Un remailer anónimo es un servidor que recibe mensajes con instrucciones integradas sobre dónde enviarlos a continuación y que los reenvía sin revelar de dónde provienen originalmente. Existen remailers anónimos cypherpunk , remailers anónimos mixmaster y servidores nym , entre otros, que difieren en cómo funcionan, en las políticas que adoptan y en el tipo de ataque al anonimato del correo electrónico que pueden (o pretenden) resistir. El remailing como se analiza en este artículo se aplica a los correos electrónicos destinados a destinatarios particulares, no al público en general. El anonimato en este último caso se aborda más fácilmente utilizando cualquiera de los diversos métodos de publicación anónima.
Existen varias estrategias que afectan el anonimato del correo electrónico que se maneja. En general, las distintas clases de remailers anónimos difieren en cuanto a las decisiones que han tomado sus diseñadores/operadores. Estas decisiones pueden verse influenciadas por las ramificaciones legales de operar tipos específicos de remailers. [1]
Debe entenderse que cada paquete de datos que viaja por Internet contiene las direcciones de nodo (como cadenas de bits IP sin procesar ) tanto del nodo emisor como del nodo receptor previsto, por lo que ningún paquete de datos puede ser realmente anónimo a este nivel [ cita requerida ] . Además, todos los mensajes de correo electrónico basados en estándares contienen campos definidos en sus encabezados en los que se requiere que se incluyan las entidades de origen y transmisión (y también los nodos de Internet).
Algunos remailers cambian ambos tipos de direcciones en los mensajes que reenvían, y también la lista de nodos de reenvío en los mensajes de correo electrónico, a medida que el mensaje pasa; en efecto, sustituyen las direcciones de origen originales por "direcciones de origen falsas". La "dirección IP de origen" de ese paquete puede convertirse en la del propio servidor remailer y, dentro de un mensaje de correo electrónico (que normalmente consta de varios paquetes), en un "usuario" nominal en ese servidor. Algunos remailers reenvían su correo electrónico anónimo a otros remailers, y sólo después de varios saltos de este tipo el correo electrónico se entrega realmente a la dirección deseada.
Existen, más o menos, cuatro tipos de remailers:
Un remailer seudónimo simplemente toma la dirección de correo electrónico del remitente, le da un seudónimo y envía el mensaje al destinatario previsto (al que se puede responder a través de ese remailer). [2]
Un remailer Cypherpunk envía el mensaje al destinatario, eliminando la dirección del remitente. No se puede responder a un mensaje enviado a través de un remailer Cypherpunk. El mensaje enviado al remailer normalmente se puede cifrar, y el remailer lo descifrará y lo enviará a la dirección del destinatario oculta dentro del mensaje cifrado. Además, es posible encadenar dos o tres remailers, de modo que cada uno de ellos no pueda saber quién está enviando un mensaje a quién. Los remailers Cypherpunk no mantienen registros de las transacciones.
En Mixmaster , el usuario redacta un correo electrónico para un remailer, que se retransmite a través de cada nodo de la red mediante SMTP , hasta que finalmente llega al destinatario final. Mixmaster solo puede enviar correos electrónicos en una dirección. Un correo electrónico se envía de forma anónima a una persona, pero para que esta pueda responder, se debe incluir una dirección de respuesta en el cuerpo del correo electrónico. Además, los remailers de Mixmaster requieren el uso de un programa informático para escribir mensajes. Dichos programas no se suministran como parte estándar de la mayoría de los sistemas operativos o sistemas de gestión de correo.
Un remailer Mixminion intenta abordar los siguientes desafíos en los remailers Mixmaster: respuestas, anonimato de reenvío, prevención de reproducción y rotación de claves, políticas de salida, servidores de directorio integrados y tráfico ficticio. Actualmente están disponibles para las plataformas Linux y Windows. Algunas implementaciones son de código abierto.
Algunos remailers establecen una lista interna de remitentes reales y nombres inventados de modo que un destinatario pueda enviar correo a nombre inventado AT some-remailer.example . Al recibir tráfico dirigido a este usuario, el software del servidor consulta esa lista y reenvía el correo al remitente original, permitiendo así una comunicación bidireccional anónima (aunque rastreable con acceso a la lista). El famoso remailer " penet.fi " en Finlandia hizo exactamente eso durante varios años. [3] Debido a la existencia de tales listas en este tipo de servidor de remailing, es posible romper el anonimato obteniendo acceso a la(s) lista(s), entrando en el ordenador, pidiendo a un tribunal (o simplemente a la policía en algunos lugares) que ordene que se rompa el anonimato y/o sobornando a un asistente. Esto le sucedió a penet.fi como resultado de cierto tráfico que pasó a través de él sobre Scientology . [ cita requerida ] La Iglesia alegó violación de derechos de autor y demandó al operador de penet.fi. Un tribunal ordenó que la lista se pusiera a disposición. El operador de Penet lo cerró después de destruir sus registros (incluida la lista) para conservar la confidencialidad de la identidad de sus usuarios; aunque no antes de verse obligado a proporcionar al tribunal las direcciones de correo electrónico reales de dos de sus usuarios. [ cita requerida ]
Los diseños más recientes de remailers utilizan criptografía en un intento de proporcionar más o menos el mismo servicio, pero sin tanto riesgo de pérdida de confidencialidad del usuario. Estos se denominan generalmente servidores nym o remailers seudónimos . El grado en que siguen siendo vulnerables a la divulgación forzada (por los tribunales o la policía) es y seguirá siendo poco claro, ya que los nuevos estatutos/regulaciones y los nuevos desarrollos criptoanalíticos avanzan a buen ritmo. El reenvío anónimo múltiple entre remailers cooperadores en diferentes jurisdicciones puede mantener, pero no puede garantizar, el anonimato contra un intento determinado por parte de uno o más gobiernos o litigantes civiles.
Si los usuarios aceptan la pérdida de la interacción bidireccional, el anonimato de la identidad puede hacerse más seguro.
Al no mantener ninguna lista de usuarios ni las etiquetas de anonimización correspondientes para ellos, un remailer puede garantizar que cualquier mensaje que se haya reenviado no deje información interna que pueda usarse posteriormente para violar la confidencialidad de la identidad. Sin embargo, mientras se procesan, los mensajes siguen siendo vulnerables dentro del servidor (por ejemplo, al software troyano en un servidor comprometido, a un operador de servidor comprometido o a una mala administración del servidor), y la comparación del análisis de tráfico que entra y sale de un servidor de este tipo puede sugerir mucho, mucho más de lo que casi cualquiera creería.
La estrategia Mixmaster está diseñada para derrotar tales ataques, o al menos para aumentar su costo (es decir, para los "atacantes") más allá de lo factible. Si cada mensaje pasa por varios servidores (idealmente en diferentes jurisdicciones legales y políticas), entonces los ataques basados en sistemas legales se vuelven considerablemente más difíciles, aunque sea solo por la fricción " clausewitziana " entre abogados, tribunales, diferentes estatutos, rivalidades organizacionales, sistemas legales, etc. Y, dado que están involucrados muchos servidores y operadores de servidores diferentes, la subversión de cualquiera (es decir, de un sistema o de un operador) también se vuelve menos efectiva, ya que nadie (muy probablemente) podrá subvertir la cadena completa de remailers.
El relleno aleatorio de mensajes, los retrasos aleatorios antes del reenvío y el cifrado de la información de reenvío entre reenvíos aumentan aún más el grado de dificultad para los atacantes, ya que el tamaño y el tiempo de los mensajes se pueden eliminar en gran medida como pistas de análisis de tráfico, y la falta de información de reenvío fácilmente legible hace que los algoritmos simples de análisis de tráfico automatizados sean ineficaces.
También existen servicios web que permiten a los usuarios enviar mensajes de correo electrónico anónimos. Estos servicios no ofrecen el anonimato de los remailers reales, pero son más fáciles de usar. Al utilizar un servicio de correo electrónico anónimo basado en la web o un remailer anónimo, primero se debe analizar su reputación, ya que el servicio se interpone entre los remitentes y los destinatarios. Algunos de los servicios web mencionados anteriormente registran las direcciones IP de los usuarios para asegurarse de que no infrinjan la ley; otros ofrecen un anonimato superior con la funcionalidad de archivos adjuntos al optar por confiar en que los usuarios no incumplirán los términos de servicio (ToS) de los sitios web. [4]
En la mayoría de los casos, los remailers son propiedad de particulares y no son tan estables como deberían. De hecho, los remailers pueden dejar de funcionar sin previo aviso. Es importante utilizar estadísticas actualizadas al elegir remailers.
Aunque la mayoría de los sistemas de remailing se utilizan de manera responsable, el anonimato que proporcionan puede ser explotado por entidades o individuos cuyas razones para el anonimato no son necesariamente benignas. [5]
Estas razones pueden incluir el apoyo a acciones extremistas violentas, [ cita requerida ] explotación sexual de niños [ cita requerida ] o, más comúnmente, frustrar la rendición de cuentas por el "troleo" y el acoso de individuos o empresas objetivo (la cadena de remailer Dizum.com fue objeto de un abuso tan reciente como en mayo de 2013 [ cita requerida ] con este propósito).
La respuesta de algunos remailers a este potencial abuso es a menudo la de deslindarse de toda responsabilidad (como hace dizum.com [6] ), ya que debido al diseño técnico (y a los principios éticos) de muchos sistemas, es imposible para los operadores desenmascarar físicamente a quienes utilizan sus sistemas. Algunos sistemas de remailers van más allá y afirman que sería ilegal para ellos controlar ciertos tipos de abusos. [6]
Hasta que se introdujeron cambios técnicos en los remailers en cuestión a mediados de la década de 2000, algunos remailers (en particular los sistemas basados en nym.alias.net) aparentemente estaban dispuestos a utilizar cualquier dirección genuina (y por lo tanto válida) pero falsificada. Esta laguna legal permitía a los trolls atribuir erróneamente afirmaciones o declaraciones controvertidas con el objetivo de causar ofensa, malestar o acoso al titular genuino de la dirección falsificada.
Si bien los remailers pueden declinar toda responsabilidad, los comentarios publicados a través de ellos han provocado que se los bloquee en algunos países. En 2014, dizum.com (un remailer con sede en los Países Bajos ) fue aparentemente bloqueado por las autoridades de Pakistán, [ cita requerida ] debido a los comentarios que un usuario (anónimo) de ese servicio había hecho sobre figuras clave del Islam.