La historia de Tor: cómo un proyecto de la Armada de EE. UU. se convirtió en la red de anonimato de internet
Creado por la Armada de EE. UU. para ocultar espías: la historia secreta de Tor y el enrutamiento cebolla
La red de anonimato más utilizada del planeta no fue construida por activistas de la privacidad. Fue construida por las fuerzas armadas de Estados Unidos, en concreto por matemáticos e informáticos del Laboratorio de Investigación Naval de EE. UU., que necesitaban una forma de que sus oficiales de inteligencia usaran la internet abierta sin anunciar que trabajaban para el gobierno. La tecnología que inventaron se llama enrutamiento cebolla (onion routing), y el software que surgió de ella se llama Tor.
Pero aquí está la paradoja que lo explica todo sobre cómo funciona Tor y por qué existe en la forma que tiene hoy: una herramienta de comunicación secreta usada únicamente por espías no vale nada, porque cualquiera que observe la red puede ver que todos los que están en ella son espías. Para ocultar a sus propios usuarios, el sistema de anonimato de la Armada tuvo que ponerse en manos de periodistas, activistas, delincuentes, investigadores y gente corriente de todo el mundo. Este artículo reconstruye esa historia con precisión —quién la creó, cuándo y por qué— y luego hace lo que la mayoría de los artículos de "Tor frente a VPN" se niegan a hacer: explicar con honestidad qué oculta realmente cada uno.
Una red de espías con un fallo fatal
Imagina que una agencia de inteligencia construye una red privada y cifrada y solo permite usarla a sus propios agentes de campo. El cifrado es impecable; nadie puede leer los mensajes. Aun así, persiste un problema catastrófico. Cualquiera capaz de observar el tráfico de internet —el operador de telecomunicaciones de un gobierno hostil, por ejemplo— puede ver quién se conecta a esa red. No necesita romper el cifrado. El mero hecho de que un ordenador en una capital extranjera esté comunicándose con el "sistema de anonimato del gobierno de EE. UU." es, por sí solo, todo el secreto, al descubierto.
Esta es la idea central que está en el corazón del diseño de Tor. El anonimato no es una propiedad de una sola persona; es una propiedad de una multitud. No puedes esconderte dentro de un grupo de uno. El nombre técnico de esto es el conjunto de anonimato: cuanto mayor y más diversa sea la población de usuarios, más difícil resulta señalar a cualquier individuo dentro de ella. Un oficial de inteligencia militar navegando por la web solo es invisible si un estudiante en Brasil, un periodista en Turquía y un aficionado a la privacidad en Alemania están usando exactamente la misma red en el mismo instante, indistinguibles entre sí.
Una red privada usada solo por espías es un letrero de neón que dice "aquí hay un espía". La única forma de ocultar el tráfico del gobierno era enterrarlo dentro del de todos los demás.
Los propios creadores de Tor escribieron más tarde un artículo que dejaba esto explícito, con el memorable título "Anonymity Loves Company" (el anonimato adora la compañía). La usabilidad de un sistema de anonimato y su seguridad no son preocupaciones separadas: son la misma preocupación. Una herramienta que nadie más usa no puede proteger a nadie, incluidas las personas que la construyeron. Por eso la Armada no podía mantener el enrutamiento cebolla clasificado y bajo llave. Para proteger a sus usuarios previstos, tenía que entregárselo al mundo.
Nacido en el Laboratorio de Investigación Naval
El enrutamiento cebolla se concibió a mediados de la década de 1990 en el Laboratorio de Investigación Naval de EE. UU. (NRL) en Washington, D. C. Los tres investigadores a quienes se atribuye su invención son el matemático Paul Syverson y los informáticos David Goldschlag y Michael Reed. Su objetivo era concreto y poco glamuroso: proteger las comunicaciones de inteligencia de EE. UU. que viajaban por redes públicas, de modo que el origen y el destino del tráfico sensible no pudieran ser reconstruidos por un observador.
La primera descripción pública del trabajo apareció en 1996, en un artículo titulado "Hiding Routing Information" (Ocultar la información de enrutamiento), presentado en un taller sobre ocultación de información. El equipo también solicitó una patente; la patente estadounidense 6.266.704, "Onion routing network for securely moving data through communication networks", se asignó a la Armada de EE. UU. y se concedió en 2001. El primer prototipo —a veces llamado enrutamiento cebolla de generación cero— incluso ejecutaba su prueba de concepto en una sola máquina, más una demostración de investigación que una red global.
El nombre es una descripción literal de la técnica. Un mensaje se envuelve en capas sucesivas de cifrado, como las capas de una cebolla, y cada relé por el que pasa retira exactamente una capa, aprendiendo solo lo justo para pasar el mensaje al siguiente salto, y nada más. Ningún relé ve nunca a la vez quién eres tú y qué estás haciendo.
El enrutamiento cebolla en palabras sencillas
Esto es lo que ocurre realmente cuando cargas una página a través de Tor. Tu software cliente construye una ruta —llamada circuito— a través de tres relés gestionados por voluntarios repartidos por todo el mundo. Tu tráfico se cifra en tres capas anidadas antes incluso de salir de tu ordenador.
El relé de entrada (o de guardia) ve tu dirección IP real —sabe quién eres— pero, debido al cifrado por capas, no tiene ni idea de qué sitio visitas ni qué estás enviando.
El relé intermedio no ve ninguno de los dos extremos. Solo sabe que recibió datos del relé de guardia y que debe pasarlos al de salida. Es un mensajero con los ojos vendados que entrega un paquete sellado.
El relé de salida retira la última capa y envía tu solicitud al sitio web de destino. Ve qué estás haciendo —el destino y cualquier contenido sin cifrar— pero ve la dirección del relé intermedio, no la tuya. No tiene ni idea de quién eres.
La seguridad del sistema proviene de esta separación del conocimiento. La pieza que conoce tu identidad (el relé de guardia) es ciega a tu actividad. La pieza que conoce tu actividad (el relé de salida) es ciega a tu identidad. Para desenmascararte, un adversario normalmente necesitaría controlar u observar tanto la entrada como la salida de tu circuito y correlacionar los tiempos del tráfico: un ataque real pero difícil. Por defecto, Tor también rota a nuevos circuitos con el tiempo, de modo que no quedas fijado a una sola ruta.
Esta es la diferencia estructural que más importa cuando comparemos Tor con una VPN más adelante: la confianza en Tor está distribuida entre tres partes independientes, ninguna de las cuales puede desanonimizarte por sí sola. Ningún operador individual tiene la imagen completa.
De proyecto de la Armada a organización sin fines de lucro: el nacimiento del Tor Project
La versión de la tecnología que la mayoría de la gente usa hoy —"Tor", originalmente un acrónimo de The Onion Router (el enrutador cebolla)— es un rediseño de segunda generación. Hacia 2002, Paul Syverson, del NRL, se asoció con dos desarrolladores externos, Roger Dingledine y Nick Mathewson, para reconstruir el enrutamiento cebolla y convertirlo en algo práctico, desplegable y global. Los primeros relés de la red Tor entraron en funcionamiento en octubre de 2002, y el artículo de diseño fundacional, "Tor: The Second-Generation Onion Router", se publicó en el USENIX Security Symposium en 2004.
Algo crucial: el proyecto pasó a ser de código abierto. La Armada liberó el código de Tor bajo una licencia libre y abierta, lo que significaba que cualquiera podía leerlo, auditarlo, ejecutar un relé y comprobar que no había una puerta trasera oculta: una propiedad esencial para una herramienta cuyo valor entero depende de que los usuarios confíen en ella. En 2004, la Electronic Frontier Foundation (EFF) intervino para financiar el desarrollo continuo, ayudando a sacar a Tor de un linaje puramente militar y a llevarlo al mundo de las libertades civiles.
En diciembre de 2006, los desarrolladores constituyeron The Tor Project, Inc. como una organización sin fines de lucro de investigación y educación con estatus 501(c)(3), con Dingledine, Mathewson y Syverson entre sus fundadores. Desde entonces, el Tor Project se ha financiado con una mezcla de fuentes que incluye subvenciones del gobierno de EE. UU. (la Fundación Nacional de Ciencia, los programas de libertad en internet del Departamento de Estado y lo que hoy es la Agencia de EE. UU. para los Medios Globales), fundaciones privadas y donaciones individuales. Puedes leer el relato del propio proyecto sobre su misión y su software en el Tor Project.
Tor frente a VPN: dos clases distintas de confianza
La mayoría de las comparaciones de "Tor frente a VPN" plantean la cuestión como cuál de los dos es "más privado", como si la privacidad fuera un único dial. Ese planteamiento es erróneo. La diferencia honesta es en quién tienes que confiar y qué puede ver.
Cuando usas una VPN comercial, tu tráfico se cifra desde tu dispositivo hasta el servidor del proveedor de la VPN, que luego lo reenvía al resto de internet usando la dirección IP del proveedor. Esto oculta tu actividad a tu proveedor de servicios de internet y a los sitios web que visitas (ven la IP de la VPN, no la tuya). Pero fíjate en lo que no hace: el propio proveedor de la VPN se sitúa en medio y puede ver tanto tu dirección IP real como todos los destinos a los que te conectas. No has eliminado el punto único de confianza: lo has trasladado de tu proveedor de internet a tu empresa de VPN. Todo descansa sobre la honestidad de ese único proveedor, su política de registros y su resistencia a la presión legal.
Tor se diseñó específicamente para eliminar a esa única parte de confianza. Su estructura de tres relés significa que ninguna entidad —ni el relé de guardia, ni el de salida, ni el sitio web— conoce a la vez quién eres y qué estás haciendo. Ese es el intercambio que hace Tor:
VPN = confianza en un solo proveedor. Una empresa ve tu identidad y tus destinos. Rápida, sencilla, buena para ocultar el tráfico a tu proveedor de internet y a los sitios web, pero solo tan fiable como esa única empresa.
Tor = confianza distribuida. Tres relés independientes, sin operador central, sin cuenta, sin rastro de pago. Mucho más fuerte frente a la desanonimización, pero más lento y con su propio punto débil característico en la salida.
Tareas distintas. Una VPN es una herramienta de privacidad y de acceso con un operador de confianza. Tor es un sistema de anonimato diseñado para eliminar por completo la necesidad de confiar en operador alguno.
El problema del nodo de salida que los listículos se saltan
Aquí está el detalle que los artículos comparativos superficiales tienden a omitir. Como el relé de salida de Tor retira la última capa del cifrado de Tor para entregar tu solicitud al destino, el operador de la salida puede ver lo que envíes en claro. Si inicias sesión en un sitio mediante HTTP simple y sin cifrar, el relé de salida puede leer tu nombre de usuario y tu contraseña. Tor oculta a ese relé quién eres, pero no cifra mágicamente tu contenido de extremo a extremo con el sitio web.
Esto no es teórico. En 2007, el investigador de seguridad Dan Egerstad montó un puñado de relés de salida de Tor y recopiló credenciales de acceso de correo electrónico que funcionaban, pertenecientes a decenas de embajadas y cuentas gubernamentales de todo el mundo, no rompiendo Tor, sino simplemente leyendo el tráfico sin cifrar que usuarios descuidados estaban empujando a través de sus nodos de salida. La lección sigue vigente hoy: cualquiera puede ofrecerse como voluntario para gestionar un relé de salida, incluido uno hostil, así que el cifrado de transporte hasta el destino (HTTPS) sigue importando enormemente al usar Tor.
En cambio, la "salida" de una VPN es el proveedor que elegiste y (idealmente) examinaste, no un voluntario anónimo al azar. Ninguno de los dos modelos es estrictamente más seguro: fallan de maneras distintas. Una VPN concentra el riesgo en una parte conocida; Tor lo distribuye entre partes desconocidas. Cuál resulta aceptable depende por completo de contra qué te estés defendiendo.
A quién protege Tor de verdad, y el problema de la web oscura
Quita la mitología y la base de usuarios real de Tor es amplia y, en su mayoría, anodina. Los periodistas de investigación lo usan para documentar reportajes y proteger a sus fuentes. Grandes organizaciones de noticias y grupos de derechos humanos operan sistemas de envío para denunciantes basados en Tor: la plataforma de código abierto SecureDrop, utilizada por medios entre los que hay periódicos y revistas, se apoya en la tecnología de servicios ocultos de Tor. Activistas y ciudadanos corrientes en países con fuerte censura lo usan para alcanzar la web abierta. La policía y las agencias de inteligencia lo usan exactamente por la razón original del NRL: hacer su trabajo sin anunciar las direcciones IP de su organización. Los materiales de la NSA filtrados por Edward Snowden en 2013 incluían incluso una presentación de la agencia francamente titulada "Tor Stinks" (Tor apesta), que se quejaba de que la red era lo bastante eficaz como para que la NSA no pudiera desanonimizar de forma fiable a todos sus usuarios a voluntad.
Y luego está el problema de la reputación. La misma función de servicios ocultos que permite a un periódico alojar una línea anónima de avisos también permite operar a mercados ilegales, el más infame el mercado de drogas Silk Road, clausurado en 2013. Esta es la fuente de la truculenta imagen de "web oscura" de Tor. Pero la proporción importa: la inmensa mayoría del tráfico de Tor es gente navegando de forma anónima por la web corriente. Los servicios cebolla (sitios con direcciones .onion accesibles solo a través de Tor) son una pequeña fracción de la actividad, y van desde mercados delictivos hasta réplicas de sitios de noticias convencionales y grandes plataformas que los mantienen precisamente para atender a lectores en regiones censuradas.
Por qué los gobiernos financian aquello que también intentan romper
El hecho más extraño en la historia de Tor es que el gobierno de EE. UU. lo financia y a la vez intenta derrotarlo, y ambos comportamientos son racionales. Distintas partes de un gobierno tienen distintas misiones. Los programas de libertad en internet y de política exterior quieren una red de anonimato fuerte y popular, porque ayuda a que disidentes y periodistas bajo regímenes autoritarios se comuniquen y porque —de vuelta a la paradoja fundacional— los propios agentes de esas mismas agencias solo están ocultos si millones de personas más usan la misma herramienta. Un Tor débil con pocos usuarios no protege a nadie, incluidos ellos.
Mientras tanto, las ramas de inteligencia de señales y de las fuerzas del orden del mismo gobierno tienen el mandato de vigilar objetivos concretos, y para ellas una red de anonimato fuerte es un obstáculo. Así que investigan ataques contra ella. No hay contradicción una vez que aceptas que "el gobierno" no es un único actor con un único objetivo. La existencia continuada de Tor, en parte con dinero gubernamental, es la expresión institucional de la mismísima paradoja de la que nació: el anonimato para unos pocos exige el anonimato para muchos.
Conclusión: elige por modelo de amenaza, no por el bombo publicitario
La pregunta "¿Es Tor o una VPN más privado?" no tiene respuesta porque es la pregunta equivocada. La pregunta correcta es: ¿qué estás ocultando y de quién? Decide según tu modelo de amenaza.
¿Ocultar tu navegación a tu proveedor de internet, o desbloquear contenido, con buena velocidad y un único operador de confianza? Una VPN encaja en esa tarea, siempre que confíes de verdad en el proveedor, porque puede ver todo lo que haces.
¿Frustrar la identificación cuando ninguna parte por sí sola debería poder vincular nunca tu identidad con tu actividad, para un periodista, una fuente, un disidente o un investigador? El diseño de confianza distribuida de Tor es para lo que fue creado, asumiendo velocidades más lentas y la necesidad de HTTPS para protegerte de relés de salida hostiles.
¿Te enfrentas a un adversario poderoso capaz de observar grandes partes de la red? Entiende que ninguna herramienta de consumo es un manto mágico; la disciplina operativa (en qué inicias sesión, qué revelas) a menudo importa más que la herramienta en sí.
La historia de Tor es, en última instancia, una lección de diseño contraintuitivo. La red de privacidad más poderosa que tenemos existe porque un laboratorio de inteligencia militar comprendió que el secreto y las multitudes no son opuestos: que la única forma de ocultar a unas pocas personas importantes era proteger a todo el mundo. El enrutamiento cebolla no se filtró de la Armada por accidente. Se liberó a propósito, porque esa era la única manera de que pudiera funcionar.
Preguntas frecuentes
¿Quién creó Tor?
El enrutamiento cebolla, la tecnología sobre la que se construye Tor, fue inventado a mediados de la década de 1990 por Paul Syverson, David Goldschlag y Michael Reed en el Laboratorio de Investigación Naval de EE. UU. El software moderno de Tor lo desarrolló después, a partir de aproximadamente 2002, Syverson junto con Roger Dingledine y Nick Mathewson, quienes más tarde cofundaron la organización sin fines de lucro Tor Project en diciembre de 2006.
¿De verdad construyó el gobierno de EE. UU. Tor y el enrutamiento cebolla en el Laboratorio de Investigación Naval?
Sí. El enrutamiento cebolla fue un proyecto del Laboratorio de Investigación Naval de EE. UU., financiado por la Armada y más tarde por DARPA, originalmente para proteger en línea las comunicaciones del gobierno y de inteligencia. El código se liberó deliberadamente como código abierto, y el Tor Project todavía recibe parte de su financiación de los programas de libertad en internet del gobierno de EE. UU., junto con fundaciones y donantes.
¿Por qué se hizo público Tor si se construyó para espías?
Porque el anonimato requiere una multitud. Una red usada solo por agentes del gobierno identificaría al instante a todos los que estuvieran en ella como agentes del gobierno. Para ocultar a sus usuarios previstos, la herramienta tuvo que abrirse a periodistas, activistas y gente corriente, de modo que ningún usuario individual destaque dentro de una población amplia y diversa.
¿Cuál es la diferencia entre Tor y una VPN en cuanto a historia y diseño?
Tor surgió de un proyecto de investigación militar para convertirse en una red de anonimato sin fines de lucro que reparte la confianza entre tres relés independientes, de modo que ninguna parte conoce a la vez quién eres y qué haces. Una VPN es un servicio comercial donde un único proveedor enruta tu tráfico y puede ver tanto tu identidad como tus destinos. Tor elimina a la única parte de confianza; una VPN concentra la confianza en una sola empresa que tienes que examinar.
¿Es Tor lo mismo que la web oscura?
No. Tor es una red de anonimato para usar la internet normal de forma privada, y la inmensa mayoría de su tráfico es navegación web corriente. La "web oscura" se refiere a los servicios ocultos .onion accesibles solo a través de Tor, que son un pequeño subconjunto de la actividad y van desde mercados delictivos hasta sistemas legítimos para denunciantes y réplicas de noticias para regiones censuradas.
¿Es seguro usar Tor y cuál es el riesgo del nodo de salida?
Tor protege con fuerza tu identidad, pero el último relé —el nodo de salida— puede leer cualquier tráfico que envíes sin cifrar, porque retira la última capa de Tor para llegar al destino. Cualquiera puede gestionar un relé de salida, incluido uno malicioso; en 2007 un investigador capturó así credenciales de embajadas. Usar sitios con HTTPS mitiga esto, ya que tu contenido permanece cifrado hasta el destino incluso en la salida.
¿Debería elegir Tor o una VPN?
Decide por modelo de amenaza, no por cuál se etiqueta como "más privado". Una VPN sirve para ocultar el tráfico a tu proveedor de internet o desbloquear contenido con un único operador de confianza y buena velocidad. Tor sirve para situaciones en las que ninguna parte por sí sola debería poder vincular nunca tu identidad con tu actividad, como el periodismo, las fuentes o eludir la censura, a costa de la velocidad.
