The Tor Project, grupo responsable de la red de servidores que permiten una navegación anónima en Internet, cree que el FBI le pagó a investigadores de la Universidad Carnegie Mellon para que encuentren la forma de quitar el anonimato a los usuarios del servicio. "Al parecer, el FBI le pagó a estos investigadores para atacar a una amplia extensión de usuarios de servicios ocultos y luego tamizar sus datos para encontrar personas a las que podrían acusar de delitos", dice la organización en su blog oficial.
El pago del FBI a Carnegie Mellon habría sido de al menos un millón de dólares, según pudo saber The Tor Project.
Actualización 16/11/2015, 11:00 hs.: Una vocera del FBI negó la acusación y le dijo a Ars Technica: "La alegación de que pagamos [a Carnegie Mellon University] $1 millón para hackear a Tor es inexacta". Pero, como resalta el portal, no queda claro qué es lo que consideran inexacto: ¿el monto o la participación en sí misma? El FBI no dio declaraciones posteriores, ni tampoco lo hicieron la universidad y The Tor Project.
El alias "arma" cuenta en la publicación de The Tor Project que todo comenzó con un ataque que descubrieron en 2014, el cual, a su parecer, no contaba con una validación de las autoridades institucionales ni oficiales. En ese entonces, los investigadores de Carnegie Mellon no apuntaron específicamente a delincuentes o a actividades criminales, sino que se dirigieron en forma indiscriminada a muchos usuarios a la vez. Esto, naturalmente, atenta contra el anonimato y la privacidad que siempre ha ofrecido la red Tor, la cual afirmó:
Una acción de este tipo es una violación a nuestra confianza y lineamientos básicos para la investigación ética. Apoyamos fuertemente la investigación independiente en nuestro software y nuestra red, pero este ataque cruza la línea crucial entre investigación y poner en peligro a usuarios inocentes.
Desde que en julio del año pasado solucionaron la vulnerabilidad que se había explotado, la prevención de ataques de confirmación de tráfico pasó a estar en agenda con el objetivo de que no se pierda el anonimato de la red. El aviso de seguridad publicado en aquel momento indicaba que el equipo de Tor encontró un grupo de 115 non-exit relays (nodos intermedios de la red) maliciosos, que estaban monitoreando activamente los relays a ambos extremos del circuito para des-anonimizar a los usuarios.
Tras advertir lo ocurrido, The Tor Project lanzó las actualizaciones correspondientes para que no se pudiera expotar más esa vulnerabilidad. Luego de esto, como señala The Hacker News, fue cancelada una charla que iba a tener lugar en la conferencia BlackHat de la mano de Michael McCord y Alexander Volynkin, de la Universidad, sobre la des-anonimización de usuarios de Tor. La presentación iba a detallar una forma de exponer las direcciones IP de los navegantes usando hardware con un costo total de 3 mil dólares, probando las técnicas que habían desarrollado para dar con personas sospechosas de estar involucradas en pornografía infantil y tráfico de drogas.
The Tor Project concluye que, si bien están abiertos a que su red se utilice para investigaciones con fines académicos, no se debería exponer la identidad de los usuarios que la eligen por cuestiones de privacidad. Su publicación afirma: "Cualquiera sea la investigación académica en seguridad en el siglo XXI, ciertamente no incluye 'experimentos' pagos que pongan en peligro indiscriminadamente a extraños sin su conocimiento o consentimiento".