Tor es una de las herramientas más conocidas y potentes para acceder a Internet de manera anónima y segura, pero su seguridad no es perfecta. Tor Browser, el navegador oficial del proyecto y una de las formas más usadas de acceder a Tor, viene con JavaScript activado por defecto —y eso significa peligro.
Jose Carlos Norte, CTO de eyeOS (la startup que compró Telefónica en 2014), ha ideado una manera de reconocer a un usuario de Tor con algo de código en JavaScript. Según explica en un artículo de su web, es fácil hacer un seguimiento de los movimientos del ratón de un usuario a través de una página web para crear una huella digital, como un perfil de esa persona anónima.
Con un programa así, dice Jose Carlos, “sería posible identificar al usuario si su huella digital es la misma en en navegador Tor que en un navegador normal utilizado para navegar por Internet”. Cada usuario mueve el ratón de una manera única, “si puedes observar esos movimientos en un número suficiente de páginas que el usuario visite fuera de Tor, puedes crear una huella digital para identificarlo” explica el programador español.
Jose Carlos implementó una prueba de concepto para demostrar el tipo de información que se puede recopilar a través del navegador. “El vector de huella digital más interesante que he encontrado en Tor Browser es getClientRects”, comenta, un método que pregunta a la API del navegador por la posición y el tamaño de los elementos de una web, a través del cual se pueden rastrear al milímetro los movimientos de un usuario.
Otros programadores dudan de la efectividad de este método para reconocer fielmente a un usuario, por las limitaciones de la API del navegador. Aun así, Jose Carlos Norte recomienda desactivar por completo JavaScript para evitar que otros hackers puedan rastrearte a través de algo tan inocente como tus movimientos del ratón.
0 Comentarios