Según Roger Dingledine, director del Proyecto Tor, la Oficina de Investigación Federal estadounidense pagó un millón de dólares a la universidad para comprar su investigación sobre cómo revelar la identidad de los usuarios de la red anónima.
El proyecto Tor ha acusado al FBI de pagarle la nada desdeñable cifra de un millón de dólares a la Universidad Carnegie Mellon para que realizara un ataque sobre Tor y desenmascarara a los usuarios de esta red, revelando su identidad.
Todo el embrollo se remonta a una charla titulada No necesitas ser la NSA para romper Tor que iba a dar Alexander Volynkin, investigador de Carnegie Mellon, durante la conferencia Black Hat de 2014, en el que iba a exponer cómo revelar la IP de los usuarios de Tor a un precio relativamente bajo, apenas 3.000 dólares en hardware. Semanas antes de la fecha prevista para la ponencia, ésta fue cancelada repentinamente, alegándose que el material que iba a exponer Volynkin no había recibido el visto bueno para su publicación.
Desde aquel momento, más de un conspiranoico se preguntaba si había algo más detrás de la cancelación, y ahora se intuye que fue el FBI quien cortó de raíz la exposición del trabajo de la universidad de Pittsburgh, pagando una generosa cantidad para quedarse en exclusiva con la técnica usada por la CMU. Por lo menos eso cree Roger Dingledine, director del proyecto, que ha vertido esta acusación en el blog oficial de Tor.
Esta acción es una violación de nuestra confianza y las directrices básicas para lo que debe ser una investigación ética. Ofrecemos pleno apoyo a la investigación independiente sobre nuestro software y red, pero este ataque cruza la línea entre investigación y poniendo en peligro a usuarios inocentes.
¿En qué se fundamentan las acusaciones de Tor?
En enero de este mismo año se desveló que la red Tor había sufrido un ataque entre enero y julio de 2014, que finalmente pudo bloquear. En noviembre de 2014, en una operación bautizada como Operation Onymous, el FBI arrestó al supuesto responsable de Silk Road 2.0, Blake Benthall, además de otros 17 vendedores y administradores de sitios de dudosa legalidad, y cerró más de 400 webs que operaban a través de la red Tor.
Ahora unos documentos revelados en el juicio contra un miembro del personal de Silk Road 2.0, DoctorClu, desvelan que su acusación se basaba en pruebas obtenidas a través de una investigación universitaria. Si a eso le sumamos que la orden contra DoctorClu se obtuvo gracias a evidencias fiables recogidas justamente entre enero y julio de 2014, todo empieza a cuadrar.
Un ataque moralmente reprochable
El problema principal reside en que el ataque del FBI a Tor, usando el procedimiento de la Universidad Carnegie Mellon, no estaba enfocado únicamente a supuestos criminales, sino a cualquier usuario de la red. Información que luego filtraban para un propósito concreto, por lo que resulta improbable que el FBI pudiera conseguir una orden judicial para este ataque indiscriminado.
Pensamos que es bastante improbable que pudieran obtener una orden válida para este ataque, ya que no estaba enfocado exclusivamente a criminales o actividades delictivas, sino que aparentemente estaba enfocada indiscriminadamente a muchos usuarios a la vez.
Además, Tor sostiene que agencias gubernamentales como la NSA, que ya intentó romper Tor en el pasado, o el FBI no deberían hacer uso de instituciones universitarias ni de investigación para invadir redes que son técnicamente legales, ya que no es ni ética ni moralmente aceptable.
Hasta ahora la Universidad Carnegie Mellon no ha confirmado ni desmentido este hecho, aunque sí que ha manifestado que le gustaría ver las pruebas en las que se basa el proyecto Tor para lanzar estas acusaciones. Tampoco les consta ningún pago, ni mucho menos de 1 millón de dólares, por parte del FBI.
En relación a la cantidad supuestamente pagada por la Oficina Federal de Investigación, Roger Dingledine afirma que esta cifra le ha llegado a sus oídos a través de amigos de la comunidad de seguridad informática, pero tampoco ha aportado ninguna prueba fehaciente al respecto.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad