En este artículo, exploramos cómo se puede identificar a los administradores de sitios web en la Red Tor, también conocida como Darkweb. Analizaremos la estructura de los sitios en Tor, discutiremos casos conocidos de desanonimización y destacaremos las características de este rincón oscuro de Internet, generalmente considerado anónimo. Además, ofreceremos recomendaciones sobre herramientas de software que pueden ser útiles en esta tarea.
Los sitios web con direcciones que terminan en .onion son diferentes de los sitios web convencionales y requieren un esfuerzo adicional para acceder a ellos. Estos sitios forman parte de lo que se conoce como la Darkweb y a menudo se utilizan para el comercio de bienes y servicios ilegales. Los administradores de estos sitios no están obligados a proporcionar información de contacto al registrar un sitio web, lo que significa que no hay censura y que el enrutamiento «onion» a través de una serie de servidores proxy debería garantizar el anonimato.
Los sitios en la Red Tor no están indexados por los motores de búsqueda convencionales, pero existen motores de búsqueda especializados que buscan exclusivamente en Tor. Como habrás imaginado, es un mundo aparte.
¿Cómo funciona la Red Tor?
En el enrutamiento IP convencional, una solicitud viaja de un nodo a otro, pero en el enrutamiento onion, la solicitud pasa primero por tres nodos llamados nodos Tor. Cada uno de estos nodos cifra la información antes de transmitirla al siguiente. Sin embargo, este enfoque no es una defensa perfecta contra el seguimiento, ya que teóricamente cualquiera puede convertir su computadora en un nodo intermedio y recopilar datos de consulta. Esto plantea preocupaciones sobre la privacidad.
En 2020, se descubrió que el grupo de hackers KAX17 operaba 900 servidores infectados que eran utilizados por hasta el 16% de los usuarios de Tor.
Herramientas para explorar los nodos Tor:
- Lista de Nodos TOR: Proporciona información sobre los nodos Tor.
- ExoneraTor: Verifica si una dirección IP se utiliza como nodo Tor.
- Onionite: Ofrece información sobre los nodos Tor.
- Tor Metrics: Brinda información sobre los nodos Tor.
- Collector Tor: Archiva direcciones IP y puertos de nodos Tor.
Además, los sitios en Tor pueden recopilar información sobre la resolución de pantalla, el número de núcleos de la computadora y otros parámetros, lo que puede crear una huella digital única. Por esta razón, se recomienda evitar habilitar JavaScript en los sitios de la Darkweb o al menos no usar el navegador en modo de pantalla completa para evitar revelar información sobre la pantalla.
Onion DNS
El sistema de dominios .onion funciona de manera diferente al sistema de dominios convencionales. Aquí, las diferencias clave:
- Existe una sola zona de dominio .onion, y los dominios están compuestos por identificadores generados, lo que significa que no hay una estructura jerárquica con TLDs, SLDs y subdominios.
- El almacenamiento de información es descentralizado, por lo que no se puede consultar a Whois. En el DNS convencional, la información sobre dominios se almacena en servidores DNS centralizados, mientras que en Tor, se almacena en nodos distribuidos en la red Tor.
- Los protocolos también son diferentes. Mientras que el DNS convencional utiliza consultas UDP y TCP, el sistema DNS de Tor accede directamente a nodos de almacenamiento distribuido para obtener la dirección deseada.
TorWhois es un servicio similar a Whois pero para Tor, que permite obtener información sobre puertos abiertos, certificados, claves e información sobre robots.txt.
Motores de Búsqueda
Los motores de búsqueda y las consultas específicas (dorks) son herramientas fundamentales en la búsqueda de información en la Darkweb, al igual que en la web convencional. Aquí hay motores de búsqueda disponibles tanto en la Clearnet como en la Darkweb:
Motores de Búsqueda en la Clearnet:
- Onion Search Engine
- Torry
- OnionLand Search
- Tor Search
- OnionSearch
- DuckDuckGo
Motores de Búsqueda en la Darkweb:
- DuckDuckGo
- Not Evil
- Ahmia
- Haystak
- Torch
- Demon
Estos motores de búsqueda permiten realizar búsquedas y combinar resultados de la Clearnet y la Darkweb.
Para encontrar al administrador de un foro en particular, se pueden utilizar técnicas de búsqueda específicas. Por ejemplo, puedes buscar menciones de su apodo en foros temáticos o recopilar direcciones de foros criminales desde wikis especializadas.
Además, los administradores y usuarios de estos sitios pueden cometer errores que los identifiquen, como enviar fotos de sí mismos o cometer errores de escritura que los vinculen con otras cuentas en la web.
Rastreadores, Scrapers y Spiders
Para analizar sitios en la red Tor, se pueden utilizar diferentes herramientas como crawlers, scrapers y spiders:
- Crawlers: Se utilizan para recopilar datos específicos de un sitio, como fotos o videos. Ejemplos de crawlers para sitios .onion incluyen TorBot y OnionBot.
- Scrapers: Estos programas extraen datos de sitios web y los almacenan en un formato estructurado para su análisis posterior. Ejemplos de scrapers son Scrapy y BeautifulSoup.
- Spiders: Los spiders siguen enlaces en sitios web, analizan su contenido y los indexan para varios propósitos. También existen spiders para Tor, como Onioff y Onion Spider.
Forense Informática
En la investigación forense de una computadora que ha utilizado Tor, se deben examinar diversas ubicaciones, como la carpeta de Prefetch, la caché de miniaturas y el archivo de intercambio. Además, el registro de Windows puede proporcionar información valiosa. Para el análisis del tráfico de red, herramientas como Wireshark y NetworkMiner son útiles.
Para concluir, a pesar del aparente anonimato de los sitios en Tor, hay métodos y herramientas disponibles para identificar a sus administradores. Estos métodos pueden requerir un trabajo serio, pero con la persistencia adecuada, se pueden obtener resultados. Es esencial que quienes participan en tales investigaciones utilicen una combinación de tácticas específicas de la Darkweb y métodos tradicionales de la «web convencional».