Los términos y condiciones de la Dark Web

  • marzo 29, 2022
  • Jorge Morell Ramos

Por allá 2018 se estrenó una película titulada «Eliminado: Dark Web». La misma se desarrolla en tiempo real a través de pantallas y trata sobre cómo un veinteañero encuentra archivos escondidos en la memoria caché de su nuevo ordenador que le llevan a la web oscura, lo que da comienza a una película de terror entretenida (y sin mayores aspiraciones) pero con todo el elemento digital muy presente.

El término «Dark Web» al que hace alusión el título de la película es la famosa red oscura que requiere de software, autorizaciones o configuraciones específicas para acceder a su contenido.

Esa «Dark Web» también es protagonista de muchas leyendas urbanas digitales (raro es la creepypasta o historias de terror nacidas en Internet que no incluya algún componente de la Dark Web). Ahora bien, no todo en la dark web es ilegal (aunque lo hay y mucho) o propio de películas de terror. También hay servicios y negocios legítimos que, aunque parezca mentira, presentan sus propios términos y condiciones. Y este post quiere ser una pequeña muestra de eso.

Especialmente ya que los términos y condiciones de un sitio en la dark web deberían presentar algunas particularidades que no son comunes en otro tipo de web.

Comencemos pues con nuestra particular historia hacia la web oscura…

1.- El concepto

¿Qué es la Dark Web? Es la llamada internet oscura o el contenido de la World Wide Web​ que existe solo en darknets, redes que se superponen a la internet pública y requieren de software o configuraciones específicas o de autorización para acceder.

No se conoce el primer uso de la palabra (que podría datar de 2009), pero seguramente deriva de «darknet«, un término nacido en los años 70 para referirse a las redes que operaban de forma aislada a ARPANET (el origen militar/gubernamental de Internet).

Sea como sea, la Dark Web es como el tercer escalón hacía abajo de lo que hoy denominamos Internet.

Es decir, la red pública y típica que usamos es Internet y entramos a ella vía un navegador común (Chrome, Safari o Firefox, por ejemplo). Es la llamada «Surface Web» o «Web Superficial». Representa el 10% de la información disponible.

Luego viene la «Deep Web» o web profunda, es como la anterior pero no está indexada por buscadores como Google o similares. De modo que solo puede accederse a ella si conocemos el enlace (serían por ejemplo muchas webs de bancos, redes sociales, servicios de pago bajo demanda, etc). El concepto fue creado en 2001 por Michael K. Bergman y representa casi el 90% de la información disponible.

Finalmente llegamos a la Dark Web, que está dentro de la Deep Web pero no debe confundirse con ella. La Dark Web tampoco está indexada por buscadores normales, pero tener el enlace no basta para acceder a su contenido, ya que se necesitan navegadores, configuraciones o autorizaciones específicas. Quizá la herramienta más popular para acceder a la Dark Web es Tor.

La Dark Web representa un porcentaje muy pequeño de la web profunda o Deep Web.

2.- La entrada

Ahora que sabemos qué es la Dark Web, ¿cómo entramos?

Solo se puede acceder a la web oscura a través de redes como Tor (Freenet o I2P serían otras opciones) o que se crean específicamente para la web oscura. El navegador Tor y los sitios accesibles a Tor son ampliamente utilizados entre los usuarios de la darknet y pueden ser identificados por el dominio «.onion».

Lo que hace un navegador como Tor es crear puntos de entrada y rutas cifradas para el usuario, lo que permite que sus búsquedas y acciones en la Dark Web sean anónimas.

De esa forma, las identidades y ubicaciones de los usuarios de la red oscura permanecen anónimas y no se pueden rastrear debido al sistema de cifrado en capas. La tecnología de cifrado de navegadores como Tor dirigen los datos de los usuarios a través de una gran cantidad de servidores intermedios, lo que protege la identidad de los usuarios y garantiza el anonimato.

Por ello, la información transmitida solo puede ser descifrada por un nodo posterior en el esquema, que conduce al nodo de salida. Ese complicado sistema hace que sea casi imposible reproducir la ruta del nodo y descifrar la información capa por capa.

Además, los navegadores de las Dark Web, como Tor,  hacen que los sitios web no pueden rastrear la geolocalización ni la IP de sus usuarios debido al alto nivel de encriptación (tampoco los usuarios pueden obtener esta información sobre quien proporciona la web).

Por lo tanto, la comunicación entre los usuarios de la Dark Web está muy encriptada y eso permite a los usuarios hablar, bloguear o compartir archivos de forma altamente confidencial.

Esa alta confidencialidad y encriptación de la navegación en la Dark Web implica que una página web ubicada en ella no podría monitorizar al usuario, hacer fingerprinting o ni tan siquiera algo tan común como recoger la IP del visitante.

Según la normativa sobre protección de datos el responsable del tratamiento debe indicar, entre otras cosas, los datos que recopila del usuario. Por tanto, la política de privacidad de un dominio .onion en la Dark Web no debería decir que recopila de forma automática la IP del usuario, ya que en la práctica no sería el caso y estaría llevando a equívoco al usuario visitante (diciéndole que recopila algo que no es tal).

Entonces, ¿qué dicen los términos y condiciones de las versiones en la Dark Web de páginas tan conocidas como la CIA o Facebook, entre otras? Vamos a verlo.

Logo del proyecto Tor

3.- La visita

Aunque parezca mentira, en la Dark Web hay más términos y condiciones de lo que uno podría pensar. Incluso en webs solo accesibles desde ahí.

Hemos elegido algunos ejemplos de webs comunes con versión en la Dark Web y otras solo existentes allí, y esto es lo que hemos visto al leer sus términos y condiciones.

LA CIA 

La CIA o Agencia Central de Inteligencia es un servicio de inteligencia exterior de naturaleza civil del gobierno federal de Estados Unidos encargado de recopilar, procesar y analizar información de seguridad nacional de todo el mundo, principalmente mediante la utilización de inteligencia humana.

Su Política de Privacidad es igual en la dark web y en la web normal.

De ese modo, se indica que si simplemente visitas la web, lo haces de forma anónima. En todo caso, hay determinada información que se recopila de forma automatizada, entre ella: la IP, tu navegador, el sistema operativo, hora y fecha, páginas visitadas, la web desde la que llegaste y la palabra de búsqueda usada si vienes de un buscador.

La CIA usa la información recopilada al navegar para tres cosas: 1) procesos de contratación si envías el formulario correspondiente; 2) responder a tus dudas si usas el formulario correspondiente; y 3) ayudar en el cumplimiento de su misión de inteligencia en el extranjero. 

Curiosidad: si envías tu CV a la CIA, el periodo de conservación que aplican es de 1 año. 

Por tanto, la CIA no está ajustando su política de privacidad a las particularidades técnicas de la Dark Web.

Daniel’s Hosting

Daniel’s Hosting era uno de los mayores proveedores gratuitos de alojamiento en la Dark Web. Creado por el alemán Daniel Winzen, el mismo se vio obligado a cerrar en marzo de 2020 debido a una brecha de seguridad que comprometió a más de un tercio de sus clientes, concretamente 7.600 páginas en la dark web.

A pesar de lo que pueda pensarse, la web original contenía una Política de Privacidad y la misma estaba adaptada al RGPD (cumplía bastantes requisitos y algunos mejor que muchas webs más visibles). :p

Por ejemplo, según la Política de Privacidad:

– Daniel Winzen era el responsable del tratamiento en los casos en los que resultaba necesario entregar información personal para usar el servicio (condicionado a la “input mask” o máscara de entrada usada).

– La web solo usaba cookies técnicas necesarias, ninguna para tracking (al menos hasta donde indicaba, si bien no incluía tabla completa de las mismas).

La web sí decía recopilar datos clásicos como la IP, tu navegador, el sistema operativo, hora y fecha, páginas visitadas, la web desde la que llegaste o el emisor y receptor de email (en el caso de usar ese servicio). Esa información se analizaba y conservaba de forma separada de la personal por un periodo de 48 horas. 

Proporcionar información personal podía ser necesario para el uso de determinados servicios, de forma que el responsable pudiera protegerse respecto a determinados usos en caso de ser ilícitos.

La Política de Privacidad incluía una detallada explicación de los derechos de los usuarios (incluyendo un “derecho de confirmación” que indicaba al interesado si el responsable procesaba o no datos suyos), una mención a los periodos de conservación (pero no aclarados), que como bases legales aplicaba el consentimiento, el contrato, la obligación legal y el interés legítimo (consistente este último en avanzar con su negocio en favor del bienestar de sus clientes y de él mismo) y que no aplicaba decisiones automatizadas.

Por tanto, en este un caso sí se tenía en consideración el medio donde se operaba y sus particularidades técnicas a efectos de redactar los términos y condiciones.

Deutsche Welle 

Deutsche Welle (“Onda alemana” en alemán) o DW es un servicio de radiodifusión internacional financiado por el presupuesto fiscal federal alemán. Disponible en más de 30 idiomas, a pesar de estar financiado por el gobierno el trabajo de DW está regulado por la Deutsche Welle Act, lo que significa que el contenido está destinado a ser independiente de la influencia gubernamental.

Nuevamente nos encontramos ante un caso en el que no hay diferencias entre la política de privacidad de la versión Dark Web y la web normal, más allá de dos enlaces Onion.

En este caso la Política de Privacidad de Deutsche Welle es bastante estándar (aunque con algunas faltas importantes): recopilan datos automatizados como nombre del archivo accedido, fecha y hora, datos transferidos, IP, web de origen, sistema operativo o navegador web usado, presenta una descripción de derechos algo curiosa (mayormente habla de revocación, rectificación y supresión), hablan de las cookies empleadas y plugins de terceros (Pixel de Facebook, Google Analytcs y muchas más) y… hasta ahí.

Nada o muy poco dice sobre tratamientos, bases legales o periodos de conservación. Eso sí, tienen delegado de protección de datos.

Facebook 

Facebook, la red social por antonomasia creada en 2004 por Mark Zuckerberg, también tiene su propia versión en la Dark Web, concretamente mediante Tor.

Ahora bien, la política de privacidad de Facebook en la Dark Web es la misma que en la web normal, solo que aplica la global en lugar de la europea.

Es decir, al no reconocer el origen del usuario, no se muestra la política de privacidad de ciudadanos europeos según la cual los datos los recopila Facebook Irlanda, o que incluye referencias explícitas a la normativa europea y hace más hincapié a todo lo relativo a las transferencias internacionales.

Por lo demás, es igual y no hay mención expresa a nada relativo al uso de la versión en Onion.

Por tanto, cumple en parte al dirigir al texto más global, pero ese texto todavía habla de recopilar la IP, entre otros datos.

Hidden Wiki

La Hidden Wiki (o Wikipedia oculta) data de 2007 y es la versión en la Dark Web de Wikipedia, permitiendo la edición anónima de sus entradas (muchas de las cuales trataban sobre prácticas ilícitas).

En 2014 desapareció tras ser hackeada, desde entonces hay varias copias de las mismas, pero ninguna de ellas oficial.

Aunque muy breves, había unas Condiciones de Uso en la Hidden Wiki. Las mismas eran mayormente una exclusión de responsabilidad indicando que el contenido se editaba de forma anónima. También indica que todo era responsabilidad de los usuarios, que la plataforma no controlaba lo subido y que si bien no alojaban contenido ilegal, el usuario podía encontrar enlaces que le llevaran a contenido ilícito. Además, recordaba insistentemente que no aceptaban pagos.

Poco más contaban sus términos y condiciones.

4.- Conclusiones

Lo indicado son simplemente 5 ejemplos de las muchas webs razonables que pueden encontrarse o que ha habido en la Dark Web (sin olvidar asociaciones pro privacidad y en defensa de la libertad de expresión, a todas las variantes imaginables en tema criptomonedas en la actualidad).

La conclusión es que si el sitio ya existe en la Internet pública, sus términos y condiciones en la Dark Web serán un copiar/pegar de esa versión con algunos enlaces hacia la versión .onion.

Si el sitio es único de la Dark Web no veremos términos y condiciones ampliamente elaborados, pero sí es común ver exclusiones de responsabilidad, condiciones de uso o incluso algunas condiciones de contratación si el sitio vende online (por ejemplo, todos los que gestionan cripto).

Lo que raramente veremos son ajustes en el texto (especialmente de la política de privacidad) que tengan en cuenta las particularidades técnico -jurídicas de esa lado más oscuro de Internet.

¡Feliz navegación!