Si creé un sitio web en línea usando una VPN, ¿puede la policía seguir descubriendo que hice el sitio web? ¿Qué otras formas de identificación podrían revelar que mi computadora creó este sitio web y cómo puedo protegerme de eso? El VPN que uso no lleva registros (PIA VPN)
En una línea de tiempo suficientemente larga con recursos suficientes, los agentes de la ley (actores estatales) lo encontrarán. La cuestión es más económica: vale la pena. Por el bien de la discusión, digamos que Bob hizo un sitio web. Contiene ideas impopulares con el gobierno donde reside. Grace, la jefa de la agencia de inteligencia de ese país decide que quiere encontrar a Bob. Ella comienza por buscar cosas obvias: registros de dominio, buscando datos EXIF de fotos publicadas en el sitio web de Bob, entre otra información.
Si todo eso llega a ser nulo, Grace preparará la investigación y comenzará a buscar transacciones de dinero, verificando el hardware de inspección de paquetes administrado por el estado y otra información que busque el tráfico. Ella incluso intimida al proveedor de alojamiento para que entregue los registros de la dirección IP a la que accedió.
Entonces, ahora Grace tiene (al menos) una lista de direcciones IP que accedieron al sitio web a través de FTP, HTTP, HTTPS, etc. y otros metadatos sobre los visitantes del sitio, al menos uno de los cuales es el autor que le interesa. in.
Grace ahora ejecuta esto contra una base de datos de enemigos conocidos del estado y recibe varios golpes. Uno de los cuales es un proveedor de VPN que "se apaga" al no mantener registros.
No importa. Grace tiene los proveedores de Internet en su bolsillo porque es miembro de un gobierno que no toma a la ligera a los detractores. Ella emite una solicitud a los ISP del servicio VPN y a otros ISP para obtener metadatos de tráfico para el análisis de ese tráfico.
Ella descubre que hay varias personas que enviaban paquetes al mismo tiempo que la VPN también enviaba paquetes al sitio web de destino. Estas personas están en la lista corta como personas "de interés".
Desde aquí, debido a que la superior de Grace se ha interesado en el caso, utilizan una serie de ataques dirigidos de phishing para detectar malware en cada una de las computadoras del sospechoso. Ahora, los keyloggers colgarán al editor.
Eventualmente, Bob inicia sesión en la VPN y accede al sitio web. Los teléfonos maliciosos regresan a la agencia de inteligencia y señalan a la computadora de Bob como el principal sospechoso.
Horas más tarde, los hombres con botas negras rompen la puerta y se apoderan de la computadora.
Esta es una versión muy simplificada de lo que puede suceder, pero ilustra varios puntos:
No existe tal cosa como anónimo en Internet. No fue construido con el anonimato en mente.
Las agencias de cumplimiento de la ley tienen una serie de herramientas a su disposición. Algunos son triviales de usar. Algunos son explícitamente no triviales. Hay economía detrás de cada uno de estos. El costo asociado con un ejercicio no trivial general aumenta exponencialmente a medida que se requieren más partes móviles. Hacer un análisis de tráfico para averiguar "cuándo coincide una ráfaga de tráfico de la VPN al sitio de destino con una ráfaga de tráfico de un ISP ... y qué abonado fue" es un orden de magnitud más caro que verificar los datos de WHOIS y EXIF . Usar phishing a nivel estatal es mucho más complicado que obtener las direcciones IP de un proveedor.
Con suficiente tiempo y recursos, Grace siempre obtendrá a Bob.
Aquí está la moraleja de la historia: no puedes ser completamente anónimo, pero puedes ser muy caro para atrapar. Si está ejecutando un sitio web en un país donde no existe la libertad de expresión, hay varios pasos que puede tomar para que sea más caro atraparlo, y VPN es solo uno de ellos.
Suponiendo que el proveedor de servicios de blogs no solicita ninguna información de identificación personal de los usuarios (o no comprueba la exactitud de la información que requiere) y que el sospechoso solo accede a la sitio web de una VPN, el servicio de blogs no debe ser capaz de desonimizar al sospechoso.
Pero hay otros dos caminos que podrían usarse para desimonizar al sospechoso:
¿Qué otras formas de identificación podrían revelar que mi computadora creó este sitio web?
Cuando alguien obtiene acceso físico a la computadora del sospechoso, hay varias formas de notar que se usó para crear el sitio web. Por ejemplo:
El uso del cifrado completo del disco puede proteger su privacidad, a menos que el atacante adquiera la computadora mientras se está ejecutando o puede forzar al sospechoso a revelar la contraseña de descifrado.
Crear un sitio web con una red privada virtual no mejorará el anonimato de las personas que intentan descubrir quién construyó un sitio web, necesariamente. Por supuesto, si desea ocultar su dirección IP para que no esté disponible en los weblogs, es posible que desee utilizar una VPN para eso.
Puede ver quién es el sitio web para averiguar quién es el registrante, puede probar esto usted mismo, por ejemplo, en whois.com. Puede cambiar los detalles de registro de los dominios; póngase en contacto con su proveedor de alojamiento para obtener más información.
Como se señala por Philipp en los comentarios, también hay servicios de dominio por proxy que registran Dominio para usted, para que aparezcan en la información de WHOIS en lugar de usted. El inconveniente, sin embargo, es que no es el propietario oficial del dominio en ese caso. El registrador lo hace. Eso puede ser problemático si hay una disputa por la propiedad del dominio. Además, generalmente no protegen a sus clientes de la aplicación de la ley.
Una posibilidad a considerar es eliminar todos los archivos de origen de su computadora cuando haya terminado de cargar. Recuerde que vaciar la bandeja en Windows no significa que sus archivos se hayan eliminado por completo, lea este artículo para obtener más información.
También querrás enviar un correo electrónico para que sea completamente anónimo. En su pregunta, indica que utilizó una VPN cuando creó el correo electrónico, por lo que supongo que también ingresó detalles falsos. Si no; Tendrá que considerar su información comprometida.
El apodo que usa en el sitio web de Wordpress también puede revelar su identidad, como se vio en el caso del propietario de Silkroad Ross Ulbricht, quien fue capturado porque usó un nombre de cuenta en su sitio web privado que era el mismo que otro nombre de cuenta donde usó su dirección IP real. Así que asegúrate de usar un apodo anónimo para Wordpress.
No anuncie el sitio web sin asegurarse de que es anónimo: si envía el sitio web a amigos que usan Facebook, por ejemplo, mientras usa su propia cuenta de Facebook, también puede considerar que su anonimato se ve comprometido.
Un vpn (suponiendo que no se registra) solo oculta su dirección IP.
Si la política de registro de vpn es una farsa, o si el proveedor de vpn está obligado por el gobierno donde tiene su sede para iniciar el registro, está brindado.
También tenga en cuenta que la mayoría de los proveedores de VPN no son propietarios de su propia infraestructura, sino que dependen de los contratos de alquiler con centros de datos, algunos de los cuales pueden tener empleados corruptos.
Por lo tanto, usar solo una capa de ofuscación de direcciones IP no es suficiente para mantener el anonimato si tu adversario es la policía local.
En lugar de eso, use el vpn junto con una cadena, es decir, el wifi de otro > vpn > Tor > tu blog.
Si existe una ley de retención de datos local, es posible que su ISP tenga la obligación legal de conservar información sobre a qué direcciones IP acceden sus clientes.
También tenga en cuenta la jurisdicción del proveedor de vpn y el servidor que está utilizando en relación con los posibles delitos de habla que podría cometer mediante la creación de blogs.
Si el proveedor vpn responde a la ley local, y esa ley local penaliza el mismo discurso que su propia nación, la cooperación legal es probable.
Sin embargo, si el proveedor vpn y el servidor se encuentran en una jurisdicción sin una prohibición similar, es probable que esté seguro.