Especialistas en ciberseguridad reportan que, desde hace algunos años, un hacker ha estado ejecutando servidores maliciosos a través de toda la red Tor en lo que parece ser un intento por desanonimizar a los usuarios de esta red. Identificado como KAX17, el hacker (o grupo de hackers) ha llegado a ejecutar hasta 900 servidores Tor maliciosos.
Como algunos usuarios sabrán, estos servidores cifran y anonimizan el tráfico de los usuarios a medida que éste atraviesa la red Tor, funcionando como un inmenso entorno proxy que maneja las conexiones y pierde el origen real del tráfico de usuarios. Estos servidores deben tener información de contacto, como direcciones email y otros detalles.
Aunque este es un requisito de la red Tor, en ocasiones se conectan servidores sin información de contactos y, debido a que la red no está vigilada de forma estricta, no es posible garantizar que siempre se estén usando los servidores adecuadamente para rebotar y ocultar el tráfico de los usuarios.
Nusenu, un operador de nodo Tor, fue el primero en detectar un inusual patrón relacionado con nodos sin información de contacto, lo que ocurrió por primera vez en 2017. Nusenu menciona que el hacker detrás de esta campaña ha estado agregando servidores sin información de contacto de forma masiva, operando servidores en puntos aleatorios con gran facilidad.
El experto mencionó que esta es una operación inusual, pues otras campañas maliciosas relacionadas con la red Tor se enfocan en la operación de relays de salida, mientras que KAX17 se mantiene en puntos medios de la red. El uso de relays intermedios parecía ser indicio de que esta era una operación persistente y enfocada en la recopilación de información sobre los usuarios en la red, que en condiciones normales permanece anónima.
Después de detectar la actividad maliciosa, Nusenu presentó un reporte a Tor Project, por lo que se eliminaron cientos de relays maliciosos en octubre de 2020. Poco después el experto detectó un nuevo conjunto de relays potencialmente vinculados con KAX17, aunque esto no ha sido completamente demostrado.
Finalmente, un portavoz de Tor Project confirmó la veracidad de la investigación de Nusenu, además de mencionar que seguirán dando seguimiento a la detección y eliminación de estos relays maliciosos, aunque no agregó más detalles sobre el responsable de la campaña maliciosa y su alcance real.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.