Cuidado: pueden identificarte en la Dark Web con Tor con esta técnica

Tor Browser es una de las mejores opciones que tenemos para navegar de manera segura y anónima por Internet. Hay navegadores como Opera que tienen VPN integrado, pero con Tor tenemos la posibilidad de acceder a la Deep Web, y de usar un sistema de anonimización irrompible. O al menos cuando no se encuentran fallos o vulnerabilidades.

Así lo ha alertado FingerprintJS, desarrollador de una librería que se usa para prevención de fraude. La compañía afirma que ha identificado una nueva técnica de fingerprinting capaz de generar identificadores muy consistentes a través de navegadores web, incluso a través de Tor Browser. La compañía afirma que ellos usan fingerprinting, pero no a través de vulnerabilidades como esta, sino a través de lo que permite JavaScript de manera «legal». Por ello, han puesto en conocimiento del público esta vulnerabilidad para que se arregle.

El fingerprinting, más peligroso con esta técnica

El fingerprinting consiste en modelar la forma que tiene un usuario de usar el navegador en función de cómo mueve el ratón, la resolución que usa, las webs que visita, los contenidos que lee, las apps que tiene instaladas, etc. Estas técnicas están cada vez más depuradas, y permiten a una empresa modelar a personas a través de distintos navegadores web y dispositivos, incluso cuando esa persona está navegando en modo incógnito o sin acceder a sus cuentas personales.

Con ello, si usas Chrome para ver unas webs, y Tor para ver otras de manera anónima, es posible que alguien pueda identificarte a través de tu forma de navegar, desaninomizarte para rastrearte por Internet, e incluso identificarte. Esta técnica ha sido bautizada por la empresa como «scheme flooding», en referencia a los URL schemes que se usan para abrir enlaces como «skype://» para abrirlos con el programa asociado a ellos en el sistema operativo.

Con ello, un atacante puede saber qué apps tiene instaladas el usuario. Por ejemplo, una web puede comprobar una lista de 32 aplicaciones populares para ver si están instaladas en el sistema. En la web https://schemeflood.com/ podemos comprobar cómo de única es nuestra ID en función de los URL schemes que hayamos abierto en el navegador. En mi caso, he abierto recientemente Skype y Spotify, haciendo que mi identificador sea un 98,78% único. La pestaña ha de estar activa para que el ataque pueda llevarse a cabo.

fingerprinting scheme url

Los desarrolladores de navegadores están avisados

La web realiza la comprobación de la misma manera que cualquier otra web puede hacerla. El script se cancela si la app está presente, o genera un error si la app no está. Con ello, va poco a poco muestran las apps instaladas. En algunos navegadores puede dar error, además de otros factores como hardware lento, el uso de máquinas virtuales, etc.

La culpa en este caso es de los navegadores, que no deberían permitir el uso de este tipo de técnicas. La mayoría de extensiones obligan a que el usuario interactúe con ellas, pero otras como las que nos abre directamente la app de Correo o un PDF no requieren interacción, dando lugar a los abusos.

El equipo de Chromium está pensando actualmente como solucionar este tipo de ataques, ya que pueden usarse junto con otra mucha información del usuario para crear identificadores únicos con un margen de error bajísimo.