1

Seguridad Darknet: una categorización de ataques

a la red Tor

Protocolo de red popular para comunicaciones anónimas. Desarrollado a partir de un proyecto

interno del Laboratorio de Investigación Naval de los Estados Unidos, por lo tanto heredado por
la organización sin fines de lucro Tor a fines de 2003, Tor fue creado para mejorar
privacidad y seguridad de los usuarios de Internet. Tor adquirió rápidamente la adopción en
Internet: mientras que en enero de 2010, se distribuyeron alrededor de 1,000 retransmisores
públicos de Tor en todo el mundo, este número aumentó rápidamente a casi 8,000 en enero de
2015, y actualmente se estabiliza en alrededor de 7,000 nodos. En virtud de su efectividad, los
niveles de anonimato proporcionados por Tor a menudo resultan incómodos para las fuerzas del
orden público o los gobiernos propensos a las actividades de censura en Internet. Esta
declaración está confirmada por una competencia de julio de 2014 organizada por el gobierno
ruso, que otorga un precio de 110.000 USD a cualquier ciudadano ruso que rompa la red Tor con
fines de seguimiento.1.
Debido a la adopción de la red Tor y la naturaleza de los contenidos intercambiados, es
importante explorar profundamente la red, su funcionamiento y las debilidades asociadas, en el
contexto de seguridad de la darknet. En este artículo analizamos los ciberataques en la red Tor,
proponiendo una taxonomía exhaustiva de los ataques disponibles, analizando el objetivo del
ataque. Aunque otros trabajos proponen un estudio de los ataques Tor [12], el trabajo propuesto
reporta un conjunto más amplio de amenazas, proponiendo también una categorización de las
mismas. En particular, informamos el funcionamiento de la red Tor en la Sección 2, por lo tanto,
categorizamos y describimos los ataques disponibles en la Sección 3. La Sección 4 informa en
cambio consideraciones sobre los ataques analizados, mientras que, finalmente, la Sección 5
informa las conclusiones del trabajo.

2 El Protocolo Tor

Tor puede ser adoptado para ocultar la identidad del cliente mientras navega en la
superficie web (incluyendo sitios web accesibles a través de un navegador común) [13], o
mientras accede a servicios ocultos en la red Tor [14]. Considerando el primer escenario, de
acuerdo con la Figura 1, cada comunicación involucra varios nodos de retransmisión
públicos: (i) el cliente, (ii) el servidor, (iii) un nodo de entrada Tor (o nodo de protección),
(iv) un nodo de salida de Tor, y (v) un conjunto de nodos intermedios de Tor mayor o igual a uno.
Dado que generalmente se adopta un único nodo intermedio [3] (como se muestra en la Figura
1), consideraremos dicho escenario a continuación.

Figura 1. Muestra de comunicación Tor

1 "Putin establece una recompensa de 110.000 dólares por descifrar Tor mientras aumenta el uso
anónimo de Internet en Rusia" (consultado el 6 de noviembre de 2018): http:
www.bloomberg.comnews201407-29 uso-de-internet-anónimo-en-rusia-surges.html
 Tor también admite nodos de protección adicionales conocidos como nodos puente [15]: a
diferencia de los nodos de retransmisión públicos, en este caso la identidad / dirección IP del
nodo no es pública. Además, la red Tor puede ser ampliada por cualquier host que desee formar
parte de la red. Aunque esta característica hace que Tor sea una red extremadamente escalable,
también la hace vulnerable por diseño a los ataques man-in-the-middle, especialmente en caso de
que un usuario malintencionado controle el nodo de salida de la red y las comunicaciones con el
servidor no estén encriptadas [16 ].
El conjunto de nodos Tor involucrados en la comunicación es elegido por el propio
cliente y representa un circuito Tor, construido por el cliente al comienzo de la
conexión comunicándose con los nodos de red que pertenecen al circuito e
intercambiando una clave de encriptación separada con cada uno. nodo. Los mensajes
son encriptados por el cliente mediante un esquema de encriptación tipo cebolla [17].
Dado que cada nodo involucrado en la comunicación es el único capaz de descifrar el
mensaje que recibe, cada nodo solo conoce la identidad de su predecesor y sucesor
en el circuito. Además, mientras que el nodo de entrada / guardia es el único que se
comunica directamente con el cliente, solo el nodo de salida puede leer el mensaje
original (que se entregará al servidor en la red de Internet de superficie), que se
puede cifrar si se cifra se adoptan algoritmos (como SSL).

3 Ataques al ecosistema Tor

A lo largo de los años, se han realizado varios estudios sobre redes de cebolla [2,
18-20], con especial atención a la red Tor, que es la más adoptada. Teniendo en cuenta
la seguridad de las redes de cebolla, los ataques pueden apuntar a tres entidades
diferentes de la red:

- Cliente: en este caso, el objetivo del atacante es apuntar a un cliente de la red Tor;

- Servidor: en este caso, el atacante apunta al servidor oculto Tor;

- Red: en este caso, el atacante apunta a la propia red Tor.

Con respecto a estas diferentes entidades, ahora describimos los ataques disponibles,
centrándonos en la red Tor onion. También analizamos los ataques dirigidos a entidades
genéricas / mixtas.

3.1 Ataques al cliente

Se han realizado varios estudios a lo largo de los años para piratear la red Tor y anonimizar
a sus usuarios, asociando su dirección IP a un paquete saliente [21, 22]. Estos estudios a
menudo condujeron a ataques concretos que explotaban vulnerabilidades específicas,
eliminadas por los desarrolladores de Tor mediante las actualizaciones apropiadas del
software del navegador. En esta parte del artículo informamos sobre ataques dirigidos a
crear un daño al cliente Tor.
Ataques basados en complementos Estos ataques se ejecutan para apuntar al usuario a
través del navegador de Internet que adopta para navegar en la red. Estas amenazas
utilizan software externo conectado al navegador (complemento), como Flash, Java y
controles ActiveX [23,?]. Estas aplicaciones se ejecutan como software independiente,
ejecutado con permisos de usuario en el sistema operativo. Algunas de estas tecnologías,
como Java o Adobe Flash, por ejemplo, se ejecutan en máquinas virtuales o marcos
adecuados sin pasar por los ajustes de configuración de proxy adoptados por el navegador
Tor, por lo que se comunican directamente en la red de Internet, sin hacer uso del
ecosistema Tor. Los ataques al navegador pueden implementarse siguiendo diferentes
enfoques [24]: (i) operando en el servidor público de Internet contactado por el cliente, a
través de un sistema de servidor malicioso integrado, por ejemplo, Contenidos de Adobe
Flash en la página web; (ii) adoptando un nodo de salida malintencionado, interceptando
las comunicaciones de los usuarios en canales no cifrados (por ejemplo, conexiones HTTP
claras) e incorporando contenidos relacionados con complementos maliciosos. Debido a la
posible exposición de la identidad del cliente derivada del uso de complementos del
navegador, como sugieren los navegadores anónimos, estas tecnologías, a menudo
deshabilitadas de forma predeterminada, deben evitarse para comunicarse en la red
cebolla de forma anónima y segura.

Ataque Torben El ataque Torben [25] se ejecuta para identificar un cliente Tor, manipulando
páginas web para obligar al usuario a acceder al contenido de fuentes no confiables y
explotando las características de baja latencia de las redes de anonimización para inferir
indicadores de páginas web que se transmiten, recuperando así información sobre las
páginas web que visita el cliente a través de Tor.

Fuga de información P2P Este tipo de ataque se lleva a cabo con el fin de desanonimizar a los
clientes de Tor mediante la explotación de sus conexiones a sistemas peer-to-peer. De hecho,
considerando, por ejemplo, el protocolo BitTorrent [26], es posible que un usuario
malintencionado recupere la dirección IP de un cliente que se conecta a través de Tor para
comunicarse con el rastreador de torrents. Un rastreador de torrents es un servicio de red que el
cliente tiene que comunicarse para recuperar información sobre la lista de pares capaces de
compartir el recurso solicitado [16]. La información de los pares se proporciona como pares de
dirección IP y puerto de escucha.
En este caso, el atacante explota el hecho de que, aunque la lista de rastreadores
se puede recuperar de forma anónima a través de Tor, las conexiones P2P a menudo
se realizan de manera insegura, comunicándose directamente con el par. Por lo tanto,
es posible que el atacante explote la adicción al intermediario de la red Tor para
alterar el contenido de la lista devuelta por el rastreador de torrents, al incluir en la
lista la dirección IP de un par torrent malicioso. Dado que la comunicación con dicho
par no se establecería a través de Tor, es posible que el atacante recupere la dirección
IP del cliente que origina la solicitud al rastreador [26].

Selección de protección Tor inducida El nodo de entrada Tor es el único nodo que se comunica
directamente con el cliente. Sin embargo, dado que la carga útil de los paquetes Tor está cifrada,
no es posible que el nodo de entrada recupere el contenido limpio de los mensajes
intercambiados sin conocer las claves de descifrado de los nodos del circuito. Por lo tanto,
aunque es posible que un solo nodo de protección malintencionado no comprometa la
comunicación, es posible que el atacante deba poseer el nodo de entrada de un circuito Tor [4].
Para inducir a un cliente Tor a adoptar un nodo de entrada malicioso específico, es
posible dejar caer las comunicaciones del cliente a los nodos de entrada públicos, excepto a
los atacantes [27]. Esta operación se puede lograr, por ejemplo, alterando las capacidades
de tráfico de la víctima, bloqueando las conexiones a los nodos de entrada legítimos a nivel
de red mediante políticas apropiadas, definidas, por ejemplo, por administradores de red o
proveedores de servicios de Internet locales.

Raptor Enrutar ataques a la privacidad en Tor (RAPTOR) [28] es un conjunto de ataques que
puede ser lanzado por el Sistema Autónomo (AS) [22] para desanonimizar a los clientes.
Uno de los ataques se basa en el análisis del tráfico de comunicaciones asimétricas que
caracterizan la red. Otro ataque explota la rotación natural del enrutamiento de Internet y
las rutas BGP para realizar el análisis del tráfico. Finalmente, el último ataque se basa en la
manipulación del enrutamiento de Internet a través de actividades de secuestro de BGP,
logradas para descubrir los nodos de protección Tor de los usuarios.

Explotación de puertos impopulares Este ataque aprovecha el hecho de que los nodos de salida
de Tor a menudo limitan el rango de puertos a los que pueden conectarse en la Internet pública
superficial [24]. El ataque intenta recuperar la identidad de los clientes haciendo uso de un
conjunto de nodos de entrada maliciosos y un conjunto de nodos de salida maliciosos. Los nodos
de salida controlados por el atacante admiten comunicaciones en puertos impopulares. También
se requiere que el atacante controle el host del servicio contactado por el cliente [3]. El objetivo
del atacante es inducir al cliente a crear un circuito Tor a través de un nodo de entrada y un nodo
de salida bajo el control del usuario malintencionado. Tal configuración permitiría al atacante
recuperar la identidad del cliente Tor, por ejemplo, mediante técnicas de correlación de tráfico
[29].
Para perpetrar el ataque, el usuario malintencionado inyecta un script en la página
web solicitada por el cliente, induciendo así al navegador a abrir una conexión a un
servicio de Internet que escucha en un puerto impopular. Dicha conexión se establece
a través de la red Tor. Este comportamiento inducirá al cliente a crear un circuito Tor
que permita la comunicación en el puerto impopular especificado. Dado que el
atacante controla un conjunto de nodos de salida que soportan dicha comunicación,
aumenta la probabilidad de controlar el nodo de salida del circuito.

Ataques de enrutamiento de bajos recursos Para perpetrar tal ataque, el adversario tiene que registrar o
comprometer algunos enrutadores Tor de gran ancho de banda y alto tiempo de actividad [5]. Al asumir
tal compromiso, el atacante puede reducir los requisitos de recursos del nodo malicioso, mediante el uso
de conexiones de ancho de banda bajo, aprovechando así la posibilidad de que un nodo informe valores
de ancho de banda incorrectos. Dado que este anuncio no es verificado por servidores de directorio
confiables [23], el nodo de retransmisión parece tener un ancho de banda alto y su probabilidad de ser
elegido para un circuito es particularmente alta.2. En caso de que tanto los nodos de entrada como los de
salida de un circuito sean

2 Actualmente, este enfoque ya no es posible de adoptar, ya que los servidores de directorio

controlan el ancho de banda efectivo declarado.
comprometida, toda la información recibida puede registrarse y procesarse, por ejemplo,
mediante enfoques de correlación de tráfico, para revelar la dirección IP del cliente.

3.2 Ataques al servidor

En este tipo de amenazas, el objetivo del atacante es apuntar al servicio oculto, para
revelar su identidad o debilitarlo. De hecho, como se mencionó anteriormente, la red
Tor se puede adoptar para acceder a servicios tanto en la Internet pública de
superficie como en Tor (servicios ocultos). En este último caso, el cliente desconoce la
identidad del servicio [5]. Con respecto a los ataques cuyo propósito es revelar la
dirección IP del servicio oculto, es posible que se requieran las siguientes suposiciones
[12]: (i) el atacante tiene que hacerse pasar por un cliente malintencionado y un nodo de guardia;
(ii) el servicio oculto se ve obligado a elegir un nodo de guarda comprometido como nodo de
entrada. Hay disponibles diferentes ataques a servicios ocultos.

Recuento y relleno de células Durante tales ataques [12, 30], el servicio oculto se ve obligado a establecer una conexión con un punto de encuentro

malicioso. El atacante envía una celda / paquete Tor específicamente diseñado al punto de introducción del servicio oculto, especificando el punto

de encuentro elegido [31]. Por lo tanto, el punto de introducción reenvía el mensaje al servicio oculto, que es inducido a construir un circuito Tor

para llegar al punto de encuentro (malicioso). Cuando el punto de encuentro recibe el mensaje (que contiene algún tipo de cookie / token

generado por el cliente), está diseñado para enviar un número específico (50) de celdas de relleno al servicio oculto, utilizando el mismo circuito.

Estas celdas de relleno, soportadas por el protocolo y descartadas por el servicio oculto, simplifican la generación de firmas en el tráfico [24]. En

este punto, el punto de encuentro finaliza / cierra el circuito. El nodo de entrada, que se supone que está controlado por el atacante, monitoriza el

tráfico de los circuitos que lo atraviesan. Si recibe una celda que incluye el cierre del circuito, verificará que dicha recepción ocurre después de la

recepción de la celda que contiene las cookies de con fi rmación, y que el número de celdas pasadas es de 3 celdas hacia arriba a través del circuito

y 53 hacia abajo a través del circuito. Si se cumplen estas condiciones, el atacante puede deducir que el nodo de protección que posee fue elegido

del servicio oculto, por lo que es posible que el atacante recupere la dirección IP del servicio oculto. Verificará que dicha recepción ocurre después

de la recepción de la celda que contiene las cookies de con fi rmación, y que el número de celdas pasadas es de 3 celdas hacia arriba a través del

circuito y 53 hacia abajo a través del circuito. Si se cumplen estas condiciones, el atacante puede deducir que el nodo de protección que posee fue

elegido del servicio oculto, por lo que es posible que el atacante recupere la dirección IP del servicio oculto. Verificará que dicha recepción ocurre

después de la recepción de la celda que contiene las cookies de con fi rmación, y que el número de celdas pasadas es de 3 celdas hacia arriba a

través del circuito y 53 hacia abajo a través del circuito. Si se cumplen estas condiciones, el atacante puede deducir que el nodo de protección que

posee fue elegido del servicio oculto, por lo que es posible que el atacante recupere la dirección IP del servicio oculto.

Manipulación de células TorManipulando celdas / paquetes Tor es posible localizar un

servicio oculto objetivo [12]. En particular, cuando el cliente envía una celda a un
servicio oculto para iniciar la comunicación, la solicitud es "proxed" por el punto de
encuentro, que se supone que está controlado por el atacante. Dicha condición
proporciona al usuario malintencionado la capacidad de detectar la solicitud y aplicar
cambios menores a los datos del mensaje / celda (incluso se puede cambiar un solo
bit, lo que hace que la celda no cumpla con el protocolo), reenviando así el mensaje al
oculto servicio y, simultáneamente, enviar una marca de tiempo de la celda
modificada a un servidor central bajo el control del atacante. Es posible que la celda
no se reconozca como una celda intacta del servicio oculto, lo que enviaría un mensaje
de destrucción al cliente. Este mensaje, dirigido desde el servicio oculto al cliente,
pasar primero desde el nodo de entrada de servicios ocultos (controlado por el atacante), que
puede enviar al servidor central información de algunas celdas, como el comando especificado en
la celda (CELL DESTROY), la marca de tiempo de la celda, la identificación del circuito y la dirección
IP de origen. En este punto, la celda está diseñada para llegar al punto de encuentro, que puede
informar al servidor central la marca de tiempo de la celda antes de reenviarla al cliente.
Finalmente, desde el servidor central, a través de la correlación de tiempo se puede encontrar la
dirección IP del servicio oculto.

Ataque caronte Caronte [32] es una herramienta para identificar automáticamente las fugas
de ubicación en servicios ocultos. Dicha información incluye, es decir, datos sensibles en el
contenido servido por el servicio oculto o la configuración del servidor, potencialmente
capaz de revelar la dirección IP del servicio oculto. Estas fugas de ubicación suelen ser
introducidas por el administrador del servicio oculto y, en virtud de esto, no hacen
referencia a algún tipo de vulnerabilidad de Tor.

O ff- ruta MitM Este ataque se basa en la ejecución de un ataque man-in-the-middle

(MitM) contra un servicio oculto de Tor [33]. En particular, asumiendo que la clave
privada adoptada por el servicio oculto para comunicarse en la red es propiedad del
atacante, es posible realizar un ataque MitM. El aspecto importante en este caso es
que no es necesario que el atacante se ubique en la ruta de comunicación entre el
cliente y el servidor.

3.3 Ataques a la red

En este caso, el objetivo del ataque es la propia red Tor. Al apuntar a toda la red, es
importante tener en cuenta que, en este caso, múltiples nodos pueden verse
afectados por las actividades maliciosas. Por lo tanto, en este caso, los efectos de
ataque pueden propagarse a toda la red, en lugar de, por ejemplo, afectar a un solo
nodo.

Descubrimiento de puentes En este caso, el objetivo es recuperar información sobre los nodos del
puente Tor. Esta información no está a disposición del público [15]. Se consideran dos enfoques
diferentes de descubrimiento de puentes [34]: por un lado, es posible enumerar puentes Tor a
través de correos electrónicos masivos y servidores HTTPS a través de Tor. Por otro lado, es
posible adoptar un enrutador / nodo intermedio Tor malicioso para explotar los algoritmos de
enrutamiento de ancho de banda ponderado de Tor con fines de descubrimiento de puentes.

Negación de servicio Los ataques de denegación de servicio (DoS) se ejecutan para hacer que un
componente o servicio de la red no esté disponible en la red, o para reducir su disponibilidad. Un
ataque DoS contra la red Tor es CellFlood [17]. Este ataque aprovecha el hecho de que adoptar
una clave privada para realizar operaciones de 1024 bits es, en servidores modernos,
aproximadamente 20 veces más lento que realizar las mismas operaciones con la clave pública.
Por lo tanto, para procesar una celda Tor es 4 veces más larga / pesada, en comparación con
crearla. Este enfoque puede llevar a un cliente malintencionado a inundar un nodo objetivo con
células creadas específicamente, con el fin de apoderarse de todos los recursos informáticos del
objetivo, lo que lleva a una denegación de servicio.
Francotirador El ataque Sniper [32] explota el algoritmo de control de flujo de Tor,
ejecutando un ataque DoS contra un relé Tor objetivo, matando el proceso Tor en la
máquina. Esto se logra obligando a un nodo a almacenar grandes cantidades de datos
(utilizando mensajes de protocolo válidos) hasta que se sobrecargue y se fuerce a
desconectarse. El adversario puede atacar una gran cantidad de nodos para degradar
las capacidades de la red y aumentar las posibilidades de que un cliente elija el nodo
de un atacante. En el documento se describen dos ataques: (i) el atacante deja de leer
desde la conexión TCP que contiene el circuito de ataque, lo que hace que la ventana
TCP en la conexión saliente de la víctima se cierre y la víctima acumule hasta 1000
celdas; (ii) el atacante hace que las células se envíen continuamente a la víctima
(superando el límite de 1000 células y consumiendo los recursos de memoria de la
víctima),
ENVÍAME mensajes3 desde el final de la entrega hasta el embalaje, aunque no se haya leído
ninguna celda en el final de la entrega.

3.4 Ataques genéricos

Dado que los ataques pueden no apuntar a una sola entidad Tor (cliente, servidor, red), a continuación
informamos un conjunto de ataques diseñados para apuntar a múltiples entidades.

Ataques de análisis de tráfico Este tipo de ataques se basa en el análisis del tráfico de la red.
[4]. Para este tipo de ataque, los paquetes se insertan en el lado del servidor, tratando de
observar estos paquetes desde el lado del cliente mediante una correlación estadística. El
objetivo es derivar el circuito establecido por el cliente y asociar al cliente con los paquetes
observados desde el nodo de salida. Se supone que el atacante es capaz de observar el
tráfico que entra y sale de la red Tor a través de los nodos, en varios puntos. El ataque
propuesto intenta forzar al cliente a realizar una conexión a un servidor malicioso, de modo
que sea capaz de inyectar un tráfico repetitivo específico en la conexión TCP. El atacante en
posesión de una gran cantidad de nodo de entrada, observará el tráfico entre varios nodos
de entrada y el cliente, y luego tratará de detectar ese tráfico específico ingresado por el
servidor malicioso. Una vez que se reconoce el tráfico, por correlación estadística, es
posible asociar el tráfico con el cliente, obteniendo así el circuito Tor utilizado. En general,
se ha demostrado que es posible contrarrestar los métodos de análisis del tráfico
empleando estrategias de mezcla [35].

Ataques de tiempo Este ataque representa una variante del ataque de análisis de tráfico
mencionado anteriormente. De hecho, los ataques de tiempo [24, 36] intentan obtener una
relación entre el cliente y el servidor, mediante la observación de los paquetes intercambiados
para lograr una correlación temporal. En este caso, el atacante debe poseer tanto el nodo de
entrada como el de salida del circuito de la víctima. En este caso, es posible asociar paquetes a un
cliente / servidor definido, mediante un análisis temporal, aunque el contenido del paquete sea
desconocido o encriptado. El tráfico puede interrumpirse temporalmente de forma activa a
intervalos predefinidos para facilitar la correlación. En orden

3 A ENVÍAME message especifica el nodo de salida para aumentar su ventana de congestión, por
lo tanto, continuar extrayendo datos de la fuente externa y reenviarlos al circuito Tor.
Para proteger los nodos de este tipo de ataques, Tor actualmente incrusta paquetes de
aproximación de amortiguación, retardo y conmutación.
También es posible combinar el mismo enfoque para realizar análisis de tráfico.
[37]. En este caso, al ejecutar ataques de tiempo en el tráfico relacionado con la
víctima y adoptar un análisis de tráfico para lograr la estimación del ancho de banda,
el ataque puede inferir la identidad de red de un cliente anónimo, servicio oculto y
proxies anonimizados.

Dando forma a los ataques Este ataque representa una variación del ataque de sincronización
descrito anteriormente. Mientras que en el caso de los ataques de sincronización, el tráfico puede
interrumpirse durante períodos específicos, en este caso, el ataque altera activamente la forma
del tráfico para facilitar la correlación. Al analizar y comparar la forma, es posible identificar
variaciones de las expectativas [29] para comparar diferentes flujos de tráfico y correlacionar el
tráfico con una mayor confianza.

4 Consideraciones sobre los ataques disponibles

Los ataques mencionados son amenazas importantes para el ecosistema Tor y pueden ser
adoptados por usuarios malintencionados para recuperar información o llevar a cabo
actividades malintencionadas. Según nuestra categorización, la Tabla 1 informa el objetivo
entidad de cada ataque.

Amenaza Red cliente-servidor

Torben •
Fuga de información P2P •
Selección de guardia Tor inducida •
Raptor •
Explotación de puertos impopulares •
Enrutamiento de bajos recursos •
Recuento y relleno de células •
Manipulación de células Tor •
Caronte •
O ff- ruta MitM •
Descubrimiento de puentes •
Negación de servicio •
Francotirador •
Análisis de tráfico • •
Momento • •
Formación • •
Tabla 1. Resumen de ataques contra la Red Tor

Al explotar las vulnerabilidades de la red o del protocolo, es posible apuntar a la

red Tor a través de diferentes enfoques y dirigiéndose a diferentes entidades de la red.
 En cambio, para identificar y proteger Tor, diferentes actividades de investigación se
enfocan en la adopción de enfoques de aprendizaje automático para identificar ataques en
ejecución a la red Tor. En particular, se pueden adoptar redes neuronales para implementar
un sistema de detección de intrusiones capaz de identificar amenazas en ejecución [38,?].
Además, se pueden emplear algoritmos y técnicas de aprendizaje automático para
identificar si un host está generando tráfico relacionado con Tor, con el fin de detectar un
posible malware que explote la red subyacente [39].

5 Conclusiones y trabajo adicional

En este artículo, hemos investigado el tema de la seguridad de la darknet, relacionado con los
ataques relacionados con los entornos de la darknet. Centrándonos en la red Tor onion [5],
hemos investigado profundamente la literatura de los ciberataques que explotan dicho sistema.
Con el fin de proporcionar una descripción general más fácil de entender de las amenazas contra
los entornos de la darknet, hemos propuesto una categorización fácil de entender de los ataques
contra los entornos de la darknet, categorizando también las amenazas investigadas. La
categorización propuesta debe considerarse un paso importante en el contexto de seguridad de
la darknet, ya que proporciona una herramienta importante para clasificar las amenazas, por lo
tanto, para comprenderlas mejor y proponer sistemas de protección eficientes.

El trabajo adicional sobre el tema puede dirigirse a la ejecución de las amenazas

mencionadas en entornos controlados. Además, el trabajo adicional puede centrarse en la
investigación de enfoques de detección y mitigación capaces de contrarrestar las amenazas
analizadas, proponiendo una taxonomía adecuada de los sistemas de protección.

6 Reconocimiento

Este trabajo ha sido apoyado por los siguientes proyectos de investigación: (i) El proyecto
Advanced Networked Agents for Security and Trust Assessment in CPS / IoT Architectures
(ANASTACIA) ha recibido financiación del Programa de Investigación e Innovación
Horizonte 2020 de la Unión Europea en virtud del acuerdo de subvención núm. . 731558.
(ii) El proyecto My Health-My Data (MHMD) ha recibido financiación del Programa de
Investigación e Innovación Horizonte 2020 de la Unión Europea en virtud del acuerdo de
subvención núm. 732907. (iii) El proyecto Marco Integrado para la Seguridad Predictiva y
Colaborativa de las Infraestructuras Financieras (FINSEC) ha recibido financiación del
Programa de Investigación e Innovación Horizonte 2020 de la Unión Europea en virtud del
acuerdo de subvención núm. 786727.

Referencias

1. A. Zeng y W. Liu, "Mejora de la solidez de la red contra ataques maliciosos",

Revisión física E - Física estadística, no lineal y de materia blanda, 2012.
2. D. Goldschlag, M. Reed y P. Syverson, “Onion routing for anonymous and private internet
connections”, La red, 1999.
 3. MA Sulaiman y S. Zhioua, "Attacking tor through impopular ports", en Actas - Conferencia
internacional sobre sistemas informáticos distribuidos, 2013.
4. SJ Murdoch y G. Danezis, "Low-cost tra ffi c analysis of Tor", en Actas del Simposio de IEEE
sobre seguridad y privacidad, 2005.
5. K. Bauer, D. McCoy, D. Grunwald, T. Kohno y D. Sicker, "Ataques de enrutamiento de bajos
recursos contra tor", en Actas del taller de ACM 2007 sobre privacidad en la sociedad
electrónica - WPES '07, 2007.
6. I. Clarke, SG Miller, TW Hong, O. Sandberg y B. Wiley, "Protecting free expression online with
freenet", Computación por Internet IEEE, 2002.
7. B. Zantout y R. Haraty, "I2P data communication system", en La Décima Conferencia
Internacional de Redes, 2011.
8. GN Tchabe y Y. Xu, "Comunicaciones anónimas: una encuesta sobre I2P", tecnología. rep.,
2014.
9. M. Rennhard y B. Plattner, “Presentamos MorphMix: uso de Internet anónimo basado en
pares con detección de colusión”, en Actas del Taller sobre Privacidad en la Sociedad
Electrónica WPES 2002, 2002.
10. C. Chen, DE Asoni, D. Barrera, G. Danezis y A. Perrig, “HORNET”, en Actas de la 22a Conferencia
ACM SIGSAC sobre seguridad informática y de comunicaciones - CCS '15, 2015.

11. MJ Freedman y R. Morris, "Tarzán: una capa de red de anonimización de igual a igual", Actas
de la 9a Conferencia de la ACM sobre seguridad informática y de las comunicaciones - CCS
'02, 2002.
12. S. Nepal, S. Dahal y S. Shin, “Deanonimización de esquemas de servicios ocultos en la red tor:
una encuesta”, en Conferencia internacional sobre redes de información,
2015.
13. B. He, M. Patel, Z. Zhang y KC-C. Chang, "Acceso a la web profunda",Comunicaciones de la
ACM, 2007.
14. I. Sánchez-Rola, D. Balzarotti e I. Santos, “The Onions Have Eyes: A Comprehensive Structure
and Privacy Analysis of Tor Hidden Services”, en Actas de la 26a Conferencia Internacional
sobre la World Wide Web - WWW '17, 2017.
15. S. Matic, C. Troncoso y J. Caballero, “Disección de puentes Tor: una evaluación de la seguridad
de sus infraestructuras públicas y privadas”, en Simposio de seguridad de redes y sistemas
distribuidos (NDSS), 2017.
16. P. Manils, C. Abdelberri, SL Blond, MA Kaafar, C. Castelluccia, A. Legout, y
W. Dabbous, "Compromising Tor anonimato explotando la filtración de información P2P",
preimpresión arXiv arXiv: 1004.1461, 2010.
17. MV Barbera, VP Kemerlis, V. Pappas y AD Keromytis, "CellFlood: Attacking tor onion routers on
the cheap", en Lecture Notes in Computer Science (incluidas las subseries Lecture Notes in
Arti fi cial Intelligence y Lecture Notes in Bioinformática), 2013.

18. S. Mauw, J. Verschuren y E. de Vink, "A formalization of anonimato and onion routing", Actas
de ESORICS 2004, 2004.
19. MG Reed, PF Syverson y DM Goldschlag, "Conexiones anónimas y enrutamiento de cebolla",
Revista IEEE sobre áreas seleccionadas en comunicaciones, 1998.
20. K. Bauerd, M. Sherr, D. McCoy y D. Grunwald, "ExperimenTor: A Testbed for Safe and Realistic
Tor Experimentation", en Experimentación y prueba de seguridad cibernética, 2011.

21. SL Blond, P. Manils, A. Chaabane, MA Kaafar, A. Legout, C. Castellucia y

W. Dabbous, "Desanonimizar a los usuarios de BitTorrent en Tor", Mundo, 2010.
22. G. Danezis y C. Troncoso, "No puedes esconderte por mucho tiempo: desanonimización del
comportamiento dinámico del mundo real", Actas del 12 ° Taller de ACM sobre privacidad en
la sociedad electrónica, 2013.
23. N. Nikiforakis, A. Kapravelos, W. Joosen, C. Kruegel, F. Piessens y G. Vigna, "Cookieless
monster: Explorando el ecosistema de huellas dactilares de dispositivos basados en la web",
en Actas - Simposio IEEE sobre seguridad y privacidad, 2013.
24. TG Abbott, KJ Lai, MR Lieberman y EC Price, "Ataques basados en navegador en Tor", en Taller
internacional sobre tecnologías para mejorar la privacidad, págs. 184–
199, Springer, 2007.
25. D. Arp, F. Yamaguchi y K. Rieck, "Torben: un ataque de canal lateral práctico para
desanonimizar la comunicación Tor", en Actas del X Simposio ACM sobre Seguridad de la
Información, Computación y Comunicaciones - ASIA CCS '15, 2015.
26. RL Xia y JK Muppala, "A survey of BitTorrent performance", Encuestas y tutoriales de
comunicaciones de IEEE, 2010.
27. Q. Li, P. Liu y Z. Qin, "Un ataque sigiloso contra la selección de guardianes", Revista
internacional de seguridad y sus aplicaciones, 2015.
28. L. Vanbever, O. Li, J. Rexford y P. Mittal, "Anonymity on QuickSand: Using BGP to Compromise
Tor", en HotNets, 2014.
29. M. Aiello, E. Cambiaso, S. Scaglione y G. Papaleo, "Un enfoque basado en similitudes para la
detección de ataques DoS en aplicaciones", en Actas - Simposio internacional sobre
computadoras y comunicaciones, 2013.
30. Z. Ling, J. Luo, K. Wu y X. Fu, "Detección de servidores ocultos a nivel de protocolo", en
Procedimientos - IEEE INFOCOM, 2013.
31. P. Eckersley, "How unique is your web browser?" En Lecture Notes in Computer Science
(incluidas las subseries Lecture Notes in Arti fi cial Intelligence y Lecture Notes in
Bioinformática), 2010.
32. S. Matic, P. Kotzias y J. Caballero, “CARONTE: Detecting Location Leaks for Deanonymizing Tor
Hidden Services”, en Actas de la 22ª Conferencia ACM SIGSAC sobre seguridad informática y
de comunicaciones, 2015.
33. A. Sanatinia y G. Noubir, "O ff- path man-in-the-middle attack on tor hidden services", Día de la
seguridad de Nueva Inglaterra, NESD, 2017.
34. Z. Ling, J. Luo, W. Yu, M. Yang y X. Fu, "Descubrimiento del puente Tor: análisis extenso y
evaluación empírica a gran escala", Transacciones IEEE en sistemas paralelos y distribuidos,
2015.
35. KS Kohls y C. Pöpper, "CARTEL: Ataques de análisis de tráfico en redes de anonimato", en Actas
de la Conferencia de 2017 ACM sobre Asia sobre seguridad informática y de comunicaciones,
págs. 917–919, ACM, 2017.
36. BN Levine, MK Reiter, C. Wang y M. Wright, "Timing attack in lowlatency mix systems", en FC,
2004.
37. S. Chakravarty, MV Barbera, G. Portokalidis, M. Polychronakis y AD Keromytis, "Sobre la
efectividad del análisis del tráfico contra redes de anonimato usando registros de flujo", en
Lecture Notes in Computer Science (incluidas las subseries Lecture Notes in Arti fi cial
Intelligence y Lecture Notes in Bioinformática), 2014.
38. T. Ishitaki, D. Elmazi, Y. Liu, T. Oda, L. Barolli y K. Uchida, "Aplicación de redes neuronales para
la detección de intrusiones en redes Tor", en Actas IEEE 29th International Conference on
Advanced Information Networking and Applications Workshops, WAINA 2015, 2015.

39. A. Cuzzocrea, F. Martinelli, F. Mercaldo y G. Vercelli, "Análisis y detección del tráfico torácico
mediante técnicas de aprendizaje automático", en Actas - 2017 IEEE International Conference
on Big Data, Big Data 2017, 2018.