La ‘caja anónima’ podría ser un fraude importado de China

La ‘caja anónima’ podría ser un fraude importado de China

 

A las pocas horas de que la caja del anonimato Anonabox apareciera en Kickstarter ya había alcanzado los 6.000 euros necesarios para su fabricación. Tres días después ya casi ha conseguido medio millón de euros. A pesar de su gran repercusión, las críticas iniciadas en Reddit ponen en duda la seguridad del dispositivo y la sinceridad de sus creadores, y amenazan con poner en riesgo el futuro del proyecto.

“100% código abierto”. Según el creador de Anonabox, August Germar, esta es una de las ventajas que caracterizan al dispositivo, y así es descrito en la página de Kickstarter. Sin embargo, parece que ni el software ni el hardware lo son. De hecho ni siquiera han sido desarrollados por el equipo de Germar.

No hay duda de que el software es código abierto al cien por cien”, asegura a Teknautas Germar. Por otra parte, los miembros de Tor Project no hacen ninguna evaluación sobre la seguridad del dispositivo, pero sí nos aseguran que “ahora mismo” las mejores opciones son instalar directamente Tor, o utilizar sistemas operativos como Tails y Whonix, que funcionan también mediante la red Tor.

Germer ha asegurado a Wired que su intención era que su “público objetivo” eran desarrolladores. Gente que pudiera actuar como conejillo de Indias para mejorar el producto, y que además incluiría un libro de instrucciones que lo explicara todo. Esto, sin embargo, no se especificaba en la página del proyecto.

Curiosamente, el dispositivo ha sufrido las mismas críticas que tuvo en su momento Safeplug, un router muy similar cuyo firmware no era seguro, según un estudio de la Universidad de Princeton. Precisamente el propio Germar aseguró a Teknautas que el problema de Safeplug es que “no era de código abierto”, y señaló que su seguridad era “cuestionable”.

Hardware chino sin garantías de seguridad

Al parecer, la base de Anonabox es un router chino que se puede comprar por unos 15 euros, a pesar de que en la página del proyecto se aseguraba que había costado cuatro años de desarrollo. “Hemos diseñado una cubierta simple, minimalista y blanca para cubrirlo”, explicaban.

Germar ha admitido a Wired posteriormente que el router fue creado a partir de la placa base de un proveedor chino, al igual que la cubierta blanca, que tampoco fue diseñada por el equipo de Anonabox.

Por otra parte, el desarrollador explicaba a Daily Dot que la placa madre fue diseñada por un ingeniero eléctrico que siguió sus especificaciones. Según Germer, el equipo descubrió posteriormente que el hardware era “muy similar” al modelo chino, pero subraya que “lo importante es el software”.

El problema de utilizar componentes comerciales –además de no advertirlo– está en los fallos de seguridad que esto puede acarrear. Anonabox está creado probablemente a partir de una copia china de un router 3G de TP-Link. Por lo tanto, no es posible saber si existen puertas traseras en el hardware que puedan utilizarse  para sortear la seguridad del mismo y acceder al dispositivo. Teknautas ha preguntado a Germer sobre esta cuestión, quien se ha lavado las manos asegurando que “en el mundo en el que vivimos no hay nada seguro”.

Un ejemplo del riesgo que esto supone se puede encontrar en la polémica que hubo en 2012 con los routers de Huawei. Según la empresa de seguridad Recurity Labs, era posible hacerse con el control de estos dispositivos por culpa de sus vulnerabilidades.

La contraseña para acceder al router: “Desarrollador”

Una vez descubierto que los componentes físicos del dispositivo no son de código abierto, todas las miradas han apuntado al código. Se les acusa de que los scripts que utiliza para modificar el router y conseguir que se conecte a la red Tor son los mismos que los que utiliza Portal, por lo que tampoco esta parte es original. Germer no se ha pronunciado a Teknautas sobre la certeza de esta afirmación.

De hecho, el software que utiliza el dispositivo es OpenWRT, una distribución de Linux que se emplea en muchos routers. Esto es algo que se muestra en una de las imágenes del proyecto, pero algunos usuarios explican que está tan mal configurado que en vez de proteger la información privada la “regala”.

Y es que un usuario de Reddit descubrió que existe una contraseña para acceder al router, y por lo tanto a todos los Anonabox: “Desarrollador”. Esto significa que quien utilice el dispositivo sin cambiar el código será susceptible a que cualquier persona que conozca la clave controle su aparato.

Si las acusaciones son ciertas, lo peor de que Anonabox no cumpla lo que promete está en aquellos países con gobiernos represivos a los que más quería ayudar. Este pequeño router permitía conectarse a la red Tor, para así navegar por internet de forma anónima, pero si no lo consigue, podría tener consecuencias muy negativas para los usuarios de esos países.

 

Todavía está por ver qué acciones tomará Kickstarter con el proyecto. Su equipo de comunicación ha asegurado a Teknautas que, aunque las críticas “parecen razonadas”, no tomarán partido. Eso sí, el número de patrocinadores –y por lo tanto de dinero recaudado– está disminuyendo.

El culebrón de Anonabox está lejos de terminar. Germar y su equipo tendrán que tranquilizar a sus mecenas y demostrar la eficacia y seguridad del producto. El tiempo dirá si este es otro intento fracasado de llevar Tor a cualquier usuario de forma rápida y sencilla.

 

 

 

Fuente: El Confidencial



¿Necesitas más información sobre nuestros servicios?

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies

ACEPTAR