Anoche nos hicimos eco de una noticia bastante inquietante que ponía de manifiesto el hallazgo de un código malicioso en Tor Browser (el navegador del Proyecto Tor) que permitía identificar a los usuarios y, por tanto, eliminar el manto de anonimato que ofrece este servicio. Si bien es cierto que, por fortuna, este Javascript no pone en peligro el servicio que ofrece Tor y que deteniendo la ejecución de Javascript uno puede librarse de este exploit; siguen llegando datos inquietantes sobre este caso. Según varios expertos en seguridad que han estado analizando este malware, la información recopilada por este Javascript habría estado siendo enviada a la NSA.
¿La NSA es el origen de este malware que afectó a Tor Browser? Debo confesar que esta afirmación me ha sorprendido mucho y creo que hay que tomarse este hallazgo con muchísima cautela y esperar que alguna otra investigación en curso confirme o desmienta este hecho.
Un grupo de expertos de seguridad que trabajan en el grupo Baneki Privacy Labs junto a Cryptocloud (un proveedor de servicios de VPN) han sido los encargados de apuntar a la NSA como destinataria de la información recopilada por este exploit. Según el análisis realizado, el código remitía la dirección IP del equipo infectado a un destino que estaba cifrado y, tras varias horas de trabajo, parece que los expertos en seguridad habrían sido capaces de descifrar dicho destino.
Los primeros rastreos apuntaban a un contratista del Departamento de Defensa llamado SAIC que también es proveedor del FBI y cuya especialidad, entre otras cosas, son los sistemas de vigilancia y reconocimiento. Según las pistas halladas en el rastreo, la dirección IP destino apuntaba a Arlington (Virginia), donde SAIC dispone de unas instalaciones. Sin embargo, un análisis en mayor profundidad y el cruce de los datos con una herramienta para analizar peticiones a servidores DNS ha terminado señalando a la NSA puesto que la dirección IP destino pertenece a un rango que está permanentemente reservado para la Agencia de Seguridad Nacional de Estados Unidos.
¿Y qué quiere decir esto? ¿Tiene el Gobierno de Estados Unidos a Tor en su punto de mira? Como comentaba al inicio, estos hallazgos hay que tomarlos con mucha cautela y creo que aún es pronto para afirmar que la NSA esté detrás de todo esto. Como bien dicen en Ars Technica, podría haber sido la NSA el origen de este malware, también podrían haber estado investigándolo como muchos otros expertos en serguridad y, por supuesto, también cabría la posibilidad que desde SAIC estén haciendo alguna de las dos cosas. Desde Baneki Privacy Labs, los responsables de estas pesquisas, apuntan a otra explicación bastante plausible: una campaña para sembrar el miedo entre los usuarios de Tor y, de esta forma, acabar con los servicios que nos ofrecen anonimato y privacidad.
La verdad es que tenemos ante nosotros todo un abanico de posibles explicaciones pero, evidentemente, sin que se conozcan más pruebas o algún otro grupo de investigación llegue a la misma conclusión, afirmar categóricamente que la NSA está detrás de esto es aún precipitado. De ser cierto, sin duda sería un golpe del mismo calibre que las revelaciones de Edward Snowden sobre PRISM o X-Keyscore.