Actualización Tor Browser 15.0.11: Parche crítico de seguridad

El panorama de la ciberseguridad y la privacidad digital ha sufrido un sacudida sísmica. El 28 de abril de 2026, el Proyecto Tor lanzó una medida de urgencia: la Actualización Tor Browser versión 15.0.11. No se trata de un mantenimiento rutinario ni de una mejora estética; es una respuesta crítica a una vulnerabilidad que ataca el corazón mismo del anonimato en la Dark Web y la navegación privada. La falla, identificada técnicamente como CVE-2026-6770, ha demostrado que uno de los pilares de la herramienta —el botón “Nueva Identidad”— era vulnerable ante una técnica de rastreo sofisticada que permitía vincular sesiones de navegación supuestamente aisladas.

Para quienes confían en Tor como su última línea de defensa contra la vigilancia estatal, el espionaje corporativo o la persecución política, esta Actualización Tor Browser representa la diferencia entre el anonimato absoluto y la exposición total. El error residía en cómo el motor del navegador gestionaba la API de IndexedDB, permitiendo que sitios web externos pudieran generar una huella digital (fingerprint) persistente que sobrevivía incluso a los reinicios de circuito y cambios de identidad.

CVE-2026-6770: La anatomía del fallo en la “Nueva Identidad”

Para entender la gravedad de esta vulnerabilidad, primero debemos comprender qué hace que Tor sea especial. Normalmente, cuando un usuario presiona el botón “Nueva Identidad”, el navegador cierra todas las pestañas, limpia las cookies, borra el historial y, lo más importante, reinicia el proceso interno para asegurar que la siguiente sesión no tenga relación con la anterior. Sin embargo, los investigadores de Fingerprint.com, Dai Nguyen y Martin Bajanik, descubrieron que el aislamiento no era tan hermético como se creía.

El problema con IndexedDB y los mapeos UUID

La vulnerabilidad CVE-2026-6770 se centraba en la interfaz indexedDB.databases(). Esta API permite a los desarrolladores web listar las bases de datos de almacenamiento local que un sitio ha creado en el navegador del usuario. El fallo técnico radicaba en que Firefox (la base sobre la cual se construye Tor) asignaba nombres de bases de datos utilizando identificadores únicos universales (UUID) internos.

El orden en el que estos UUID eran devueltos por el navegador no era aleatorio ni alfabético, sino que dependía de la estructura interna de una tabla hash en la memoria del proceso del navegador. Debido a que esta tabla hash se mantenía estable mientras el proceso del navegador estuviera en ejecución, el orden de los elementos se convertía en un identificador determinista y único.

• Persistencia de proceso: El identificador no dependía de las cookies, sino del estado del proceso de software.
• Alcance global: A diferencia de otros datos que están aislados por sitio (SOP – Same Origin Policy), el orden de IndexedDB permitía que dos sitios totalmente diferentes (sitio-A.com y sitio-B.com) observaran la misma secuencia y concluyeran que se trataba del mismo usuario.
• Resistencia al reinicio de identidad: El botón “Nueva Identidad” de Tor no siempre forzaba un cierre completo del proceso principal en todos los sistemas operativos, lo que permitía que esta “huella de sombra” persistiera entre identidades.

Impacto de la correlación de origen cruzado (Cross-Origin Correlation)

El término técnico “correlación de origen cruzado” suena complejo, pero su implicación es aterradora para la privacidad. En un escenario de ataque, un adversario que controle varios sitios web (o que compre datos de redes de anuncios que utilicen este script) podría ver a un usuario entrar a un foro de activismo bajo la Identidad A y, minutos después, verlo navegar en un sitio de noticias bajo la Identidad B.

Gracias a la vulnerabilidad de IndexedDB, el atacante podía notar que el orden de las bases de datos en ambos casos era idéntico. Con solo 16 bases de datos creadas de forma invisible, un sitio podía generar una entropía de aproximadamente 44 bits, suficiente para identificar de forma única a casi cualquier usuario entre millones de personas conectadas simultáneamente a la red Tor.

¿Por qué falló el aislamiento de circuitos?

El aislamiento de circuitos de Tor está diseñado para que cada dominio utilice una ruta diferente a través de los nodos de la red. Esto evita que los nodos de salida sepan que el tráfico de “Sitio A” y “Sitio B” proviene de la misma persona. Sin embargo, CVE-2026-6770 operaba a nivel de navegador (capa de aplicación), no de red. Al extraer un identificador directamente del motor Gecko del navegador, la protección de la red Tor se volvía irrelevante; el rastreo ocurría dentro de la propia computadora del usuario.

Detalles técnicos de la Actualización Tor Browser 15.0.11

La respuesta del Proyecto Tor ha sido contundente. La Actualización Tor Browser 15.0.11 no solo aplica un parche de software, sino que redefine la forma en que el navegador interactúa con las APIs de almacenamiento para evitar futuras filtraciones de este tipo.

Los cambios clave en esta versión incluyen:

1. Rebase a Firefox 140.10.1esr: El núcleo del navegador se ha actualizado a la versión más reciente del “Extended Support Release” de Mozilla, que incluye la corrección oficial para la gestión de tablas hash en IndexedDB.
2. Canonicalización de Resultados: Ahora, cualquier llamada a indexedDB.databases() devuelve los resultados en un orden estrictamente alfabético. Al eliminar el orden basado en la memoria del proceso, se destruye la fuente de entropía que permitía el fingerprinting.
3. Actualización de NoScript (13.6.18.1984): El complemento esencial NoScript ha sido endurecido para bloquear intentos especulativos de creación de bases de datos que busquen forzar la generación de estas huellas digitales.
4. Limpieza forzada de UUIDs: Se ha implementado un mecanismo adicional que garantiza que, al solicitar una “Nueva Identidad”, los mapeos internos de almacenamiento se destruyan y se regeneren desde cero, eliminando cualquier residuo del proceso anterior.

Expertos en privacidad enfatizan que esta actualización es obligatoria. No es exagerado decir que, sin este parche, el uso de Tor para tareas de alta sensibilidad es equivalente a navegar en un navegador convencional en modo incógnito: útil contra rastreadores básicos, pero inútil contra actores estatales o empresas de análisis de datos masivos.

La evolución del Fingerprinting en 2026

La aparición de CVE-2026-6770 marca un hito en la guerra constante entre los desarrolladores de navegadores de privacidad y las empresas de rastreo. En 2026, las técnicas de fingerprinting han evolucionado más allá del simple análisis del agente de usuario o la resolución de pantalla.

Hoy en día, los atacantes buscan “fugas de canal lateral” (side-channel leaks) en las APIs de hardware y almacenamiento. El caso de IndexedDB es un recordatorio de que incluso las funciones más inocuas del navegador —como guardar datos para que una aplicación web funcione sin conexión— pueden ser convertidas en armas para destruir el anonimato.

El rol de NoScript y el endurecimiento del navegador

Dentro de la Actualización Tor Browser, la nueva versión de NoScript juega un papel defensivo proactivo. NoScript 13.6.18.1984 introduce reglas de “aislamiento de almacenamiento” que limitan cuántas bases de datos puede consultar un sitio web en un periodo corto de tiempo. Esta limitación de tasa (rate limiting) hace que sea computacionalmente costoso y ruidoso intentar generar una huella digital de alta entropía, alertando a los sistemas de defensa del navegador antes de que el atacante pueda obtener un identificador estable.

Guía paso a paso para aplicar la Actualización Tor Browser

Si eres un usuario activo, no debes esperar a que el navegador te avise de forma automática. Dada la criticidad de la vulnerabilidad de vinculación de identidad, se recomienda seguir estos pasos de inmediato:

• Verificación de versión: Ve al menú de hamburguesa (tres líneas horizontales) > Ayuda > Acerca de Tor Browser. Debes ver la versión 15.0.11 o superior.
• Actualización manual: Si estás en una versión anterior, el navegador debería comenzar la descarga automáticamente. Una vez finalizada, presiona “Reiniciar para actualizar Tor Browser”.
• Usuarios de Android: Es vital acudir a la Google Play Store o al repositorio de F-Droid para asegurar que la versión de GeckoView también haya sido actualizada a la 140.10.1esr.
• Limpieza post-actualización: Como medida de precaución extrema tras instalar la 15.0.11, se recomienda usar la función “Nueva Identidad” una vez y luego cerrar el navegador por completo antes de iniciar una sesión sensible.

¿Es Tor todavía seguro tras esta falla?

Es natural que los usuarios se pregunten si el sistema sigue siendo confiable tras un fallo tan fundamental. La respuesta es un rotundo sí, pero con matices. Tor sigue siendo la red de anonimato más robusta del mundo, pero no es una “caja mágica”. Es un software complejo basado en millones de líneas de código heredadas de Firefox.

La rapidez con la que el Proyecto Tor y Mozilla reaccionaron para lanzar esta Actualización Tor Browser demuestra la salud del ecosistema. En menos de una semana desde el descubrimiento de los investigadores de Fingerprint.com, se pasó de una vulnerabilidad teórica a un parche global. Esta transparencia y velocidad es lo que diferencia a los proyectos de código abierto orientados a la privacidad de los navegadores comerciales, que a menudo ocultan este tipo de fallas durante meses.

Consideraciones para periodistas y fuentes anónimas

Para quienes trabajan con información clasificada, esta vulnerabilidad subraya una regla de oro de la seguridad operativa (OPSEC): no confíes únicamente en una herramienta. Si bien Tor es esencial, la compartimentación física (usar diferentes dispositivos o sistemas operativos como Tails) sigue siendo la mejor defensa contra fallas a nivel de navegador.

Tails 7.7, lanzado casi simultáneamente, ya integra estas correcciones y ofrece una capa de protección adicional: al ejecutarse completamente en la memoria RAM y forzar un reinicio del sistema, garantiza que ningún identificador de proceso sobreviva entre sesiones.

Conclusión: La vigilancia no descansa, tu navegador tampoco

La Actualización Tor Browser 15.0.11 es un recordatorio de que el anonimato es un objetivo móvil. Lo que hoy es privado, mañana puede ser vulnerable debido a un nuevo método de análisis o a una función de software mal implementada. La vulnerabilidad CVE-2026-6770 ha sido cerrada, pero la carrera armamentista entre la privacidad y la vigilancia continúa.

Instalar este parche no es opcional. Es un acto de responsabilidad digital. Al mantener tu software actualizado, no solo te proteges a ti mismo, sino que fortaleces el “conjunto de anonimato” (anonymity set) de todos los usuarios de Tor. En el mundo de la Dark Web, la seguridad de uno es, literalmente, la seguridad de todos. No dejes que una “huella de sombra” en IndexedDB comprometa tu identidad: actualiza ahora y mantente vigilante.