- Tor separa identidad y tráfico con enrutado por capas a través de tres nodos (entrada, intermedio y salida), mejorando el anonimato a costa de velocidad.
- El Navegador Tor endurece la privacidad por defecto; usa HTTPS, niveles de seguridad, y evita inicios de sesión personales y descargas arriesgadas.
- Tor no es una VPN ni un proxy: es una red descentralizada. Puede combinarse con VPN y usar puentes para sortear bloqueos y censura.
- El protocolo usa TLS, Diffie‑Hellman, AES‑CTR y células de 512 bytes (RELAY/Control) con integridad end‑to‑end y perfect forward secrecy.
Si has oído hablar de Tor pero no tienes claro qué es exactamente, tranquilo: aquí vas a encontrar una explicación completa, sin tecnicismos innecesarios y con todos los detalles importantes. Tor es una red y un navegador que priorizan el anonimato, útiles para proteger tu privacidad y acceder a servicios que no están disponibles en la web convencional.
A lo largo de esta guía verás qué es Tor, cómo funciona por dentro, en qué se diferencia de un proxy o una VPN, cómo utilizarlo en tu ordenador o móvil y qué precauciones debes tomar. También repasaremos ventajas, límites, legalidad, servicios .onion y opciones alternativas para que tomes decisiones informadas según tus necesidades.
Qué es Tor y cómo se encaja en la Clearnet, la Deep Web y la Dark Web
Antes de entrar en harina conviene situar conceptos. La Clearnet es la “web pública” habitual, el Internet que visitas con Chrome, Firefox o Safari y que indexan buscadores como Google o Bing.
Luego está la denominada Deep Web es toda la información no indexada por buscadores, como intranets, áreas tras paywalls, documentos privados en la nube o resultados dinámicos que se generan al vuelo (por ejemplo, al consultar vuelos).
La Dark Web, por su parte, es un subconjunto de esa web no indexada que permanece deliberadamente oculta y requiere software especial para acceder. Dentro de la Dark Web existen varias redes privadas o darknet, y la más popular es Tor. En Tor encontrarás contenidos accesibles mediante dominios .onion, que no funcionan desde un navegador normal. Incluso hay buscadores que se han adaptado a estos entornos, como DuckDuckGo en su versión .onion, aunque no esperes “Google en la Dark Web”.
Tor son las siglas de The Onion Router, “el enrutador cebolla”. Su objetivo es construir una red superpuesta y distribuida que separa quién eres (tu IP) de lo que haces (tu tráfico), mejorando así la privacidad frente a observadores y rastreadores en Internet.
Cómo funciona Tor: enrutado cebolla, nodos y capas
La idea clave de Tor es muy sencilla: en lugar de conectar directamente del punto A al punto B, tu tráfico se envía a través de varios nodos intermedios, añadiendo y pelando capas de cifrado como si fuese una cebolla.
Por defecto, se crea un “circuito” con tres saltos: un nodo de entrada (guard), uno intermedio y un nodo de salida. Solo el primero conoce tu IP real; el último ve el destino final, pero no sabe quién eres; y el intermedio únicamente conoce a sus vecinos. Así se evita que un único punto tenga el mapa completo de la comunicación.
El navegador Tor obtiene del directorio de la red las claves públicas de esos nodos, y cifra tu petición en capas: primero para el último, luego para el penúltimo y así sucesivamente. Cada relé descifra su “piel” y reenvía el paquete al siguiente salto hasta llegar al destino. Este mecanismo se llama Onion Routing.
Este diseño mejora notablemente la privacidad, pero tiene dos implicaciones: por un lado, el rendimiento es más lento (el precio de tanta magia criptográfica y saltos extra); por otro, aunque es robusto, no es infalible: un análisis de tiempos y patrones sostenido en el tiempo podría intentar correlacionar quién habla con quién. En todo caso, Tor está pensado para mitigar amenazas realistas a la privacidad, no para convertir lo imposible en trivial.
Componentes de Tor por dentro: OP, OR, directorios y políticas
En Tor hay dos papeles básicos. El OP (Onion Proxy) es tu cliente, el software que corre localmente (el Navegador Tor) y que construye circuitos y gestiona el tráfico de tus aplicaciones. Los OR (Onion Routers) son los relés de la red —nodos de entrada, intermedios y de salida— que encaminan el tráfico cifrado.
Para que todo esto sea utilizable, existe un servicio de directorio público con autoridades de confianza que publican el estado de la red (relés disponibles, claves, políticas de salida, etc.). A partir de esa información, tu cliente selecciona nodos y levanta circuitos aleatorios de tres saltos.
Los nodos de salida (exit nodes) tienen “exit policies”, es decir, definen a qué puertos y servicios están dispuestos a sacar tráfico a Internet. Un relé puede negarse a ser nodo de salida y actuar solo como intermedio, lo que reduce su exposición.
Criptografía y establecimiento de circuitos: qué se cifra y cómo
Cuando el OP construye un circuito, negocia claves de sesión independientes con cada salto mediante un enfoque telescópico. Se usa Diffie-Hellman para acordar secretos compartidos, de los que se derivan claves simétricas distintas para el tráfico de ida (forward) y vuelta (backward).
En versiones clásicas del protocolo, Tor emplea AES-128 en modo CTR para cifrado simétrico y RSA (claves de 1024 bits con OAEP-MGF1) para ciertas operaciones de clave pública, con SHA‑1 como función resumen. A nivel de transporte entre nodos, se establece una capa TLS con conjuntos criptográficos recomendados, y las identidades de los OR se acreditan con claves diferenciadas: identidad, onion key y clave de conexión para el handshake TLS.
La construcción del circuito se realiza por fases: el OP envía una célula CREATE al primer OR, recibe CREATED, y ya dispone de las claves simétricas con ese salto. A continuación extiende el circuito saltando al siguiente OR con RELAY_EXTEND/RELAY_EXTENDED, y repite el proceso hasta completar los tres nodos. Existe además CREATE_FAST/CREATED_FAST para optimizar el primer salto cuando ya hay confianza establecida en la capa TLS.
El formato “en células” y los comandos más relevantes
Tor encapsula la información en “células” de tamaño fijo de 512 bytes. Cada célula tiene cabecera (con campos como circID y CMD) y una carga útil (PAYLOAD). Hay dos grandes familias: células de control y células RELAY.
Las de control (CMD distintos, como PADDING, CREATE, CREATED, CREATE_FAST, CREATED_FAST, VERSIONS, NETINFO, RELAY_EARLY, DESTROY) gestionan la vida del circuito. Las RELAY llevan datos de aplicación o control de nivel superior dentro del circuito.
En las RELAY, además del subcomando (Relay command), aparecen campos como StreamID, Recognized, Digest (integridad end-to-end) y length. El Digest comprueba que el contenido no ha sido manipulado entre extremos del circuito. Algunas órdenes clave: RELAY_BEGIN/CONNECTED/END (abrir/cerrar streams TCP hacia el destino), RELAY_DATA (datos), RELAY_SENDME (control de flujo), RELAY_EXTEND/EXTENDED (ampliar circuito), RELAY_TRUNCATE/TRUNCATED (cortar parte del circuito) y RELAY_DROP (ruido/relleno). Para servicios ocultos hay códigos específicos adicionales.
Un solo circuito puede multiplexar múltiples streams TCP, y Tor reutiliza un circuito durante unos 10 minutos para equilibrar eficiencia y privacidad. Si algo va mal, se envía DESTROY para cerrar el circuito. Todo este diseño persigue, además, “perfect forward secrecy”: aunque un relé fuese comprometido más tarde, no podría descifrar tráfico viejo porque las claves de sesión ya no existen.
DNS, SOCKS y “torificar” aplicaciones
Tor solo anonimiza tráfico TCP y expone una interfaz SOCKS para que las aplicaciones envíen sus conexiones a través del cliente. Si una app no soporta SOCKS, se pueden usar proxys intermedios como Privoxy o Polipo para convertir el tráfico, o utilidades como torify en Linux, y Freecap, SocksCap o Torcap en Windows.
Ojo con las resoluciones DNS: si el navegador pregunta a tu DNS local en lugar de hacerlo vía Tor, podrías filtrar qué sitios visitas (DNS leaks). El Navegador Tor ya envía DNS por el propio circuito, y Firefox puede configurarse para resolver DNS sobre SOCKS. Evita desconfiguraciones que arruinen tu anonimato.
Riesgos prácticos: nodo de salida, tiempos y bloqueo
Pese a las capas, hay dos puntos sensibles que debes interiorizar. Entre el nodo de salida y el servidor final el tráfico puede no ir cifrado (si usas HTTP en lugar de HTTPS); cualquiera que controle ese exit node podría leer o inyectar contenido. De ahí la importancia de usar siempre HTTPS cuando salgas a la web “clara”.
Además, hay sitios y redes que bloquean conexiones procedentes de nodos de salida Tor, y algunos países han intentado prohibir o filtrar su uso. Si te topas con censura, los “puentes (bridges) y transportes encubiertos ayudan a conectar sin llamar la atención, ya que no figuran en listas públicas de la red. Tu ISP puede ver que usas Tor, aunque no qué haces dentro de la red, salvo que te cubras con una VPN.
Instalar y usar el Navegador Tor
La forma más sencilla de entrar en Tor es su navegador oficial, basado en Firefox y endurecido para privacidad. Descárgalo desde el sitio del Proyecto Tor para Windows, macOS, Linux o Android, elige la carpeta de destino e instálalo. Al ejecutarlo, verás una ventana con dos opciones: Conectar o Configurar.
En entornos sin restricciones basta con pulsar “Conectar”; el navegador levantará el circuito y estarás listo para navegar tanto por la web pública como por sitios .onion. El buscador por defecto es DuckDuckGo, que ofrece además una versión .onion para búsquedas más privadas. Si quieres explorar contenidos onion, un punto clásico de partida es buscar “Hidden Wiki” (verifica siempre el dominio y la reputación).
En Android puedes instalar Tor Browser desde Google Play o desde el sitio oficial. En iOS no hay Tor Browser “canónico” por restricciones de WebKit, pero el Proyecto Tor recomienda Onion Browser u Orbot como alternativas compatibles con su filosofía de privacidad.
Niveles de seguridad del Navegador Tor
Tor Browser incluye un control rápido de seguridad con tres niveles predefinidos. Estándar (Standard) ofrece la experiencia más completa de la web. Más seguro (Safer) recorta funcionalidades propensas a problemas (por ejemplo, ciertos tipos de contenido activo y JavaScript en sitios sin HTTPS). El más seguro (Safest) limita al mínimo todo lo no esencial, priorizando la reducción de superficie de ataque.
Puedes cambiarlo pulsando el icono de escudo y accediendo a la configuración de seguridad. A mayor seguridad, menor compatibilidad con webs muy dinámicas. Elige según tu tarea y perfil de riesgo.
Buenas prácticas para mantener el anonimato
Para que Tor rinda como se espera, cuida estos hábitos. Mantén Tor actualizado y evita instalar extensiones de navegador: añaden huella y puntos débiles. Activa el nivel de seguridad que mejor encaje en cada sesión.
Cuando uses Tor, no inicies sesión en cuentas personales (correo, redes sociales, banca), ya que te desanonimizan por definición. Evita compartir datos reales (nombre, teléfono, dirección) y procura variar patrones de uso para que no te perfilen por horarios o conductas repetitivas.
Descarga solo desde fuentes confiables y, si puedes, abre archivos fuera de línea: algunos formatos (p. ej., PDF) intentan cargar recursos externos que pueden revelar tu IP real si se abren con aplicaciones fuera del navegador Tor. Apóyate en antivirus y cortafuegos de confianza.
Considera combinar Tor con una VPN confiable. Si conectas primero a la VPN y luego a Tor (Tor over VPN), tu ISP verá la VPN y no sabrá que usas Tor; a la salida de Tor, la web no verá tu IP real sino la del nodo de salida. Aun así, no convierte Tor en invulnerable ni sustituye buenas prácticas.
Servicios onion, direcciones .onion y búsquedas
Los servicios onion permiten que tanto el visitante como el servidor permanezcan ocultos. Las direcciones .onion —cadenas largas de caracteres— se generan a partir de claves públicas del servicio. Cuando te conectas a un sitio .onion, se crean circuitos específicos para cliente y servidor y la comunicación queda completamente dentro de la red Tor, sin “salir” a Internet convencional.
Un ejemplo popular es DuckDuckGo en su versión .onion, que permite buscar sin rastreo y con conexión punto a punto dentro de Tor. Muchos medios han publicado también versiones onion (BBC, grandes periódicos) para evitar censura y reforzar la confidencialidad.
Ventajas e inconvenientes del navegador Tor
Entre sus puntos fuertes está que es libre y gratuito, enmascara IP e historial, y opera sobre una red que añade capas de cifrado y de reenvío para mejorar el anonimato. Por defecto, limpia cookies e historial al cerrar, ayudando a que no dejes rastro.
En el otro lado, es más lento que un navegador normal o que una VPN, y descargar ficheros grandes no es práctico. No todo es 100% anónimo: hay técnicas de fingerprinting o fallos que pueden romper privacidad si no tienes cuidado. Algunos países o sitios bloquean Tor, y su uso puede generar sospechas en determinados entornos. Además, no todas las webs funcionan bien con las restricciones de Tor.
¿Es legal Tor? Estigma, bloqueos y países
Usar Tor en sí no es ilegal en muchos países (por ejemplo, en EE. UU.), aunque algunas jurisdicciones sí lo prohíben o intentan bloquearlo. Tor sufre estigma por su asociación con la web oscura, pero alberga múltiples usos legítimos: desde proteger a periodistas y activistas hasta permitir el acceso a información en contextos de censura.
Ha habido polémicas y afirmaciones en prensa respecto a la posibilidad de que agencias gubernamentales pudieran “romper” Tor o comprometer usuarios con técnicas avanzadas. Tor no es infalible; su fortaleza reside en el código abierto, las revisiones constantes y la diversidad de relés. La seguridad siempre depende también de cómo lo uses.
Tor, VPN y servidores proxy: diferencias clave
Un proxy actúa de intermediario, oculta tu IP frente al destino, pero normalmente no cifra todo el camino ni protege metadatos. Una VPN cifra todo tu tráfico hacia un servidor del proveedor y oculta tu IP, pero te fías de ese operador centralizado.
Tor es una red descentralizada de voluntarios que encamina tu tráfico a través de varios nodos. Ofrece más anonimato gracias al enrutado por capas, a cambio de peor rendimiento. Usar proxy + Tor no añade beneficios de seguridad reales; la combinación útil, si procede, es VPN + Tor.
Usos habituales (y mal usos) de Tor
Hay perfiles de uso muy variados: periodistas protegiendo fuentes, ciudadanos que sortean censura, abogados y activistas que necesitan investigar con discreción, o personas corrientes que valoran no dejar huella. También existen usos ilícitos que la red no promueve, pero que ocurren por el anonimato que otorga.
Si optas por Tor para tareas sensibles, extrema las precauciones que hemos visto: HTTPS, nada de datos personales, cuidado con descargas y niveles de seguridad acordes al riesgo.
Rendimiento y estética de la Dark Web
Una queja frecuente es la velocidad: las páginas en Tor cargan más despacio, especialmente los servicios onion, por la cantidad de cifrado y saltos. Por ese mismo motivo verás webs con estética sencilla, mucho HTML “limpio” y menos elementos dinámicos: optimizar la ligereza ayuda a que todo vaya más fluido.
Alternativas y proyectos relacionados
Tor no es la única vía para redes privadas. I2P (Invisible Internet Project) ofrece una red cifrada donde cada usuario actúa como nodo. Hyphanet (antes Freenet) es una plataforma P2P orientada a publicación y comunicación resistente a censura. Subgraph OS no es un navegador, sino un sistema operativo reforzado que integra Tor. Navegadores como Firefox o Waterfox pueden configurarse para salir por Tor, pero no incluyen sus endurecimientos de privacidad, así que no se recomienda frente al Navegador Tor.
Detalles avanzados del protocolo (para los muy curiosos)
La red Tor se construye sobre conexiones TLS entre OR-OR y OP-OR que se mantienen de forma persistente para reducir latencia. Los OR intercambian descriptores (router descriptors) que incluyen IP, nombre, versión, SO, claves, políticas de salida, etc. Las autoridades de directorio firman criptográficamente la información para evitar suplantaciones y ataques de inyección de nodos maliciosos.
Las claves en juego se separan por función: Identity Key para firmar y acreditar identidad del relé; Onion Key para cifrar el establecimiento de circuitos (CREATE); y Connection Key para el handshake de TLS. En los inicios del proyecto se usó un primo seguro de 1024 bits del RFC 2409 con g=2 para Diffie-Hellman; de cada secreto compartido se derivan múltiples valores: digest seeds (Df y Db), claves de cifrado (Kf, Kb) y una clave derivada que demuestra conocimiento del secreto.
Cuando el OP abre un stream TCP hacia un destino, envía RELAY_BEGIN con la dirección y puerto cifrados de forma que solo pueda leerlos el exit node; si todo va bien, recibe RELAY_CONNECTED y a partir de ahí intercambia RELAY_DATA. Para cerrar, se usa RELAY_END, y si hay cierres inesperados, RELAY_TEARDOWN. RELAY_SENDME maneja ventanas de flujo para no saturar buffers.
Si un circuito se degrada, el cliente puede truncarlo con RELAY_TRUNCATE y reconstruir desde un punto intermedio. La verificación de integridad end-to-end de cada célula RELAY utiliza el campo Digest (primeros 4 bytes del SHA‑1 sobre el historial pertinente con las semillas compartidas), de modo que los nodos intermedios no puedan falsificar contenido. La combinación de capas simétricas y renovación de claves simétricas por circuito proporciona la perfect forward secrecy buscada.
Consejos extra de uso cotidiano
Al abrir Tor, verás que la ventana no ocupa todo tu monitor: es intencionado para evitar el fingerprinting de tamaño de pantalla. No cambies el tamaño salvo que sea imprescindible. Evita reproducir vídeo o elementos activos salvo necesidad y, si lo haces, eleva el nivel de seguridad.
Si te preocupa la detección de uso de Tor por parte de tu red o país, activa puentes (bridges) desde la configuración de Tor. Y cuando navegues fuera de .onion, limítate a HTTPS y desconfía de formularios que pidan datos personales. Si necesitas cambiar de identidad (nueva IP de salida), usa la opción “Nueva identidad” para reiniciar el circuito.
El proyecto Tor es mantenido por una organización sin ánimo de lucro y se financia con donaciones. Si te resulta útil y estás en posición de hacerlo, considera apoyar su desarrollo para que la red siga creciendo en diversidad y resiliencia.
Tor nació como investigación financiada en su día por instituciones públicas, evolucionó con el respaldo de organizaciones como la EFF y recibió reconocimiento por su impacto social (por ejemplo, el premio de la Free Software Foundation en 2010). Hoy lo usa gente muy diversa en todo el mundo, desde contextos de alta censura hasta usuarios que simplemente no quieren ser rastreados cuando navegan.
Como ves, Tor no es magia ni una llave maestra, pero sí una herramienta sólida para reducir exposición en línea. Usado con cabeza —HTTPS, actualizaciones, sin cuentas personales ni descargas temerarias, y con VPN si procede— aporta un nivel de privacidad difícil de conseguir por otros medios descentralizados.
