El Proyecto Tor ha anunciado la incorporación de un nuevo esquema de cifrado de tráfico, denominado Counter Galois Onion (CGO), diseñado para reemplazar al veterano algoritmo tor1. Esta actualización supone un paso importante en la modernización criptográfica de la red Tor, con el objetivo de reforzar el anonimato, dificultar la correlación del tráfico y alinearse con los estándares de seguridad actuales.
Por qué Tor abandona el antiguo algoritmo de cifrado tor1
El diseño original de tor1 se remonta a una época en la que las capacidades de cómputo y el nivel de sofisticación de los ataques eran significativamente menores. Con el crecimiento de la red Tor y la implicación de actores con recursos estatales, las limitaciones de este esquema se han vuelto más evidentes, especialmente en lo relativo a la integridad de los datos y a la protección a largo plazo de las claves.
AES-CTR sin autenticación y riesgo de ataques de etiquetado
El problema central de tor1 es el uso de AES en modo CTR (AES‑CTR) sin autenticación entre nodos. Este modo cifra el contenido, pero no verifica que los datos lleguen intactos. En términos prácticos, un atacante que controle varios nodos de la ruta puede modificar de forma controlada partes del tráfico y luego buscar esas mismas “marcas” en otros puntos de la red. Esta técnica, conocida como tagging attack o ataque de etiquetado, facilita vincular tráfico de entrada y salida, debilitando el anonimato que Tor pretende garantizar.
Forward secrecy limitada y verificación de integridad insuficiente
Otra debilidad relevante de tor1 es su implementación solo parcial de la secrecía directa o forward secrecy. En la práctica, las mismas claves AES se reutilizan durante toda la vida de un circuito. Si un adversario logra recuperar una de estas claves, puede descifrar todo el tráfico pasado de ese circuito, no solo el futuro. En un contexto donde la interceptación masiva y el almacenamiento de datos a largo plazo son comunes, esta propiedad resulta especialmente crítica.
Además, la verificación de integridad en tor1 se basa en un digest de SHA‑1 truncado a 4 bytes. Esto equivale a una suma de comprobación con solo 2³² posibles valores. Aunque a primera vista la probabilidad de colisión pueda parecer baja, las recomendaciones de organismos como NIST han descartado SHA‑1 para nuevas aplicaciones debido a su debilidad, y un digest tan corto se considera hoy insuficiente frente a atacantes con capacidad de cómputo distribuida.
CGO: un esquema de cifrado moderno para la red Tor
El nuevo algoritmo Counter Galois Onion (CGO) se apoya en una construcción criptográfica de tipo Rugged Pseudorandom Permutation (RPRP), denominada UIV+. Estas permutaciones seudoealeatorias robustas están diseñadas para resistir tanto fallos accidentales como modificaciones maliciosas, y han sido objeto de análisis criptográfico acorde con las exigencias actuales de seguridad.
Cifrado autenticado, mejor integridad y mayor resistencia a la correlación de tráfico
Desde el punto de vista arquitectónico, CGO aborda varias de las carencias de tor1. En primer lugar, introduce una protección más fuerte de la integridad y autenticidad de los datos, reduciendo drásticamente la viabilidad de los ataques de etiquetado. Al combinar cifrado con autenticación, cada bloque de datos lleva asociada una prueba criptográfica de que no ha sido modificado, lo que impide al atacante alterar el tráfico sin ser detectado.
En segundo lugar, CGO mejora el modelo de forward secrecy. La gestión de claves se ha rediseñado para que la exposición de una clave concreta tenga un impacto mucho más limitado sobre el volumen de tráfico que un adversario podría descifrar. Esto refuerza la protección frente a ataques que combinan compromiso de claves, almacenamiento masivo de datos e intentos de descifrado a posteriori.
Los desarrolladores del Proyecto Tor destacan que CGO se ha concebido como una solución prácticamente desplegable: el objetivo es incrementar la seguridad sin introducir una penalización significativa en latencia o rendimiento, algo crucial para una red que da servicio a millones de usuarios y onion services en todo el mundo.
Integración de CGO en Tor y hoja de ruta del despliegue
La implementación de CGO avanza en paralelo en los dos componentes principales del ecosistema: la implementación de Tor en C y el cliente en Rust Arti. Por ahora, el nuevo algoritmo está disponible como función experimental, abierta a pruebas por parte de la comunidad técnica y de investigadores en ciberseguridad, lo que permite detectar posibles problemas antes de habilitarlo por defecto.
Entre las próximas tareas, el equipo de Tor señala la negociación de parámetros para los servicios onion y la optimización del rendimiento bajo carga real. Fiel a su enfoque conservador, el proyecto prevé una transición escalonada: auditorías externas, pruebas intensivas, despliegues progresivos y, solo entonces, activación por defecto para todos los usuarios.
Para quienes dependen del anonimato en la red Tor —como periodistas, defensores de derechos humanos, profesionales que manejan información sensible y usuarios particulares— la adopción de CGO representa un refuerzo tangible frente al análisis de tráfico, la manipulación de datos y los intentos de correlacionar comunicaciones. La migración será automática una vez que CGO se integre en las versiones estables, aunque todavía no se han comunicado fechas concretas, algo habitual en las migraciones criptográficas de largo alcance.
En este contexto, resulta clave mantenerse atento a las actualizaciones oficiales de Tor, aplicar sin demora las nuevas versiones y combinar estas mejoras criptográficas con buenas prácticas de seguridad operacional: evitar información identificable en el tráfico, actualizar el sistema operativo y el navegador, y seguir las recomendaciones de uso seguro publicadas por el propio proyecto. Comprender cómo evoluciona el cifrado en Tor y por qué se introduce CGO no solo ayuda a valorar mejor el nivel de protección disponible, sino que también invita a profundizar en el estudio del anonimato, el cifrado autenticado y las amenazas modernas contra la privacidad en línea.
