Cuidado con Brave: ha filtrado las URL que has visitado desde Tor

Cuidado con Brave: ha filtrado las URL que has visitado desde Tor

Rubén Velasco

En los tiempos que corren, mantener nuestra privacidad al navegar por Internet es cada vez más complicado. Por suerte, existen navegadores que prometen permitir a sus usuarios navegar con la máxima seguridad posible. Para ello, lo que suelen hacer estos navegadores es bloquear todo tipo de rastreadores por defecto, y ofrecer otras funciones de seguridad, de manera que todo lo que hagamos del navegador quede entre nosotros y la web, nada más. Sin embargo, puede que algún navegador prometa mucha privacidad y, en la práctica, esté filtrando nuestros datos a alguna empresa o algún servidor, como le ha pasado a Brave.

Brave es un navegador web basado en Chromium. Con ello, lo que buscan sus desarrolladores es ofrecer a los usuarios las mismas funciones que pueden encontrar en otros navegadores web como Chrome o Firefox, con la diferencia de que lo hace ofreciendo la mayor privacidad posible. Este navegador no envía absolutamente ningún dato de telemetría, además de contar con funciones que se encargan de bloquear rastreadores y muchos otros muchos elementos que podemos encontrar mientras navegamos.

Este navegador web cuenta con un modo Tor que permite a los usuarios navegar de manera más privada y, además, acceder a dominios .ONION sin necesidad de usar software adicional. Sin embargo, puede que este modo Tor no haya sido tan privado como debería.

Brave modo privado Tor

Brave ha estado enviando las webs ONION al servidor DNS

A diferencia de otros navegadores, como Tor Browser, Brave ofrece esta funcionalidad a través de una implementación de proxy. Esto permite que sea más sencillo de usar, pero no ofrece, ni de lejos, el mismo nivel de privacidad.

Al usar este modo, lo que hace Brave es enviar a través de ese proxy Tor todas las webs que visitemos. Sin embargo, tal como demuestra Reddit, un fallo en la implementación de este proxy ha estado haciendo que, además, todas estas URL se enviaran al servidor DNS de nuestro ordenador. De esta manera, si intentamos entrar en SoftZone desde el modo privado con Tor, además de enviar todo el tráfico a través de esta red descentralizada, también se envía el dominio a nuestro DNS, 8.8.8.8. Es decir, termina pasando igualmente por Google.

El problema residía en que el CNAME de Brave encargado de bloquear los scripts de seguimiento de terceros utiliza registros DNS CNAME para hacerse pasar por un script de origen y poder bloquear el contenido sin alterar el estado de la web. ¿Y cómo han decidido solucionarlo? Muy sencillo: desactivando esta función cuando estemos navegando en el modo privado con Tor.

Este error aún no está solucionado

El fallo lleva más de tres semanas publicado en la página del proyecto de GitHub. Sin embargo, hasta ahora, la solución no ha sido publicada. Se esperaba que este parche llegara con el lanzamiento de la versión 1.21, pero debido a un problema de última hora los desarrolladores han tenido que dar marcha atrás en la implementación de la solución.

Tal como afirma el desarrollador Yan Zhu, de Brave, la solución a este problema de privacidad debería llegar muy pronto mediante un hotfix publicado para el navegador. Pero seguimos sin una fecha fija.

Desde luego, esta es una prueba más de que, aunque nos vendan una fortaleza para nuestra privacidad, el más mínimo fallo de implementación en cualquiera de las funciones del mismo puede derrumbarla por completo.