Los usuarios de la red Tor, centrada en el anonimato, corren el riesgo de perder sus criptomonedas debido a un ciberataque continuo a gran escala que se lanzó a principios de 2020, según sugieren nuevos datos.
Según un informe publicado ayer por el investigador de ciberseguridad y operador del nodo Tor, Nusenu, un hacker no identificado ha estado añadiendo miles de servidores maliciosos a la red Tor desde una fecha tan temprana como enero de 2020. A pesar de haber sido clausurado en varias ocasiones, el atacante sigue rastreando e interceptando los datos relacionados con las criptomonedas de los usuarios hasta el día de hoy.
Explotar la demanda de anonimato
Tor es un software gratuito y de código abierto que permite a los usuarios anonimizar su tráfico de Internet enviándolo a través de una red de servidores operados por voluntarios. Para aprovechar este sistema, los hackers han ido añadiendo a la red sus propios nodos maliciosos, denominados "relés de salida".
"En mayo de 2020 encontramos un grupo de relés de salida de Tor que estaban desordenando el tráfico de salida. En concreto, dejaron casi todo el tráfico de salida solo, e interceptaron las conexiones a un pequeño número de sitios web de intercambio de criptomonedas", revelaron los desarrolladores de Tor el pasado agosto.
Como su nombre indica, los relés de salida de Tor se encargan de enviar las peticiones de los usuarios de vuelta a la Internet "normal" después de que hayan sido anonimizadas. Sin embargo, el hacker realizó algunos ajustes en el código que le permitieron localizar el tráfico relacionado con las criptomonedas y modificarlo antes de enviarlo.
El Proyecto Tor explicó que estos servidores impedían que los sitios web redirigieran a los visitantes a versiones HTTPS más seguras de sus plataformas. Si los usuarios no se daban cuenta y seguían enviando o recibiendo información sensible, ésta podría haber sido interceptada por el atacante.
Se cree que el hacker está utilizando sus servidores para cambiar las direcciones de criptomonedas en las solicitudes de transacciones realizadas por los usuarios y redirigir sus criptomonedas a sus propias carteras. El hacker también comenzó recientemente a modificar las descargas realizadas a través de Tor, pero no está claro con qué fin o qué otras técnicas podrían estar utilizando.
Una larga partida
En los últimos 16 meses, los servidores del hacker han sido cerrados por los desarrolladores de Tor al menos tres veces, explicó Nusenu. En particular, los nodos maliciosos representaron aproximadamente una cuarta parte de la capacidad de salida de la red Tor en varias ocasiones, alcanzando un máximo del 27% en febrero de 2021.
Recientemente, el hacker incluso encendió todos sus servidores de forma repentina, aumentando la capacidad de salida de la red de aproximadamente 1.500 relés a 2.500. Sin embargo, un aumento tan brusco no pasó desapercibido y los relés maliciosos fueron eliminados.
Con todo, el hacker no deja de reconstruir su red. Según las estimaciones de Nusenu, hasta el 10% o incluso más de la capacidad de retransmisión de salida de Tor podría seguir siendo controlada por el atacante a día de hoy.
"Los sucesos recurrentes de operaciones de retransmisión de Tor maliciosas a gran escala dejan claro que los controles y enfoques actuales para la detección de relés malos son insuficientes para evitar que estos sucesos se repitan y que el panorama de amenazas para los usuarios de Tor ha cambiado", concluyó Nusenu.