Un proveedor de emails en la dark web dice que el gobierno espió a sus usuarios

Hace una semana el administrador de un proveedor de emails que abastece a habitantes de la dark web (ya sean periodistas conscientes de la seguridad, disidentes que viven en regímenes represivos o incluso criminales) se dio cuenta que alguien estaba intentando hackear su servicio.

"Aparentemente nuestro humilde servicio de emails que vive en la red Tor ha llamado la atención" escribió el administrador anónimo en un correo masivo. "En los últimos meses, el hacker ha intentando muchas veces ingresar a nuestra infraestructura".

El ataque le permitió al malhechor "leer emails a medida que alguien los escribía y recolectar mails cuando llegaban" le dijo el administrador a Motherboard.

El pequeño y humilde servicio de emails se llama SIGAINT, es un pequeño proveedor en constante crecimiento para las personas interesadas en la privacidad y está hospedado completamente en la dark web, donde es utilizado por 43.000 usuarios. El servicio tiene una carácter distintivo basado, obviamente, en la paranoia y la anti vigilancia, lo que queda un más claro cuando visitas la pagina de contacto del sitio.

"Si eres parte de la ley u de otra estúpida agencia gubernamental, básicamente estas jodido" dice el sitio. "No podemos ayudarte y bienvenido a Tor".

El administrador, quien desea mantenerse en el anonimato, le dijo a Motherboard que los intentos de ingresar a los servidores de SIGAINT fueron inútiles. Pero los atacantes aparentemente no se rindieron y recurrieron a otra forma más inteligente de atacar el servicio: pusieron en línea 70 nodos maliciosos de salida en Tor, lo que les permitía "espiar en tiempo real" a los usuarios de SIGAINT, de acuerdo con el administrador.

"Sabemos lo que perseguían" le dijo el administrador del sitio a Motherboard, "no hay manera de espiar emails que no abandonan la darknet sin espiar en el servicio de emails en si mismo".

Los nodos de salida son el ultimo "salto" en la red Tor donde alguien, utilizando el software de anonimato Tor, puede salir de vuelta a la red normal. Estos nodos también son la parte más vulnerable de la red Tor. Y es un problema conocido, si controlas un nodo de salidas de Tor, puedes -si quieres- ver lo que el usuario de Tor está haciendo mientras tu nodo esté arriba y también jugar con lo que el usuario ve.

En este caso y quien sea que fueron los atacantes, lo que querían era redirigir a los usuarios de SIGAINT.org, el sitio que solo sirve para promocionar la dirección .onion que es muy difícil de recordar (http://sigaintevyh2rzvw.onion/), hacia otro sitio .onion diferente pero similar, de acuerdo al administrador de SIGAINT.

En esencia estaban actuando como "un intermediario" cuando los usuarios de SIGAINT se conectaban a la red normal a través de uno de los 70 nodos maliciosos, lo que les permitía espiarlos.

Pese a que el administrador dice que "no hay manera que estemos seguros", debido a la cantidad de nodos maliciosos que los atacantes utilizaron y a otras "circunstancias extrañas", es probable que sean una agencia gubernamental, "la que ha sido enfurecida por muchos de nuestros usuarios en el pasado".

Las circunstancias extrañas, dice el administrador, fue que durante el mes anterior a los ataques, el administrador no recibió ninguna solicitud de parte de la ley, cuando normalmente reciben una a la semana.

Pero los expertos creen que este escenario no es muy posible.

Los atacantes utilizaron un largo número de nodos de salida, cerca del 6 por ciento del total. Pero en realidad, de acuerdo a Nicholas Weaver, un investigador en el Instituto internacional de ciencia computacional y en UC Berkeley, sólo hubo un 2.7 por ciento de probabilidades que un usuario de TOR se pudiera conectar a estos nodos y ser espiado. La posibilidad es muy baja si eres una agencia gubernamental y estas intentando espiar a un usuario de SIGAINT de alto valor.

"Asegurar que fue un actor estatal parece que es llegar demasiado lejos" le dijo Weaver a Motherboard.

Weaver estima que el costo de montar un ataque de este tipo costaría menos de $400 dólares al día, si es que los atacantes utilizaron sus propios servidores. Si hackearon los servidores de otros, el costo es cero. Considerando esto, Weaver concluyó que los atacantes podrían ser "cualquier persona".

Las personas que trabajan para Tor Project, el grupo sin fines de lucro que administra Tor, parecen estar de acuerdo.

Philipp Winter es un investigador en la Universidad Karlstad de Suecia y miembro del Tor Project, encargado de manejar los nodos de salida maliciosos, dijo que 70 es un número muy alto e inusual pero que no es "una tragedia" y que hay signos que haya sido armado por una agencia de espionaje.

"La explicación más simple es generalmente la mejor y un actor del estado no parece ser la explicación más simple para mi" le dijo a Motherboard. "Prácticamente todos los ataques de salida que hemos descubierto parecen haber sido hecho por unos idiotas cualquiera y no hay evidencia que señale en una dirección distinta".

Entonces los atacantes pueden ser una agencia de espionaje o quizás un vendedor de drogas enojado que quiere espiar a un competidor o quizás un ex novio o novia muy celosa. En otras palabras, no lo sabemos.

Pero este ataque sirve como una advertencia tanto los administradores de SIGAINT como para sus usuarios. Usar un proveedor de emails en la dark web no garantiza seguridad o privacidad; todavía hay formas en que los malos pueden espiarte. Y en este caso parece que SIGAINT podría haber hecho más para proteger a sus usuarios.

El sitio en internet de SIGAINT no está encriptado con HTTPS, lo que le dio la posibilidad a los atacantes de impersonar el sitio, cambiar la URL .onion y ponerse en la mitad del ataque. Cambiar a una encriptación en el sitio podría haber frustrado completamente este tipo de ataques, de acuerdo con Weaver y Winter.

El administrador de SIGAINT le dijo a Motherboard que tenían encriptación en el sitio, pero que los usuarios comenzaron a alegar que tendrían que pasar por "captchas" para visitar el sitio con Tor, un problema común con los sitios que utilizan CloudFlare, un servicio de protección contra ataques DDoS y también una red de entrega de contenidos.

En el post inicial de la lista de correos, el administrador de SIGAINT dijo que no usa HTTPS en el sitio porque las agencias de espionaje aun pueden sobrepasarlo utilizando certificados digitales falsos, un ataque es posible pero que raramente se ha visto.

Un comentarista en Hacker News escribió que este argumento es como "No ponerle candado a la puerta porque los ladrones la pueden echar abajo de una patada"

Weaver tiene una reacción mucho más colorida al mismo argumento.

"Esto es 100 por ciento pura mierda de vaca" le dijo a Motherboard.

Consultado sobre que harían ahora, el administrador de SIGAINT dijo que están considerando usar nuevamente la encriptación o borrar la dirección .onion de la pagina en internet. "Probablemente haremos lo segundo" dijo.

En este caso los usuarios tendrán que guardar la URL o escribirla en algún lugar, pero al menos un atacante ya no podrá impersonar el sitio en Internet y reemplazarlo con código malicioso.

No está claro cuantos usuarios fueron blanco de este ataque. El administrador dice que todos quienes visitaron el sitio en internet para encontrar el link a la dark web "deben cambiar sus passwords".

Quien haya estado detrás de los ataques sigue siendo un misterio.