Tips
- Brave ha estado filtrando información privada de Tor a los proveedores de DNS.
- El error no es nuevo, ni específico del navegador Brave.
- Brave ha abordado el asunto en un hotfix, que se espera que se publique pronto.
Brave, un navegador basado en Chromium que da prioridad a la privacidad y que integra el navegador web anónimo Tor, ha estado filtrando direcciones privadas .onion a los proveedores del sistema de nombres de dominio.
Tor oculta la actividad de navegación web de los usuarios haciendo rebotar el tráfico web a través de una red global de repetidores. Esto hace que sea casi imposible rastrear el historial web de un usuario, lo que hace que el navegador sea un hogar perfecto para cualquiera que necesite privacidad: principalmente activistas, barones de la droga de la web oscura y hackers.
Pero el fallo, abordado en una beta y que pronto se corregirá en una revisión, filtró toda esa información privada a los proveedores de DNS, lo que significa que las empresas de Internet podían espiar la actividad de sus usuarios en Tor.
Esto se debe a que Brave, que integró Tor en 2018, es un navegador basado en Chromium, lo que significa que utiliza la misma arquitectura que Firefox y Google Chrome. Este problema ha afectado a los navegadores basados en Chromium durante más de una década y se ha encontrado en Brave desde 2019.
El fallo de Brave surgió el 21 de enero después de que un informe de Hacker One reportara el problema. Se resolvió y se añadió a la versión "Nightly" hace dos semanas. "Nightly" es una versión de Brave para desarrolladores que se actualiza cada día.
Sin embargo, como el fallo ha estallado hoy en Reddit y Twitter, Brave lo está subiendo a la versión oficial.
this was scheduled to land in 1.21.x (currently in beta) but given that it's now public we will uplift to a stable hotfix
— yan (@bcrypt) February 19, 2021
Brave nunca ha pretendido ser tan privado como Tor. "Brave con Tor no proporciona el mismo nivel de Privacidad que el navegador Tor, si tu vida depende de permanecer en el anonimato, utiliza el navegador Tor", dijo Ryan Watson, vicepresidente de TI de Brave, hace dos años en Reddit.
Tor es más seguro porque borra las "huellas dactilares" digitales utilizadas para identificar los ordenadores, escribió Watson. "La huella digital funciona escondiéndose en la multitud de otros navegadores, al usar Tor en Brave tienes una huella digital ligeramente más única que con el navegador Tor. Por lo tanto, te hace menos anónimo".
Añadió: "[La comunidad de Tor] también desarrolla y conoce los problemas de seguridad antes que nadie, por lo que reciben los parches primero y se abren camino hacia otras aplicaciones."
Brave ha estado en el agua caliente por traicionar la confianza de los usuarios en el pasado. Redirigió algunas consultas de búsqueda relacionadas con las criptomonedas a enlaces de afiliados, de los que obtuvo comisiones. "No esta bien, y lo siento de nuevo. Yo también estoy triste por ello", tuiteó Brendan Eich, el director de la compañía, tras descubrirse la trama. El fallo, sin embargo, parece ser un error de código, más que de juicio.