Guillem Alsina Gonzàlez
Aunque posiblemente lo veamos como algo muy «para hackers«, lo cierto es que el proyecto Tor ha creado soluciones muy interesantes para el día a día de las empresas, aunque su aplicación requiere de ciertos conocimientos avanzados en materia de informática.
Evidentemente, la principal de estas soluciones es su red anonimizada que, utilizando Internet como base, permite las comunicaciones seguras y encriptadas de extremo a extremo, permitiendo que el origen y el destino de las comunicaciones sean seguros y anónimos. Esta red, que ha sido útil para escaparse de la censura de la red en muchos países sometidos a regímenes dictatoriales, ha sido también utilizada por ciberdelincuentes y criminales de toda índole para sus finalidades delictivas, y ello es lo que le ha dado mala fama, llevando a que su uso pueda convertir al simple usuario en sospechoso en muchos otros países, incluso aquellos que son democráticos.
El empleo de estas tecnologías en el mundo corporativo no es algo tan habitual, pero tampoco es inaudito.
Y, ahora, a este abanico de soluciones se le añade oniux, una solución que permite aislar las conexiones a la red de cualquier aplicación de GNU/Linux, haciéndola entrar en la red de comunicación de Tor, algo que hasta ahora solamente podía hacerse con el software del propio proyecto.
Esto, a la práctica, equivale a permitir que cualquier aplicación envíe y reciba sus datos a través de la red de una forma segura y anónima, lo que permite esconder las comunicaciones sensibles de ojos indiscretos.
La aparición de oniux permite asegurar que un simple error en la configuración de un proxy o una llamada al sistema fuera del envoltorio SOCKS, no pueda desviar paquetes al exterior de la red y, con ello, comprometer la confidencialidad del usuario. Este es un problema que afecta de forma especial a desarrolladores, investigadores y organizaciones que dependen de una comunicación estrictamente anónima.
Creado a partir de los proyectos Arti y onionmasq, oniux actúa como intermediario entre el sistema y la aplicación seleccionada para situar a ese programa en un entorno aislado que dirige el tráfico exclusivamente a través de la red Tor sin requerir modificaciones en el código ni ajustes adicionales por parte del administrador.
La clave de esta propuesta reside en la elección de un mecanismo propio del núcleo de Linux: los namespaces.
Namespaces y aislamiento de red
Los namespaces debutaron en el kernel (núcleo) de Linux a principios de la década de los 2000 como herramienta para segmentar recursos del sistema. Al confinar procesos, montajes, identificadores o la pila de red, evitan que una aplicación interactúe con el resto del entorno más allá de lo previsto y, por lo tanto, aportan seguridad y robustez al sistema. Tecnologías de contenedores como Docker se basan precisamente en esta capacidad para ofrecer sus garantías de separación en la ejecución.
Aplicado al tráfico, el aislamiento se concreta en una red privada donde la aplicación carece de acceso a las interfaces habituales, como eth0, viendo en su lugar solamente la interfaz virtual onion0 creada por onionmasq. Desde ese instante, todos los flujos se encauzan por Tor de forma transparente.
Al ser una función del kernel, el método impide que un binario, incluso por error, realice conexiones directas al exterior.
Esta estrategia contrasta con el uso de proxys SOCKS, en los que la seguridad depende de que la aplicación invoque las funciones adecuadas; basta un atajo o una librería estática para que aparezca una filtración de los datos, un vector que, con el uso de los namespaces, desaparece.
Diferencias frente a torsocks
La utilidad torsocks fue, en su momento y que se ha mantenido en el tiempo, la respuesta para enrutar programas a través de Tor. Su enfoque consiste en interceptar las llamadas de red de la biblioteca libc y redirigirlas al proxy SOCKS.
La gran ventaja que presenta esta solución es un alto grado de compatibilidad entre plataformas, mientras que la desventaja es que, como he explicado con anterioridad, cualquier aplicación ensamblada estáticamente —o desarrollada en entornos como Zig— puede saltarse el interceptor sin pretenderlo.
En contraposición, oniux no modifica funciones ni bibliotecas, emplea la separación que ofrece el kernel para que la aplicación no tenga “dónde” filtrar, pues el único camino disponible es la interfaz onion0. Así, se amplía la compatibilidad con binarios estáticos y se reduce el margen de error humano al configurar proxys.
Para los departamentos de desarrollo y de TI, esta diferencia resulta crucial: elimina la necesidad de auditar cada dependencia en busca de rutas de escape y simplifica la validación de cumplimiento normativo en entornos donde la privacidad es prioritaria.
Los responsables del desarrollo advierten que oniux se encuentra en fase experimental, y que utiliza componentes jóvenes dentro del ecosistema Tor, como Arti y onionmasq, mientras que torsocks presume de más de quince años de rodaje. No obstante, la ambición es alcanzar un grado de robustez comparable mediante pruebas comunitarias y adopción progresiva en entornos críticos.
