La Covid-19 ha omplert Internet d’ofertes de cures, proves de diagnòstic, respiradors i equips de protecció personal a preus desorbitats, productes teòricament miraculosos i vacunes falses. Segons una recerca de l’Australian National University, que a l’abril va investigar vint mercats clandestins d’Internet, s’hi ha arribat a vendre un fals vaccí per 24.598 dòlars, distribuït des dels Estats Units, mentre el preu mitjà d’aquest producte no baixa dels 575. D’acord amb l’estudi, es tracta de substàncies “probablement robades o distribuïdes il·legalment des de laboratoris d’assaig amb animals o humans o, fins i tot, amb pacients recuperats del coronavirus”. 

Productes com aquests s’han comercialitzat al llarg del confinament al web fosc (en anglès, dark web), on habitualment hi ha lloc per a la venda il·legal d’armes, drogues, material pedòfil, targetes de crèdit robades, programari maliciós, documents falsificats i tota mena d’activitats que defugen la llei. Els abismes d’Internet no són accessibles des d’un navegador normal i, per a entrar, cal un programari especial. Un exemple és la xarxa d’anonimat TOR (The Onion Router; o, en català, L’Enrutador Ceba), composta per milers de servidors i estructurada en forma de capes, que fa pràcticament impossible identificar els usuaris. “Allò que et dona el web fosc és un anonimat quasi absolut”, expliquen fonts de l’Agència de Ciberseguretat de Catalunya. Tot això ho converteix en un espai molt atractiu per als cibercriminals.

Les dades de The Tor Project, que és l’entitat d’administració de la xarxa Tor, evidencien un creixement molt significatiu d’usuaris durant la quarantena. Així, si el dia previ a l’anunci del decret d’alarma, el 12 de març, es van registrar a Espanya 23.703 usuaris, el 7 de maig es van assolir els 43.495; o sigui, que el trànsit ha arribat a créixer més d’un 180% durant el confinament. Des d’aleshores, l’activitat ha minvat lleugerament, tot i que a l’últim mes s’han continuat veient xifres elevades: 38.169 usuaris l’11 de juny. Un increment que no té res a veure amb l’any passat, que amb prou feines va arribar als 29.481 usuaris.

Espanya, el sisè estat més atacat per amenaces relacionades amb la Covid-19

El Covid-19 també s’ha popularitzat als fòrums de ciberdelinqüents especialitzats en el robatori de dades. Segons l’empresa de ciberseguretat Bitdefender, Espanya s’ha convertit en el sisè país més atacat per amenaces relacionades amb la Covid-19. Al març, les ciberamenaces vinculades amb la crisi ja s’havien multiplicat per cinc, i a l’abril el creixement va ser encara major. Una investigació de la consultora Digital Shadows mostra un debat en un xat de la dark web sobre “Com treure el màxim partit de la quarantena”. 

Segons l’Agència de Ciberseguretat de Catalunya, l’activitat criminal que més ha crescut és la venda de credencials d’accés a entorns corporatius. Amb la implantació del teletreball a correcuita s’ha ampliat la bretxa de seguretat informàtica als sectors menys acostumats a aquesta modalitat laboral: “Ara els usuaris naveguen molt més i es compten moltes més víctimes de pesca per correu electrònic (phishing) utilitzant d’esquer la Covid-19”, explica una font de l’agència. “Algunes contrasenyes acaben sent venudes al web fosc i algú altre les compra per demanar rescats mentre altres amenacen la víctima amb filtrar la informació”, hi afegeix. 

La Covid-19 també ha donat un impuls sense precedents a la pederàstia. Un estudi de l’Europol sobre cibercrim durant la pandèmia alerta que l’intercanvi de material pedòfil va disparar-se un 25% durant l’estat d’alarma, arribant a les 21.100 descàrregues entre el 17 i el 24 de març. Dues setmanes després, la Guàrdia Civil detectà a Espanya un nou rècord de la circulació de vídeos pedòfils quan l’augment va assolir el 507% durant l’estat d’alarma, segons una investigació de la Unitat Central Operativa (UCO) de la Guàrdia Civil que va fer públic El País i tal com ha pogut confirmar La Tecnòloga. L’Europol alerta que els pedòfils han aprofitat la pandèmia per buscar noves víctimes i reprodueix alguns dels seus missatges: “Hola, amb aquesta quarantena creieu que hi haurà més nens a Omegle [un lloc web per a xatejar amb persones anònimes] traient ‘packs’ [de fotografies íntimes]?”, es demana algú en un fòrum d’Internet, mentre algú altre encara va més enllà: “Imagina estar tancat a casa en tot moment. Aquells que tenen un fill a casa o els que passen més temps amb els seus fills, jajaja, m’agradaria tenir aquesta situació”. 

El confinament també ha provocat un augment de visites al web fosc per comprar droga. Amb la restricció dels moviments, els consumidors l’han anat a buscar al mercat negre d’Internet. Com ho reflecteix Digital Shadows, un venedor de cànnabis promet un bon servei als seus clients oferint-los “uns cogolls de laboratori densos i ensucrats, enviats a domicili per un venedor dedicat del web fosc”.

L’increment de la venda de productes relacionats amb la Covid-19 al web fosc s’explica en part per la interrupció de l’activitat habitual dels ciberdelinqüents. Digital Shadows reprodueix les preocupacions d’alguns usuaris que temen els efectes de la pandèmia sobre els seus models de negoci. En un fòrum del web fosc, algú s’hi anuncia: “Un vell busca feina”. A la mateixa publicació explica que treballava des del 2012 en el frau orientat al turisme, hotels, vols i excursions, i hi afegeix: “(…) però des que va començar l’estafa del coronavirus m’he quedat indefinidament sense ingressos”. 

El web fosc i la llibertat d’expressió

Perseguir els delinqüents del web fosc és una cursa d’obstacles quan l’anonimat s’interposa entre aquests i la policia, que normalment disposa de pocs recursos si no compta amb l’ajuda d’organismes internacionals com l’Europol o empreses privades de seguretat. Per això, governs de tot el món han intentat prohibir els servidors xifrats; un fet al qual s’hi oposen activistes, alertadors, periodistes o persones que, simplement, volen evitar que les dades de navegació caiguin en mans dels governs o les grans corporacions: “La privacitat sempre és prioritària. És un dret que ens permet desenvolupar les nostres idees, saber qui som i com volem presentar-nos al món”, remarcava l’enginyera informàtica Silvia Puglisi, de The Tor Project, en una entrevista recent a La Tecnòloga.

Així, en un país amb llibertats restringides, utilitzar el web fosc permet esquivar la censura, tot i que, segons l’investigador especialitzat en aquest àmbit Eric Jardine, els navegadors anònims també s’han popularitzat a les democràcies liberals arran d’una creixent preocupació per la privacitat. De fet, el pic més alt d’usuaris de Tor va coincidir amb l’inici de les revelacions sobre l’espionatge massiu de l’Agència de Seguretat Nacional (NSA) d’Edward Snowden, passant en tan sols un mes d’uns 800 mil usuaris a gairebé sis milions, el 18 de setembre del 2013. 

Silvia Puglisi (Itàlia, 1983) és enginyera informàtica i va estrenar-se a Google (Dublín), on va treballar cinc anys. Però si el punt de partida va ser el gegant tecnològic que ho sap quasi tot, ha acabat formant part d’una organització clau per a la defensa de la privacitat a Internet, The Tor Project, on treballa des de fa quatre anys. I, entremig, ha fet feina al Fab Lab Barcelona -una xarxa col·laborativa global per a la recerca- i s’ha doctorat a la Universitat Politècnica de Catalunya (UPC).

The Tor Project és l’entitat sense ànim de lucre que gestiona Tor, acrònim de The Onion Router (en català, l’Enrutador Ceba), que és el programari de codi obert que permet navegar anònimament per la Xarxa. Tal com explica Edward Snowden al llibre Permanent Record, Tor és una creació del govern dels Estats Units que es va acabar convertint en un dels pocs escuts eficaços contra la vigilància estatal, basat en un model de comunitat cooperativa que depèn de voluntaris experts en tecnologia de tot el món que gestionen els seus propis servidors des dels seus soterranis, golfes i garatges: “Gairebé cap dels servidors Tor -anomenats ‘capes’- coneix la identitat de l’origen del tràfic, ni té cap informació per identificar-lo. A més, en una autèntica jugada mestra, l’únic servidor Tor que coneix aquest origen (el primer de la cadena) no sap on es dirigeix el tràfic”.

Però la xarxa d’anonimització més utilitzada del món no ha evitat els danys col·laterals de la pandèmia i, recentment, ha patit una dràstica reducció de la plantilla per la caiguda de les donacions i la congelació de les subvencions. A més, Puglisi i altres companys seus es troben en ERTO fins el desembre.

A què es dedica The Tor Project?

El Projecte Tor és una entitat d’administració de la xarxa Tor. No intervé en allò que passa a la xarxa en si, perquè aquesta no és controlada. El projecte s’ocupa, sobretot, de desenvolupar un protocol, o sigui, allò que defineix la manera de navegar per Internet. El resultat és el navegador Tor. 

Quines implicacions té per a la nostra societat l’existència d’una xarxa com Tor? Què significa l’eslògan del Projecte Tor ‘Take back the Internet’?

El principal paper de Tor és ajudar a persones en situació de censura o risc de censura a l’hora de fer alguna cosa tan simple com llegir el diari o buscar informació. Per exemple, en alguns països, buscar a Internet sobre com avortar pot ser molt perillós. Per altra banda, res justifica que, quan llegeixes un diari, cinquanta empreses mirin com es mou el teu ratolí a la pantalla. 

Quina rellevància té l’activitat del Projecte Tor per a la supervivència de la xarxa Tor: podria existir una sense l’altra, només amb el suport i treball de voluntaris?

L’objectiu del Projecte Tor és el desenvolupament del protocol, la resolució dels problemes del codi i el manteniment d’aquest codi. Però la xarxa és mantinguda sobretot per voluntaris. Jo mateixa tinc un node i la gent l’utilitza per accedir a la xarxa. La xarxa en si és, d’alguna manera, autònoma del projecte. De fet, hi ha molts projectes de codi lliure que es desenvolupen íntegrament per voluntaris. És el cas de Debian, una distribució de Linux. En altres casos, hi ha empreses o organitzacions al darrere.

Com pot una xarxa que depèn directament del treball d’una organització tenir garanties de ser una xarxa lliure i independent?

Per començar, no controlem la xarxa. Qualsevol persona pot posar un node a la xarxa. En segon lloc, el codi del programari és obert i molta gent el llegeix. Quan tu utilitzes el navegador Tor o afegeixes un node a la xarxa, pots confiar que molta gent accedeix i revisa aquest codi, tal com funciona una distribució Linux de codi lliure. 

Actualment, el Projecte Tor tenia fins a 35 persones treballant en el nucli del seu servei, però l’alerta sanitària del coronavirus ha forçat l’organització a acomiadar a 13 persones, que és un terç de la plantilla, per a poder continuar endavant. Com afectarà això a Tor? Quines conseqüències per a la privacitat pot tenir?

Seguim treballant com abans i el protocol es manté igual. Tot i això, ara som menys gent i la resolució d’alguns problemes pot ser més lenta. Per sort, tenim una comunitat molt activa de persones que no treballen directament al Projecte Tor, però que investiguen sobre el protocol, o bé simplement fan traduccions, o bé fan desenvolupaments durant el seu temps lliure. Són molts els voluntaris que sostenen el projecte. El Projecte Tor funciona d’una manera similar a organitzacions com Indymedia, que a finals dels anys 90 va impulsar un mitjà de comunicació més independent i autosostenible. Molts dels qui en formaven part ara són a Tor. 

Esdeveniments com la primavera àrab o les revelacions de Snowden, el 2013, van disparar l’èxit de Tor. El pic més alt d’usuaris va coincidir amb l’inici de les revelacions sobre l’espionatge massiu de la NSA, passant de menys de 800 mil usuaris a gairebé 6 milions en tan sols un mes…

Sovint s’ha parlat de la utopia de la tecnologia. Hi ha dos moments que trenquen amb aquesta creença. El primer coincideix amb les filtracions de Snowden, i el segon amb el cas de Cambridge Analytica, l’empresa que va tenir un paper decisiu en les victòries de Donald Trump i el Brexit utilitzant dades personals per a influir en decisions polítiques. Amb les revelacions de Snowden, es va trencar la confiança amb el govern, i amb l’escàndol de Cambridge Analytica es va trencar la confiança amb les grans corporacions. Crec que d’aquí a un temps ens passarà el mateix amb aplicacions com Facebook, Whatsapp o Instagram.

Com de ràpid hem de fugir d’aquestes xarxes socials?

És normal que la gent vulgui tenir-hi un compte, però com menys dades hi comparteixis, millor. L’ideal seria, per exemple, que no utilitzis el mateix navegador per accedir al compte bancari i per connectar-te a Facebook. Si una cosa la fas amb Chrome, l’altra la pots fer amb Firefox, o al revés. També és convenient evitar l’ús d’aplicacions mòbils que acaben enviant dades a grans corporacions com Google o Facebook. És preferible fer servir Facebook o Instagram des d’un navegador. 

La Covid-19 ha implicat prioritzar la recol·lecta de dades personals per sobre de la privacitat. Hi haurà un abans i un després en matèria de llibertats?

A escala europea, els protocols per analitzar els contagis són força segurs. De fet, un dels protocols més descentralitzats han estat desenvolupats en bona part per l’espanyola Carmela Troncoso i el seu equip, que treballen a Ginebra. La majoria de les aplicacions dels governs s’han desenvolupat amb aquesta idea: que les anàlisis de dades personals es fan al telèfon de la persona i no es comparteixen ni amb el govern ni amb les empreses. Tot i això, els governs regionals ja tenen les dades dels contagis perquè les han obtingut a través dels hospitals i els diferents sistemes de salut. Malgrat tot, altres governs han actuat amb més picardia i han arribat a un acord amb empreses poc fiables. Per exemple, arran de la pandèmia, el govern d’Anglaterra ha començat a col·laborar amb Palantir, una empresa que ven dades de persones migrants o sospitoses d’alguna il·legalitat a la policia.

La privacitat ha de prioritzar-se per davant de la seguretat?

La privacitat sempre és prioritària. La privacitat és un dret que ens permet desenvolupar les nostres idees, saber qui som i com volem presentar-nos al món. A vegades penso que és com la roba. Tu esculls com et vesteixes, o si et vesteixes una mica més o una mica menys. No sóc de les persones que considera que la privacitat ha mort i que, si no tens res a amagar, no cal amoïnar-se. De fet, la privacitat està en moltes constitucions i és un dels drets fonamentals. Ara bé, l’anonimat no és el mateix que la privacitat. L’anonimat és quan tu has fet alguna cosa i ningú ho sap. A vegades l’anonimat provoca una certa por. A La República, Plató parla de Giges, un pastor que troba un anell que li dona el poder de la invisibilitat que utilitza per matar el rei. El conte ens ve a dir que el do d’ocultar-se serveix per a fer el mal. Això no és cert i, a més, actualment existeixen tots els mecanismes per descobrir si algú ha comès un crim independentment de si llegeix El País, La Vanguardia o si prefereix un altre diari.

Realment hi ha els mecanismes per a perseguir la pederàstia, la venda il·legal d’armes o el narcotràfic al web fosc (dark web)?

Sí, hi ha mecanismes. Sempre que la gent utilitza un servidor es produeixen errors. La gent que comet un delicte també deixa un rastre fora del web fosc. A vegades el web fosc provoca una certa por perquè no hi ha una empresa al darrere. Però, en molts casos, el material il·legal també es comparteix per Whatsapp, com passa amb molts vídeos de ciberassetjament. També hi ha molt material que es comparteix a Dropbox o Cloudflare, un servei que et proporciona cert anonimat perquè no revela on es troba el servidor.

El web fosc és un terme criminalitzat. Hauríem de canviar l’enfocament?

Crec que sovint els mitjans no troben una bona història quan parlen d’arxius compartits a Dropbox. En canvi, si parles del web fosc, hi ha tota una narrativa al darrere que desperta més interès i que va desenvolupar-se amb el sorgiment de Silk Road, un popular mercat negre de droga desmantellat el 2013, i que evocava històries de pirates.

Com es planteja a Tor el dilema entre privacitat i seguretat?

Nosaltres escollim sempre la privacitat perquè l’usuari és la baula més dèbil de la cadena; especialment si viu en un país amb llibertats limitades. Cal tenir en compte que a Internet també hi ha contingut il·legal i que cada país té la seva manera de detectar qui comparteix aquests continguts. 

En un país on les llibertats estan limitades, el web fosc és un mitjà d’expressió i accés a informacions que en altres espais estarien vetats o suposaria un risc inassumible. Però Tor també és popular en les democràcies liberals. Per què és necessari Tor en un Estat com l’espanyol?

Tu has de tenir el dret de comprar alguna cosa i no haver de pagar un preu alterat pel fet d’haver buscat el mateix producte tres setmanes abans, com passa amb el cost d’un vol, per exemple. El dret a la privacitat és també això: no ser vist mentre busques qualsevol cosa. 

Hi ha alguna mesura implementada per The Tor Project o alguna altra organització que intenti mitigar l’ús de la xarxa per a cometre crims?

El protocol onion et permet publicar un web sense que ningú identifiqui l’autor ni el visitant. Es protegeixen les dues parts. Per altra banda, si ve algú i ens diu que una pàgina és il·legal, nosaltres no tenim manera de conèixer el servidor d’origen. Tot i això, nosaltres no volem que aquest tipus de contingut sigui al web fosc i sovint pensem mecanismes per evitar que n’hi hagi. Però són continguts que també existeixen a Internet. 

Una multinacional de Barcelona es despertava el dijous amb l’aigua al coll, els ordinadors bloquejats i un missatge anònim a les pantalles: o pagaven un rescat de més de mig milió d’euros o abaixaven la persiana. Un virus informàtic els havia agafat per sorpresa i, de cop i volta, totes les dades estaven xifrades. Des d’un xat anònim, algú els reclamava 540.000 euros si volien recuperar-les. 

A la tarda, la companyia va denunciar-ho als Mossos d’Esquadra. En aquest cas, però, feia falta alguna cosa més que la intervenció policial per dissuadir uns criminals d’identitat i parador desconeguts. L’única opció de rescatar les dades passava per seure i negociar amb gent que utilitzava les mateixes tàctiques que els segrestadors de persones. La conversa, però, s’havia de mantenir a través d’un xat anònim i sempre utilitzant Tor, que permet navegar d’incògnit per la Xarxa. 

L’operació va allargar-se quatre dies. Va ser clau la intermediació d’Oleguer Rocafull, analista d’Intel·ligència, i el consultor en ciberseguretat José Nicolás Castellano, que també és el president i organitzador del congrés de ciberseguretat més veterà de l’Estat, el NoConName. “Vam començar a negociar, però vam veure que a l’altra banda no es movien. Sabien que tenien el poder”, recorda Castellano. En aquest cas, la companyia, assistida pel consultor, va atrevir-se a discutir el preu que demanaven per a la informació menys crítica i va dir als hackers ‘Això és el que tenim. No demaneu més. Ho voleu?’. I ho van acceptar. 

No obstant això, l’empresa va veure’s obligada a pagar sense regatejar per les dades vitals. “Era qüestió de vida o mort”, explica Castellano, i afegeix que “la majoria d’empreses que han patit un atac semblant han hagut de tancar”. D’aquesta manera, després de moltes hores de tensió, el rescat va saldar-se amb el pagament de 142.000 euros -lluny dels 540.000 que demanaven al principi- i, això sí, la supervivència de l’empresa.  

Escenes com aquesta no són una excepció a Catalunya, on Castellano detecta una onada creixent d’infeccions per ransomware (de l’anglès ransom, ‘rescat’, i ware, de ‘programari’), que xifra els arxius i infecta els sistemes connectats a la mateixa xarxa. Una vegada instal·lat a l’ordinador, bloqueja l’accés i demana un rescat que oscil·la entre els centenars i els milers d’euros a canvi de les claus de desxifrat. “Aquest darrer mes hem vist moltes, moltes, empreses catalanes afectades. Els atacants van a sac”, assegura. 

A escala mundial, l’últim estudi de la companyia de ciberseguretat Malwarebytes diu que, en comparació amb el primer trimestre del 2018, les incidències registrades per ransomware s’han incrementat un 500% durant els primers tres mesos d’enguany. A Nord-Amèrica, aquests virus ja han bloquejat desenes d’administracions senceres, i alguns Estats i ciutats fins i tot han declarat l’estat d’emergència. A l’Estat espanyol, el Centre Criptològic Nacional (CCN) no atura de plantar cara a una allau d’incidències informàtiques semblants que han deixat víctimes com la Cadena SER o la consultora Everis, entre moltes altres empreses espanyoles. 

‘Malware as a service‘

Segons l’Institut Nacional de Ciberseguretat (INCIBE) de l’Estat espanyol, es tracta d’un atac cada cop més freqüent perquè resulta molt lucratiu pels delinqüents (es calcula que els creadors de WannaCry, un tipus de ransomware que afectà milers d’ordinadors el 2017, guanyaven uns 360.000 dòlars mensuals). A més, cada cop és més fàcil segrestar la informació degut als avenços de la criptografia. Igualment, els hackers poden ocultar la seva identitat i utilitzar sistemes internacionals de pagament anònim i que la Policia no pot rastrejar, com la criptomoneda ‘Bitcoin’.

La majoria d’atacs recents provenen de malwares diferents, tot i que formen part de la família del ransomware. Els hackers funcionen com una empresa amb una organització interna, on cadascú té el seu paper: “s’anomena Malware as a service”, explica Castellano. D’aquesta manera, un primer grup es dedica a fer un estudi de mercat de l’empresa víctima i esbrina el seu poder adquisitiu, els pressupostos que mou, els ordinadors que utilitza, els programes que fa servir i els correus dels directius o dels qui gestionen les finances. I tota aquesta informació s’extreu per mitjà d’Internet. “Ho saben quasi tot”, comenta. Mentrestant, uns altres es fan càrrec de desenvolupar el programari de xifrat, uns altres ho venen a través del Web profund, i uns altres fan l’atac.

El vector d’infecció més típic és un correu amb un document adjunt. Quan algú l’obre per error, el ransomware penetra dins un ordinador i es replica en totes les màquines possibles per mitjà dels anomenats ‘moviments laterals’, que dispersen el virus. Aleshores, es comencen a xifrar les dades utilitzant sovint més d’una clau, cadascuna amb el seu preu. D’aquesta manera, l’empresa víctima ha de pagar certa quantitat per cada paquet d’informació encriptada. 

Punts febles

El ransomware afecta sobretot les grans empreses, més propenses a pagar el rescat per evitar la pèrdua d’informació permanent, la interrupció de l’activitat normal i danys econòmics i reputacionals. Però també són objectius temptadors les petites i mitjanes empreses amb el software desactualitzat -les que utilitzen Microsoft Office 2007 o 2010, per exemple-, que manquen d’antivirus, mesures de seguretat, o disposen de contrasenyes febles. Castellano adverteix que “les empreses no es preparen per uns atacs informàtics cada cop més freqüents, i són aquestes les víctimes”. A més, no n’hi ha prou amb fer còpies de seguretat: “El sistema de còpies d’aquesta empresa no estava pensat per esquivar un atac, perquè el ransomware també ataca les còpies”. Evitar ensurts passa per fer anàlisis de riscos de ciberseguretat, formar el personal i fer proves de penetració, per exemple. “Les companyies s’han de plantejar ja que la ciberseguretat és una inversió i no una despesa”, conclou a Twitter. 

Tor, el programari de codi obert que ens permet navegar anònimament per la xarxa, ja té versió en català. Per això rellegim més avall l’explicació d’aquesta eina que plasma el famós exespia nordamericà, Edward Snowden, al seu llibre Permanent Record (en castellà, Vigilancia Permanente).

Durant la meva temporada a Ginebra, quan un agent de cas em preguntava si hi havia un mode més segur, més ràpid i, en general, més eficient de fer el mateix [navegar a Google de manera anònima], jo els presentava a Tor.

El Tor Project era una creació de l’Estat que s’acabà convertint en un dels pocs escuts eficaços contra la vigilància estatal. Tor és un software gratuït de codi obert que, si s’utilitza amb compte, permet als seus usuaris navegar per Internet amb el més semblant a l’anonimat que es pot assolir a escala pràctica. Els seus protocols els desenvolupà el Laboratori d’Investigació Naval dels Estats Units al llarg de la dècada de 1990, i el 2003 el posà a disposició del públic, o sigui, de la població civil mundial de la qual depèn la seva funcionalitat. El motiu d’aquesta afirmació és que Tor es basa en un model de comunitat cooperativa i depèn de voluntaris experts en tecnologia de tot el món que gestionen els seus propis servidors Tor des dels seus soterranis, golfes i garatges. Enrutant a internet el tràfic dels seus usuaris per aquests servidors, Tor fa el mateix treball de protecció de l’origen d’aquest tràfic que el sistema de “cerca no atribuïble” de la CIA, amb la principal diferència que Tor ho fa millor, o com a mínim, de manera més eficient. Jo ja estava convençut d’això, però convèncer els agents de cas era una altra història.

Amb el protocol Tor, el teu tràfic es distribueix i rebota per rutes generalitzades a l’atzar de servidor Tor en servidor Tor, amb la finalitat de substituir la teva identitat com a font d’una comunicació amb la de l’últim servidor Tor en una cadena que canvia constantment. Gairebé cap dels servidors Tor -anomenats “capes”- coneix la identitat de l’origen del tràfic, ni té cap informació per identificar-lo. A més, en una autèntica jugada mestra, l’únic servidor Tor que coneix aquest origen (el primer de la cadena) no sap on es dirigeix el tràfic. Dit d’una manera més planera: el primer servidor Tor que et connecta amb la xarxa Tor, o porta d’enllaç, sap que ets tu qui envia una sol·licitud, però com que no té permès llegir aquesta sol·licitud, no té ni idea que cerques mems de mascotes o informació sobre una protesta, i el servidor Tor final pel qual passa la teva sol·licitud, o sortida, sap exactament allò que s’està buscant, però no en té ni idea de qui ho està buscant.

Aquest mètode de capes s’anomena “enrutament de ceba”, i d’aquí rep Tor el seu nom: les sigles en anglès d’aquest concepte, The Onion Router; l’acudit confidencial era que intentar vigilar la xarxa Tor feia plorar els espies. I aquí rau la ironia de tot el projecte: una tecnologia desenvolupada per l’Exèrcit dels Estats Units va fer al mateix temps més fàcil i més difícil la ciberintel·ligència, quan va aplicar coneixements de hacker per a protegir l’anonimat dels agents de la Intelligence Community, però només a força de garantir el mateix anonimat als adversaris, i als usuaris de tot el món. En aquest sentit, Tor és gairebé més neutral que Suïssa. A mi, personalment, Tor em canvià la vida, ja que em va tornar l’Internet de la meva infància, en permetre’m tastar lleugerament la llibertat de no sentir-me observat.