Es noticia
La 'caja anónima' podría ser un fraude importado de China
  1. Tecnología
PODRÍA NO SER SEGURO NI ANÓNIMO

La 'caja anónima' podría ser un fraude importado de China

Este proyecto ha recaudado casi medio millón de euros, pero también ha levantado críticas entre quienes aseguran que ni es de código abierto ni es seguro

Foto:

A las pocas horas de que la caja del anonimato Anonaboxapareciera en Kickstarterya había alcanzado los 6.000 euros necesarios para su fabricación. Tres días después ya casi ha conseguido medio millón de euros. A pesar de su gran repercusión, las críticas iniciadas en Redditponen en duda la seguridad del dispositivo y la sinceridad de sus creadores, y amenazan con poner en riesgo el futuro del proyecto.

“100% código abierto”. Según el creador de Anonabox, August Germar, esta es una de las ventajas que caracterizan al dispositivo, y así es descrito en la página de Kickstarter. Sin embargo, parece que ni el software ni el hardware lo son. De hechoni siquiera han sido desarrollados por el equipo de Germar.

"No hay duda de que el software es código abierto al cien por cien", asegura a Teknautas Germar.Por otra parte, los miembros de TorProjectno hacen ninguna evaluación sobre la seguridad deldispositivo, perosí nos aseguran que “ahora mismo” las mejores opciones son instalar directamenteTor, o utilizar sistemas operativos como Tails y Whonix,que funcionan también mediante la red Tor.

Germer ha asegurado a Wired que su intención era que su "público objetivo" eran desarrolladores. Gente que pudiera actuar como conejillo de Indiaspara mejorar el producto, y que además incluiría un libro de instrucciones que lo explicara todo. Esto, sin embargo, no se especificaba en la página del proyecto.

Curiosamente, el dispositivo ha sufrido las mismas críticas que tuvo en su momento Safeplug, un router muy similar cuyofirmwareno era seguro,según un estudiode la Universidad de Princeton. Precisamente el propio Germar aseguró aTeknautasque el problema de Safeplug es que “no era de código abierto”, y señaló que su seguridad era “cuestionable”.

Hardware chino sin garantías de seguridad

Al parecer, la base de Anonabox es un router chino que se puede comprar por unos 15 euros, a pesar de que en la página del proyecto se aseguraba que había costado cuatro años de desarrollo. “Hemos diseñado una cubierta simple, minimalista y blanca para cubrirlo”, explicaban.

Germar ha admitido a Wired posteriormente que el router fue creado a partir de la placa base de un proveedor chino, al igual que la cubierta blanca, que tampoco fue diseñada por el equipo de Anonabox.

Por otra parte, el desarrollador explicaba a Daily Dot que la placa madre fue diseñada por un ingeniero eléctrico que siguió sus especificaciones. Según Germer, el equipo descubrió posteriormente que el hardware era “muy similar” al modelo chino, pero subraya que “lo importante es el software”.

El problema de utilizar componentes comerciales –además de no advertirlo– está en los fallos de seguridad que esto puede acarrear. Anonabox está creado probablemente a partir de una copia china de un router 3G de TP-Link. Por lo tanto, no es posible saber si existen puertas traseras en el hardware que puedan utilizarse para sortear la seguridad del mismo y acceder al dispositivo. Teknautas ha preguntado a Germer sobre esta cuestión, quien se ha lavado las manos asegurando que "en el mundo en el que vivimos no hay nada seguro".

Un ejemplo del riesgo que esto supone se puede encontrar en la polémica que hubo en 2012 con los routers de Huawei. Según la empresa de seguridad Recurity Labs, era posible hacerse con el control de estos dispositivos por culpa de sus vulnerabilidades.

La contraseña para acceder al router: "Desarrollador"

Una vez descubierto que los componentes físicos del dispositivo no son de código abierto, todas las miradas han apuntado al código.Se les acusa de que losscriptsque utiliza para modificar el router y conseguir que se conecte a la red Torson los mismos que los que utilizaPortal, por lo que tampoco esta parte es original. Germer no se ha pronunciado a Teknautas sobre la certeza de esta afirmación.

De hecho, el software que utiliza el dispositivo es OpenWRT, una distribución de Linux que se emplea en muchos routers. Esto es algo que se muestra en una de las imágenes del proyecto, pero algunos usuarios explican que está tan mal configurado que en vez de proteger la información privada la “regala”.

Y es que un usuario de Reddit descubrió que existe una contraseña para acceder al router, y por lo tanto a todos los Anonabox: "Desarrollador". Esto significa que quien utilice el dispositivo sin cambiar el código será susceptible a que cualquier persona que conozca la clave controle su aparato.

Si las acusaciones son ciertas, lo peor de que Anonabox no cumpla lo que promete está en aquellos países con gobiernos represivos a los que más quería ayudar. Este pequeño router permitía conectarse a la red Tor, para así navegar por internet de forma anónima, pero si no lo consigue, podría tener consecuencias muy negativas para los usuarios de esos países.

Todavía está por ver qué acciones tomará Kickstarter con el proyecto. Su equipo de comunicación ha asegurado a Teknautas que, aunque las críticas "parecen razonadas", no tomarán partido. Eso sí, el número de patrocinadores –y por lo tanto de dinero recaudado– está disminuyendo.

El culebrón de Anonabox está lejos de terminar. Germar y su equipo tendrán que tranquilizar a sus mecenas y demostrar la eficacia y seguridad del producto. El tiempo dirá si este es otro intento fracasado de llevar Tor a cualquier usuario de forma rápida y sencilla.

Actualización 19/10/2014: Laplataforma Kickstarter ha decidido cerrar el proyecto, que finalmente no verá la luz. Portavoces de Kickstarter aseguraron aTeknautasque la suspensión "es permanente".

A las pocas horas de que la caja del anonimato Anonaboxapareciera en Kickstarterya había alcanzado los 6.000 euros necesarios para su fabricación. Tres días después ya casi ha conseguido medio millón de euros. A pesar de su gran repercusión, las críticas iniciadas en Redditponen en duda la seguridad del dispositivo y la sinceridad de sus creadores, y amenazan con poner en riesgo el futuro del proyecto.

Seguridad
El redactor recomienda