Investigación

Agencias de aplicación de la ley en Tor: impacto en la Dark Web

Sergey Lozhkin

El cierre de SilkRoad 2.0 es sólo una pequeña parte de los acontecimientos que afectaron a la red Tor la semana pasada.

Las comunidades relacionadas con Tor, tanto los defensores de la privacidad como los cibercriminales (¡por supuesto!) demostraron su preocupación cuando autoridades de todo el mundo realizaron una operación global contra varios servicios ilícitos alojados en la red Tor.

La Operación Onymous, coordinada por el Centro Europeo de Cibercrimen de la Europol (EC3), el FBI, el Servicio de Inmigración y Control de Aduanas de los Estados Unidos (ICE), Investigaciones de Seguridad Nacional (HSI) y Eurojust, supuso el arresto de 17 vendedores y administradores de mercados ilícitos y el cierre de más de 410 servicios.

El anuncio oficial sobre la Operación Onymous está disponible en el sitio web de la Europol.

Estos son algunos de los servicios .onion que se cerraron en esta operación: Alpaca, Black Market, Blue Sky, Bungee 54, CannabisUK, Cloud Nine, Dedope, Fake Real Plastic, FakeID, Farmer1, Fast Cash!, Flugsvamp, Golden Nugget, Hydra, Pablo Escobar Drugstore, Pandora, Pay Pal Center, Real Cards, Silk Road 2.0, Smokeables, Sol’s Unified USD Counterfeit’s, Super Note Counter, Tor Bazaar, Topix, The Green Machine, The Hidden Market y Zero Squad.

Ejemplos de sitios .onion confiscados

A la vez, se informó que las autoridades estaban confiscando varios nodos de Tor:

Estos días hemos recibido y visto informes que dicen que agentes gubernamentales han incautado varios transmisores de Tor. No sabemos cuándo se confiscaron los sistemas ni conocemos los métodos de investigación que se usaron. Los informes hablan de tres sistemas específicos de Torservers.net que desaparecieron, además de un operador de transmisores independiente.

Puedes profundizar sobre las opiniones y preocupaciones relacionadas con la Operación Onymous en The Tor Blog.

El estado actual de la Dark Web

Por supuesto, no se cerraron todos los sitios Onion, todavía hay muchos que siguen funcionando. En estos momentos, la cantidad de sitios web activos en la red Tor es cuatro veces mayor que la de los sitios que se cerraron.

El cibercrimen, como cualquier otra actividad ilegal, es difícil de erradicar. Siempre que se elimina un servicio ilegal, deja un vacío que los cibercriminales no piensan desaprovechar. La cruda realidad es que siempre habrá una demanda para estos servicios.

El siguiente gráfico muestra la cantidad de nuevas direcciones .onion que aparece cada día. Después del cierre del 7 de noviembre, notamos un aumento irregular en la cantidad de servicios escondidos que se estaban creando.

También analizamos el tiempo de vida de los sitios Onion que se cerraron la semana pasada. Como se ve en el gráfico, en promedio, la mayoría de los sitios estuvo activo por al menos 200 días, pocas veces más de 300 días. Unos cuantos duraron menos de 2 meses.

¿Qué implica esto para la red Tor y la Dark Web?

La pregunta más interesante que se está planteando en los medios de comunicación es: ¿cuáles son las herramientas excepcionales que se necesita para comprometer un servicio oculto? En teoría, cuando visitas un servicio oculto, no hay forma de que tú o cualquier otra persona conozca la ubicación física de su servidor. Para que la teoría se fundamente, se deben cumplir tres condiciones:

  1. El servicio debe estar bien configurado
  2. El servidor web debe ser impenetrable – sin vulnerabilidades ni errores de configuración
  3. La aplicación web debe estar libre de fallas

Si alguna de estas tres condiciones no se cumple, una persona con conocimientos técnicos puede irrumpir en el servidor con facilidad para llevar su ataque a otro nivel.

Quien conoce los sitios de la Dark Net sabe lo pobre que puede llegar a ser su codificación. Que los servicios de Tor oculten la ubicación física de un sitio no significa que su seguridad sea impenetrable. Pueden tener vulnerabilidades como inyecciones SQL si hay errores de codificación en el sitio.

Para comprometer un servicio oculto, una posibilidad es explotar una aplicación con errores en el código. Después se puede comprometer el servidor real en el que se aloja el servicio escondido, conseguir la información sobre su información física o, de preferencia, instalar una puerta trasera que recolecte la información sobre lo que ocurre en el servidor durante semanas.

No hace ninguna falta buscar vulnerabilidades en Tor, ya que es mucho más fácil buscar un problema de configuración de servicios o fallas en la aplicación web. No es raro que quienes controlan los sitios ilegales de la Dark Net dependan de la seguridad que le brindan las capacidades de Tor, pero esto no basta para salvarlos de las vulnerabilidades de aplicaciones externas o de sus propios errores.

Otra posibilidad es infectar al administrador del sitio web de un sitio web ilegal con spyware para conseguir acceso completo a su ordenador y, desde allí, conseguir toda la información sobre su verdadera identidad.

Esto puede ser más fácil de lo que parece: Por ejemplo, si se encuentra una vulnerabilidad en un servicio oculto, se puede intervenir la página del administrador con un exploit y esperar a que el responsable de la tienda de drogas ingrese a su sitio. Este ataque tan dirigido lo infectaría con malware.

Otra posibilidad es que los criminales infiltren el servicio ilícito haciéndose pasar por un cliente común y corriente, creando una cuenta y hasta haciendo alguna compra para generar una buena reputación. Cuando llega la hora de establecer una comunicación con la cuenta de asistencia del servicio oculto (sobre la calidad del producto, por ejemplo) se puede empezar a usar ingeniería social o hasta enviar un mensaje spearfishing con un exploit.

Existen muchos modos de comprometer un servicio oculto sin atacar la arquitectura de Tor. Aunque, por supuesto, tampoco se debe descartar por completo la posibilidad de que el propio Tor tenga una vulnerabilidad.

Agencias de aplicación de la ley en Tor: impacto en la Dark Web

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada