Qué son los logs de comunicación
La comunicación en internet no necesariamente desaparece por completo en el momento.
Pueden quedar registros sobre la comunicación en sitios web, servidores, DNS, ISP, routers, firewalls y sistemas similares.
Estos registros de comunicación se llaman generalmente "logs de comunicación".
Los logs de comunicación pueden incluir no solo el contenido de una comunicación, sino también información circundante como hora de comunicación, dirección IP de origen, destino, URL accedida, información del navegador, cookies y consultas DNS.
Al pensar en anonimato, no basta con preguntar solo si el contenido está cifrado.
La razón es que, incluso cuando el contenido no puede leerse, los metadatos asociados con la comunicación pueden convertirse en una pista para seguimiento.
Dónde quedan logs de comunicación
Los logs de comunicación son registros sobre comunicación.
Por ejemplo, cuando accedes a un sitio web, el servidor web puede registrar "cuándo", "desde qué dirección IP", "a qué URL" y "con qué tipo de información de navegador" ocurrió el acceso.
Sin embargo, los logs de comunicación no quedan de la misma forma en todos los entornos. Qué información se registra cambia según ajustes del servidor, diseño de la aplicación, servicios en la nube usados, configuración de red y política de retención de logs.
El punto importante es que la comunicación en internet tiene varios puntos de observación. Pueden quedar distintos tipos de logs en distintos lugares, como el sitio web, DNS, ISP, routers, redes internas e infraestructura en la nube.
| Dónde pueden quedar logs | Información que puede registrarse | Finalidad principal |
|---|---|---|
| Servidor web | Hora de acceso, dirección IP, URL, User-Agent, referrer e información similar | Análisis de acceso, respuesta a incidentes, detección de ataques |
| Aplicación | Historial de inicio de sesión, historial de operaciones, detalles de errores, ID de cuenta e información similar | Prevención de abuso, operación del servicio |
| Resolver DNS | Nombre de dominio consultado, hora de consulta, información del solicitante e información similar | Resolución de nombres, gestión de red |
| ISP u operador de red | Hora de conexión, dirección IP asignada, volumen de tráfico, parte de la información de destino e información similar | Operación de red, gestión de conexión |
| Router y firewall | Destino, volumen de tráfico, comunicación bloqueada, información de dispositivos internos e información similar | Gestión de red, medidas de seguridad |
Por qué quedan logs
Los logs no existen solo para vigilar a las personas usuarias. En muchos casos, los logs se registran para operar servicios y redes de forma estable.
Cuando ocurre un error en un sitio web, las personas administradoras revisan logs para investigar en qué URL, a qué hora y qué tipo de error ocurrió.
Los logs también se vuelven evidencia importante para investigar cuando ocurren eventos sospechosos, como inicio de sesión no autorizado, acceso masivo, escaneos de vulnerabilidades, infección por malware o sospecha de filtración de información.
| Finalidad | Cómo se usan los logs | Ejemplo |
|---|---|---|
| Respuesta a incidentes | Investigar causas de errores o caídas | Comprobar si aumentan errores 500 en una URL específica |
| Medidas de seguridad | Detectar accesos sospechosos | Comprobar si hubo muchos intentos de inicio de sesión en poco tiempo |
| Prevención de abuso | Investigar pistas de violaciones de términos o ataques | Comprobar solicitudes anómalas u orígenes de acceso no naturales |
| Mejora del servicio | Entender el uso | Comprobar páginas vistas con frecuencia y franjas de alto acceso |
Los logs son un mecanismo básico para proteger servicios. Al mismo tiempo, como pueden contener información sobre el comportamiento de personas usuarias, también pueden convertirse en un riesgo de privacidad según cómo se gestionen.
Logs que quedan en sitios web
Cuando accedes a un sitio web, pueden quedar logs de acceso en el servidor web.
Los logs de acceso típicos incluyen dirección IP de origen, hora de acceso, método HTTP, URL, código de estado, User-Agent, referrer e información similar.
Un ejemplo de URL es el siguiente.
Ejemplo de URL : https[:]//example.com/article/network-log
Aquí, example.com es un dominio de ejemplo usado a menudo para explicaciones.
En el sitio web, incluso cuando la comunicación usa HTTPS, el sitio recibe la ruta y consulta de la URL accedida, cookies e información de solicitud enviada. HTTPS es un mecanismo que dificulta leer el contenido en la ruta de comunicación; no impide que el propio sitio web de destino reciba información de solicitud.
Sin embargo, la información recibida por el servidor web y la información realmente almacenada como logs no son lo mismo. s, cuerpos de solicitud y datos similares pueden registrarse o no según la configuración del servidor y de la aplicación.
| Información | Contenido | Precaución |
|---|---|---|
| Hora de acceso | Cuándo ocurrió el acceso | Puede convertirse en una pista comparada con otros logs por tiempo |
| Dirección IP de origen | Qué dirección IP se conectó | A través de una CDN o proxy, el origen directo puede ser un servidor intermediario |
| URL | Qué página o API se accedió | Las cadenas de consulta pueden incluir identificadores |
| User-Agent | Navegador, sistema operativo, tipo de aplicación e información similar | Puede convertirse en material para inferir el entorno de uso |
| Cookie | Información identificativa que el sitio guarda en el navegador y recibe de él | Puede usarse para identificar visitas repetidas del mismo navegador o estado de inicio de sesión |
| Referrer | Desde qué página se movió la persona usuaria | Puede no enviarse, o enviarse solo una parte, por Referrer-Policy y mecanismos similares |
| Código de estado | Resultado de la solicitud | El resultado del procesamiento se ve por códigos como 200, 301, 403, 404, 500 |
Cuando un sitio web usa CDN, balanceador de carga o proxy inverso, la dirección IP de origen visible para el servidor web puede ser la dirección IP del servidor intermediario en lugar de la persona usuaria real. En este caso, la dirección IP original del cliente puede registrarse en encabezados como X-Forwarded-For o en logs del lado de la CDN.
Logs que quedan en aplicaciones y sistemas de autenticación
Los logs del lado del servidor no se limitan a logs de acceso del servidor web.
También pueden quedar registros sobre operaciones de personas usuarias y comportamiento del sistema en funciones de inicio de sesión, funciones de pago, pantallas de administración, API, bases de datos, herramientas de monitoreo de errores y sistemas similares.
Por ejemplo, un servicio con función de inicio de sesión puede registrar información como la siguiente.
- Inicio de sesión exitoso
- Inicio de sesión fallido
- Cambio de contraseña
- Intento de autenticación de dos factores
- Emisión de sesión
- Cambio de configuración de cuenta
- Acceso a una pantalla de administración
Los servicios que proporcionan API pueden registrar qué endpoint de API recibió una solicitud, desde qué cuenta o dirección IP y a qué hora.
Estos logs se usan para detectar inicio de sesión no autorizado, toma de cuentas, abuso de permisos, uso anómalo de API y problemas similares.
Registros que pueden quedar en ISP y operadores de red
Al conectarse a internet, la comunicación de la persona usuaria suele pasar por la red de un ISP o proveedor de acceso.
Del lado del proveedor pueden quedar registros sobre conexiones, como cuándo estuvo conectada una línea contratada, qué dirección IP se asignó y cuánto tráfico ocurrió.
En líneas domésticas y móviles, la dirección IP asignada a una persona usuaria puede no ser fija y puede cambiar con el tiempo. Por eso, la información sobre "qué línea contratada usaba esta dirección IP en este momento" se relaciona con registros del lado del proveedor.
Además, en líneas móviles y algunas otras líneas puede usarse un sistema donde muchas personas usuarias comparten una dirección IP global. En este caso, no solo la dirección IP sino también información como hora y número de puerto puede relacionarse con identificar la conexión.
Sin embargo, que existan registros del proveedor y que cualquiera pueda ver libremente esa información son asuntos separados. Los logs de ISP y operadores de red normalmente no son algo que las personas usuarias ordinarias puedan inspeccionar libremente.
Registros relacionados con DNS
Al acceder a un sitio web, el navegador o sistema operativo necesita convertir el nombre de dominio en una dirección IP. Este mecanismo se llama DNS.
Por ejemplo, al acceder a la siguiente URL, el dispositivo busca la dirección IP correspondiente a example.com.
Ejemplo de URL : https[:]//example.com
Los registros de consultas DNS pueden conservar qué terminal o red hizo una consulta para qué nombre de dominio.
Los logs DNS no registran el texto del cuerpo de una página web en sí. Sin embargo, pueden mostrar información sobre "a qué dominio alguien intentó acceder".
Una precaución es que dónde se registran las consultas DNS cambia según el entorno. Si usas el DNS de tu ISP, la consulta puede llegar al resolver DNS del proveedor. En cambio, si el navegador o sistema operativo usa otro resolver DNS o DNS cifrado, cambia el destino de la consulta.
En otras palabras, al pensar en logs DNS, hay que mirar "a qué resolver DNS se consultó".
Logs de routers y firewalls
Los logs de comunicación no quedan solo en sitios web e ISP.
También pueden quedar registros sobre comunicación en routers domésticos, equipos de red de empresas o escuelas, firewalls en la nube, servidores proxy, gateways y sistemas similares.
En redes de organizaciones, pueden conservarse registros que muestran qué dispositivo se conectó a qué servidor externo y cuándo. Se usan para investigar infección por malware, acceso no autorizado, filtración de información, abuso interno y asuntos similares.
Del lado del servidor también pueden existir múltiples logs, como logs de autenticación del sistema operativo, logs de firewall, logs SSH, logs de aplicación y logs de auditoría en la nube.
Por ejemplo, los siguientes tipos de logs son importantes en la administración de servidores.
| Tipo de log | Contenido que puede registrarse | Cómo se usa |
|---|---|---|
| Log de autenticación | Inicio de sesión exitoso, inicio de sesión fallido, dirección IP de origen e información similar | Comprobar inicio de sesión no autorizado y ataques de fuerza bruta |
| Log de firewall | Comunicación permitida y bloqueada, número de puerto, destino e información similar | Detectar comunicación sospechosa y ataques |
| Log de proxy | Acceso de dispositivos internos a sitios externos | Gestión e investigación de comunicación interna |
| Log de auditoría en la nube | Operación administrativa, ejecución de API, cambio de permisos e información similar | Rastrear cambios de configuración y abuso de permisos |
| Log de aplicación | Errores, historial de operaciones, resultados de procesamiento e información similar | Respuesta a incidentes e investigación de abuso |
De este modo, los logs de comunicación no son solo "registros de acceso a un sitio web"; existen a través de redes y sistemas en conjunto.
Relación entre HTTPS y logs
HTTPS es un mecanismo importante para cifrar contenido en tránsito y confirmar que la contraparte de comunicación es la parte prevista.
Sin embargo, usar HTTPS no significa que nadie pueda conocer ninguna información de comunicación.
El objetivo principal protegido por HTTPS es contenido que, de otro modo, podría ser visible para terceros en la ruta de comunicación. Por ejemplo, entrada de formularios, cuerpo de página, muchos encabezados HTTP, rutas y consultas de URL y contenido similar normalmente se vuelven más difíciles de leer en la ruta de comunicación.
En cambio, el servidor web de destino descifra la comunicación y procesa la solicitud. Por lo tanto, el sitio web recibe la URL accedida, cookies, User-Agent, información de inicio de sesión, contenido de formularios enviados e información similar.
Además, incluso en la ruta de comunicación, pueden observarse hora de conexión, dirección IP de origen, dirección IP de destino, volumen de tráfico y parte de la información sobre la conexión TLS.
En otras palabras, HTTPS es muy importante, pero no es un mecanismo que borre todos los problemas de logs.
| Observador | Información que puede ser visible | Información más difícil de ver |
|---|---|---|
| Lado del sitio web | URL, cookies, User-Agent, contenido enviado, operaciones de inicio de sesión e información similar | Contenido que no quieres mostrar a terceros en la ruta de comunicación |
| Tercero en la ruta de comunicación | IP de origen, IP de destino, hora de comunicación, volumen de tráfico e información similar | Cuerpo de página, contenido de formularios, ruta y consulta de URL e información similar |
| Resolver DNS | Nombre de dominio consultado, hora de consulta e información similar | Cuerpo de página web y detalles de operaciones concretas |
| Router y firewall | Destino, volumen de tráfico, resultado de permitir/bloquear e información similar | Texto del cuerpo dentro de HTTPS y muchos encabezados HTTP |
Los logs no son necesariamente malos
Los logs de comunicación son información que requiere atención desde la perspectiva del anonimato y la privacidad. Sin embargo, los logs en sí no son malos.
Sin logs, se vuelve difícil investigar causas de caídas de servidores, detectar acceso no autorizado, responder a toma de cuentas, investigar infección por malware y operar servicios de forma estable.
Lo que importa es por qué se almacenan los logs, qué alcance se registra, durante cuánto tiempo se almacenan y quién puede acceder a ellos.
La existencia de logs y que cualquiera pueda verlos libremente son asuntos separados. Los logs gestionados correctamente son información importante para proteger servicios, pero logs almacenados en exceso o mal gestionados se convierten en riesgos de privacidad.
Los logs se convierten en pistas para el anonimato
Al pensar en anonimato, es insuficiente mirar solo si el contenido está cifrado.
Aunque el contenido no pueda leerse, información como hora de comunicación, dirección IP de origen, destino, consultas DNS, cookies, User-Agent y referrer puede registrarse de otras formas.
Estas piezas de información pueden no identificar directamente a una persona por sí solas. Sin embargo, cuando se combinan varios registros, pueden convertirse en material para inferir si los registros parecen venir de la misma persona usuaria, la ruta de acceso, la línea temporal de comportamiento, la red de origen e información similar.
| Información | Qué puede saberse | Precaución para el anonimato |
|---|---|---|
| Hora de acceso | Cuándo ocurrió la comunicación | Puede compararse con otros registros por tiempo |
| Dirección IP | Qué red se conectó | Puede servir para inferir línea, región, organización y contexto similar |
| Consulta DNS | A qué dominio alguien intentó acceder | Se vuelve una pista del destino aunque no se conozca el cuerpo de la página |
| Cookie | Si el acceso vino del mismo navegador | Puede usarse para identificar visitas repetidas o estado de inicio de sesión |
| User-Agent | Tipo de navegador o sistema operativo | Puede tratarse como característica del entorno de uso |
| Referrer | Desde qué página vino la persona usuaria | Puede conocerse parte de la ruta de movimiento |
| Consulta de URL | Puede incluir términos de búsqueda, identificadores, información de sesión y datos similares | Si queda en logs del lado del servidor, se vuelve una pista del contenido de comportamiento |
Para el anonimato, "el contenido no se lee" y "no quedan rastros de comunicación" no son lo mismo.
Aunque el contenido esté cifrado, puede permanecer información circundante sobre la comunicación. Por eso, pensar en anonimato requiere ordenar no solo el cifrado, sino también dónde y qué tipos de logs pueden quedar.
Resumen
Los logs de comunicación son registros sobre comunicación.
Pueden quedar varios tipos de información sobre comunicación en sitios web, aplicaciones, DNS, ISP, routers, firewalls, infraestructura en la nube y sistemas similares.
La información representativa incluye hora de acceso, dirección IP de origen, URL, User-Agent, cookie, referrer, consulta DNS, destino, volumen de tráfico, historial de autenticación e historial de operaciones.
Los logs se usan para respuesta a incidentes, medidas de seguridad, investigación de abuso, mejora del servicio y fines similares. Por eso, los logs en sí son un mecanismo importante para operar servicios de internet de forma segura.
Al mismo tiempo, desde la perspectiva del anonimato, los logs pueden convertirse en pistas de seguimiento. Esto se debe a que incluso cuando el contenido está cifrado, origen, destino, hora, consultas DNS, cookies, User-Agent e información similar pueden registrarse de otras formas.
Entender los conceptos básicos de logs de comunicación facilita ordenar qué puede registrarse en internet. Y al pensar en anonimato, permite considerar no solo si el contenido es visible, sino también dónde puede quedar información circundante sobre la comunicación.