patrones y cómo pueden ser usados para generar una huella digital de un usuario.

JavaScript y las huellas biométricas

El estudio está centrado en el navegador de la cebolla precisamente por las garantías de privacidad que ofrece. Sin embargo, los resultados del estudio de José Carlos no son diferentes de los del resto de navegadores que utilizan JavaScript. “El problema de base es que hace unos años, cuando tú descargabas TOR, JavaScript venía desactivado. Hoy en día viene activado por defecto. Y esto es así porque la mayoría de sitios web de Internet necesitan JavaScript para funcionar”, dice el programador.

¿Qué hacer entonces para garantizar la privacidad? Fácil: desactivar JavaScript. Pero ocurre un problema: “Si se desactiva JavaScript, entonces nos encontramos en una situación un poquito rara: al usuario que quiera ser anónimo o que quiera proteger su privacidad no le funcionará prácticamente nada”, dice José Carlos. Y advierte: “Al final, este tipo de patrones en realidad son una forma muy sutil de patrón biométrico. Son huellas biométricas de tu persona”.

En eldiario.es ya contamos que un desarrollador de software danés había conseguido espiar el sueño de sus amigos a través de Facebook utilizando los datos de actividad de la red social. “Imaginemos que un usuario entra a Facebook y la red social le trackea durante un buen rato hasta que al final obtiene un patrón que permite reconocerle. Aunque luego vaya a otra web con TOR, con un ordenador diferente incluso, la red social aún podrá saber quién es”, cuenta José Carlos. “Es bastante grave, porque TOR implementa medidas para evitar precisamente esto”, dice el programador.

El programador ya ha contactado con gente del proyecto TOR para advertirles. “Han abierto una serie de tickets en su bugtrack sobre cada una de las técnicas que he utilizado en mi demostración”, dice. Además, desde el propio blog del proyecto se lo han tomado muy en serio y ya están investigando los sucesos de los que habla José Carlos en su estudio.