Precauciones al entregar archivos con OnionShare
OnionShare es una herramienta para compartir y transferir archivos usando .
Se usa a veces en situaciones donde se necesita anonimato. Por ejemplo, para entregar materiales periodísticos, recibir materiales de denuncias de irregularidades internas o compartir archivos directamente con otra persona.
En el sitio oficial de OnionShare puedes revisar cómo obtener la aplicación, sus funciones, cómo usarla y los entornos compatibles.
URL : https://onionshare.org/
La razón para presentar OnionShare es que es una herramienta de código abierto usada realmente en contextos de comunicación anónima y uso compartido de archivos más seguro.
Sin embargo, usar OnionShare no hace que el anonimato quede resuelto.
Si no se gestionan bien el contenido del archivo, los metadatos, el dispositivo de la otra persona, la URL de uso compartido, el lugar de uso o las conductas antes y después de la comunicación, desde ahí puede ocurrir correlación.
Qué cambia con OnionShare
OnionShare se conecta con la otra persona usando la red Tor.
A diferencia del uso compartido normal en la nube, no es un método en el que subes archivos a una gran nube y envías un enlace. Inicias el uso compartido desde tu propio dispositivo, y la otra persona accede a través de Tor.
| Elemento | Qué cambia con OnionShare |
|---|---|
| Ruta de uso compartido | La conexión usa Tor |
| Proveedor de nube | Permite compartir sin usar almacenamiento común en la nube |
| Cómo se ve el destino | La otra persona se conecta a la dirección onion de OnionShare |
| Método de entrega | Tiene usos como envío de archivos, recepción y uso compartido web |
Esto es útil, pero no hay que sobreestimar lo que puede proteger.
OnionShare no es una herramienta que anonimice automáticamente el contenido de los archivos.
El modelo de confianza de OnionShare
Con OnionShare, puedes compartir sin colocar los archivos en un proveedor común de nube.
Esta es una ventaja importante. En algunos casos permite evitar la visualización del propietario en la nube, el historial de uso compartido, los registros de visualización y la información de cuenta.
Por otro lado, los puntos de confianza no desaparecen por completo. Sigues teniendo que confiar en tu propio dispositivo, el dispositivo de la otra persona, la forma de usar Tor, la ruta por la que se transmite la URL de uso compartido y el contenido del archivo.
| Persona o lugar | Confianza que queda |
|---|---|
| Tu propio dispositivo | Archivos, historial, malware, notificaciones en pantalla |
| Dispositivo de la otra persona | Guardado después de la descarga, reenvío, revisión de metadatos |
| Ruta de transmisión de la URL | Si no queda en correo con nombre real o chat del trabajo |
| Entorno de uso de Tor | Si el acceso se realiza en el entorno correcto |
| Contenido del archivo | Si queda información de autor o expresiones distintivas |
OnionShare puede reducir los puntos de confianza en algunas situaciones.
Pero no elimina toda la confianza.
Revisar el contenido y los metadatos del archivo
Antes de entregar un archivo con OnionShare, revisa el archivo.
Los PDF, archivos Office, imágenes, audio, videos y archivos comprimidos pueden conservar información de autor, comentarios, historial de cambios, GPS, fecha y hora de captura, y nombres de archivo.
| Archivo | Qué revisar |
|---|---|
| Creador, anotaciones, partes ocultadas, texto incrustado | |
| Office | Comentarios, historial de cambios, hojas ocultas, creador |
| Imagen | , GPS, fondo, reflejos |
| Audio y video | Sonidos de fondo, fecha y hora de captura, información del dispositivo |
| ZIP | Nombres de archivos internos, nombres de carpetas, archivos innecesarios |
Usar una ruta de uso compartido segura no sirve de mucho si entregas un archivo peligroso.
Separa el original de la copia para publicación o envío.
Cuidado con la URL de uso compartido
Con OnionShare, necesitas transmitir a la otra persona la dirección onion de uso compartido.
La ruta por la que entregas esa URL es importante. Si la envías por correo con nombre real, chat del trabajo, una red social habitual o un dispositivo administrado por una organización, allí queda un registro.
| Forma de entregar la URL de uso compartido | Riesgo |
|---|---|
| Correo con nombre real | Remitente y destinatario quedan registrados |
| Chat del trabajo | Queda en registros del lado de la organización |
| DM de red social | Queda registrado del lado de la plataforma |
| Captura de pantalla | Aparecen no solo la URL, sino también notificaciones y hora |
| De palabra o en persona | Quedan historial de desplazamientos y registros de contacto en el mundo real |
Aunque solo la URL de OnionShare se trate como anónima, si la ruta para entregarla es débil, puede correlacionarse.
El entorno del lado receptor también importa
El uso compartido de archivos no se completa solo de tu lado.
Si la otra persona accede desde un entorno con nombre real, descarga en un dispositivo del trabajo, guarda el archivo en la nube o lo publica sin revisar metadatos, la información se filtra después de compartir.
| Conducta del lado receptor | Qué ocurre |
|---|---|
| Abrir en un dispositivo del trabajo | Queda en registros o historial del lado de la organización |
| Guardar en una nube con nombre real | Quedan propietario e historial de uso compartido |
| Publicar sin revisar metadatos | Aparecen creador o GPS |
| Reenviar la URL | Llega a personas no previstas |
| Volver a compartir después de descargar | Sale por una ruta fuera de OnionShare |
OnionShare es una herramienta que ayuda con la ruta de entrega.
No protege automáticamente la operación del lado receptor.
En usos de alto riesgo, decidir primero el procedimiento
Si se usa para denuncias de irregularidades internas o protección de fuentes, decide el procedimiento antes de enviar.
Qué archivo se entregará. Si será el original o una copia. Cómo se transmitirá la URL. En qué entorno lo recibirá la otra persona. Dónde se guardará después de recibirlo.
| Qué decidir | Razón |
|---|---|
| Archivo que se entrega | No exponer materiales innecesarios ni metadatos |
| Ruta de transmisión de la URL de uso compartido | Evitar la correlación de la propia URL |
| Entorno de recepción de la otra persona | Evitar dispositivos del trabajo y entornos con nombre real |
| Lugar de guardado | Prevenir filtraciones después de la recepción |
| Procedimiento de eliminación y detención | Detenerlo si ocurre un problema |
No empieces a pensar después de iniciar la herramienta; decide el procedimiento antes de usarla.
Situaciones donde puede ser mejor no usarla
OnionShare no siempre es la opción óptima.
Si la otra persona no puede usar Tor de forma segura, si su dispositivo está bajo administración de una organización, si se necesita juicio experto sobre el valor probatorio del archivo, si el riesgo legal es alto o si no puedes transmitir la URL de uso compartido de forma segura, puede ser mejor priorizar otra vía de recepción o consultar a especialistas.
| Situación | Qué considerar |
|---|---|
| La otra persona no está familiarizada con Tor | Los errores de operación aumentan otros rastros |
| El dispositivo de la otra persona está administrado | Quedan historial de descarga y operaciones de archivo |
| No puedes transmitir la URL de forma segura | La propia URL de uso compartido se correlaciona |
| El valor probatorio es importante | Consultar el manejo de originales y copias |
| El riesgo legal es alto | Consultar primero a un abogado o especialista |
La elección de herramienta debe ajustarse al propósito y a la capacidad de la otra persona.
No la uses solo porque está disponible; revisa si encaja con el modelo de amenaza de este caso.
Eliminación y registros después de la entrega
También después de entregar el archivo hace falta revisar.
Comprueba si se detuvo el uso compartido, si la otra persona pudo recibirlo, si no quedan copias innecesarias y si la URL no quedó en otro lugar.
Sin embargo, en materiales que necesitan valor probatorio, puede haber casos en los que no se deban borrar los originales ni los registros de entrega.
En denuncias de irregularidades internas y protección de fuentes, separa la decisión sobre eliminación de la decisión sobre preservación.
Resumen
OnionShare es una herramienta de código abierto usada para compartir y transferir archivos mediante Tor.
Es útil porque permite entregar archivos sin usar el uso compartido común en la nube.
Sin embargo, OnionShare no anonimiza automáticamente el contenido ni los metadatos de los archivos. También es necesario revisar cómo se transmite la URL de uso compartido, el entorno del lado receptor, el guardado después de la recepción y los metadatos al publicar.
En el uso compartido de archivos que requiere anonimato, revisa como un conjunto la herramienta, el archivo, la otra persona y las conductas antes y después de compartir.
Herramientas relacionadas
Tor Project
Recurso externo relacionado con este artículo. Ábrelo solo si encaja con tu situación y tu modelo de amenaza.
Por qué aparece aquí: Puede ayudar con el tema del artículo, pero está fuera de Anonymity Sense y conviene revisarlo antes de usarlo.
ExifTool
Recurso externo relacionado con este artículo. Ábrelo solo si encaja con tu situación y tu modelo de amenaza.
Por qué aparece aquí: Puede ayudar con el tema del artículo, pero está fuera de Anonymity Sense y conviene revisarlo antes de usarlo.
URL : https://exiftool.org/
SecureDrop
Recurso externo relacionado con este artículo. Ábrelo solo si encaja con tu situación y tu modelo de amenaza.
Por qué aparece aquí: Puede ayudar con el tema del artículo, pero está fuera de Anonymity Sense y conviene revisarlo antes de usarlo.
URL : https://securedrop.org/
GlobaLeaks
Recurso externo relacionado con este artículo. Ábrelo solo si encaja con tu situación y tu modelo de amenaza.
Por qué aparece aquí: Puede ayudar con el tema del artículo, pero está fuera de Anonymity Sense y conviene revisarlo antes de usarlo.
URL : https://globaleaks.org/
OnionShare
Recurso externo relacionado con este artículo. Ábrelo solo si encaja con tu situación y tu modelo de amenaza.
Por qué aparece aquí: Puede ayudar con el tema del artículo, pero está fuera de Anonymity Sense y conviene revisarlo antes de usarlo.
URL : https://onionshare.org/