Se nos pide que emitamos un informe de estudio de situación, valorando la viabilidad o no de iniciar acciones judiciales contra unas personas no identificadas con nombres y apellidos y que han perjudicado la reputación de nuestro cliente, han revelado información de índole privado, han revelado datos relativos a su identidad, a su localización y sospecha que está siendo víctima de seguimiento a través de algún tipo de malware instalado en su ordenador, lo cual hace que se difundan imágenes en varios foros e incluso contenidos con terceros que sólo podían haberse producido de existir alguna herramienta de control remoto en su ordenador.

La identidad de los investigados

En un foro, lo habitual es que los usuarios no suelan vincular su identidad analógica o real a su avatar ni a palabra alguna de su perfil vinculado con su nombre y apellidos.

Tras varias horas de búsqueda, siguiendo los hilos de las conversaciones, vemos que varios de los miembros de ese grupo organizado, conscientes de que son vigilados por su víctima, publican comentarios manifestando abiertamente lo siguiente:

Igual que haríamos con una Pericial Forense, analizamos todos y cada uno de los términos, menciones, programas o aplicaciones que los investigados dicen que utilizan a fin de delimitar el alcance de nuestras posibilidades para identificar a los agresores.

El grupo “organizado” habla  además de las Distros y de los vínculos con Tor y con I2P, citan Cloudflare y el buscador Ixquick.

Con la finalidad de “entender” por completo el discurso indagamos acerca de todo lo que comentan:

 

¿Qué es una Distro?

Una Distro pertenece al sistema operativo Linux. Son packs para instalar con cierta limpieza. Las Distros se distinguen entre las fáciles de usar pero menos configurables y las difíciles de usar pero más personalizables.

Ubuntu es una Distro de Linux como XP o Windows 7 es una Distro de Windows.

Parrot Security OS es una distribución GNU/Linux especializada en la seguridad informática y orientada por tanto a realizar labores de pentesting, informática forense, hacer ingeniería inversa, navegar de forma anónima, y practicar criptografía. Es decir una distro de hacking completa, indicada tanto para novatos como profesionales y que desde hace un par de años está desarrollando el equipo de FrozenBox, una comunidad de hackers italianos.

Nada más abrir el menú de la distro nos encontramos algo que nos llama la atención: es el apartado anon surf, que cuenta con un script que permite anonimizar nuestro tráfico de internet utilizando la red Tor o I2P.

 

De las peculiaridades de TOR

La Red TOR es una red diseñada específicamente para que no puedan ser identificadas las personas que navegan por ella. La identidad queda supuestamente enmascarada, aunque también hay ejemplos de identificación de usuarios en ella, como se cita en el artículo “Así se puede descubrir tu dirección real IP cuando estás dentro de TOR” y “Un programador español descubre cómo reconocer a alguien en TOR con el movimiento del ratón”.

La mayor parte del tráfico de datos de la red se encuentra cifrado y las grabaciones que quedan en los ordenadores acerca de la navegación que ha efectuado un usuario queda en la memoria volátil del mismo, por lo que, sin lugar a dudas, los rastros de navegación desparecerán.

Esto es lo que hace muy difícil el seguimiento en la Deep Web, o web profunda, de usuarios concretos puesto que los rastros son complicados de seguir hasta la identidad cierta. Ese anonimato les otorga a los usuarios la libertad de intercambiar contenidos altamente sensibles e incluso ilegales en la DarkNet y, como en este caso, hablar / compartir acerca de material de pornografía e incluso de intercambiar sexo grupal, etc.

Hay también “servicios” que quedan ocultos al usuario por lo que permiten hacer publicidad de ellos sin necesidad de revelar la ubicación y únicamente son accesibles desde la red TOR. El hecho de que estos servicios se mantengan en la red TOR supone que exponen la identificación de la dirección IP desde la cual operan y, por ello, no pueden ser rastreados por los cuerpos policiales. Cualquier usuario que accede a los servicios lo hace desde los “rendezvouz points” o puntos de encuentro. Ningún usuario conoce la dirección IP de los otros usuarios.

Acerca del Cloudflare

Cloudflare es un sistema gratuito que actúa como un proxy (intermediario) entre los visitantes del sitio y el servidor. Al actuar como un proxy, CloudFlare guarda temporalmente contenido estático del sitio, el cual disminuye el número de peticiones al servidor, pero sigue permitiendo el acceso a los usuarios al sitio web peticionado.

Cómo funciona?

CloudFlare tiene servidores distribuidos alrededor del mundo. Un proxy inverso o reverse proxy es un servidor web que funciona como un intermediario entre el navegador que utiliza el usuario que hace la petición y el servicio de alojamiento, llamado hosting, donde se encuentran alojados los servicios. Los proxys inversos se utilizan para un mejor control de la navegación, funciona como un cortafuegos o firewall, El sitio web es más seguro al estar situado detrás de un poderoso firewall, bloquea el spam, impide el scraping y otras amenazas.

Las páginas cargan aproximadamente dos veces más rápido.

Hay que redirigir los DNS al servidor de Cloudflare para que haga su trabajo de firewall filtrando los accesos a nuestro servicios.

En conclusión: protege y acelera tu sitio web actuando como un CDN Content Delivery Network, replicando los contenidos de tu web en diferentes Servidores para que el acceso del usuario a las mismas sea mucho más rápido. Puede bloquear IPs o incluso bloquear países enteros en caso de ser necesario, también te libra de por sí de muchos robots y rastreadores.

Acerca del buscador Ixquick

Es un servicio de motor de búsqueda, como podría ser Google o Yahoo en el que se destaca principalmente las siguientes características:

  1. No hay grabación de las direcciones IP de los usuarios.
  2. No se identifican cookies.
  3. Ninguna recopilación de datos personales.
  4. No se comparten datos personales con terceros.
  5. Ofrece conexiones seguras y cifradas (HTTPS / SSL)
  6. Un servicio de proxy gratuito que permite la navegación anónima de sitios web.

Todo ello, a priori nos revela, por los mensajes que obran arriba, que los acosadores son conscientes de que se conectan al blog de la página X de forma anónima, incluso conocen las herramientas de anonimización de la navegación para el supuesto de faltarles unas, utilizan otras, por lo que la identificación de los agresores / delincuentes queda bastante dificultada y con pocas probabilidades de identificación.