Muchos se preguntan acerca de las largas direcciones en .onion y por qué los navegadores habituales no las abren. Respuesta corta: .onion no es la web pública, sino un espacio de sitios ocultos dentro de Tor. Esos recursos solo se abren a través del navegador Tor, la ruta se construye íntegramente dentro de la red y el propio servidor puede ocultarse de la detección directa. A continuación, en detalle sobre cómo están organizados los servicios .onion, en qué se diferencian de los sitios normales, por qué hace falta Tor Browser y cómo actuar para no perder la privacidad ni el sentido común.
.onion es un espacio de nombres especial para los servicios ocultos de Tor. Un sitio normal al funcionar a través de Tor utiliza un nodo de salida: la cadena de retransmisores termina en un punto que sale a la Internet abierta. El sitio ve la dirección de ese nodo, no la suya. En el último tramo el tráfico está fuera de Tor, por lo que sin HTTPS correcto puede ser teóricamente inspeccionado.
Los servicios .onion funcionan de otra manera: tanto el cliente como el servidor permanecen dentro de Tor. Aquí no hay la última milla abierta, porque la conexión se enlaza dentro de la red. La misión de Tor es la privacidad y la resistencia a la censura; el proyecto se financió inicialmente con subvenciones, incluidas del gobierno de Estados Unidos, y sigue desarrollándose como software libre.
Las direcciones .onion resultan extrañas: son largas cadenas v3 en base32, vinculadas criptográficamente a la clave del servicio. Una letra equivocada ya es otro recurso. Es preferible copiar las direcciones y verificarlas completas, sin acortadores ni tecleo manual.
Cómo funciona el servicio por dentro
El servidor de un servicio .onion publica un descriptor en el directorio de Tor. En el descriptor están sus claves y la lista de nodos de introducción por los que los clientes podrán iniciar la conexión. El cliente, conociendo la dirección .onion, construye su propia cadena y elige un punto de encuentro: un retransmisor separado donde ambas partes intercambiarán datos cifrados. Luego el cliente, a través de uno de los nodos de introducción, envía al servicio una invitación para reunirse; el servicio construye su cadena hacia el punto elegido, y allí se une el túnel. Toda la ruta permanece dentro de Tor, por lo que el control de los nodos de salida no sirve de nada: simplemente no existe tramo de salida.
Los detalles importantes están en las pequeñas cosas. Los descriptores de servicios .onion v3 están firmados con la clave del servicio, y la lista de nodos de introducción y la vinculación a los directorios se calculan de forma determinista según el tiempo y la dirección. Esto reduce las posibilidades de falsificar registros y aumenta la resistencia a bloqueos de retransmisores individuales. Las cadenas del cliente y del servidor están aisladas: un observador en un tramo no ve el cuadro completo.
De aquí se deriva una conclusión práctica: un servicio .onion no tiene la dirección IP habitual a la que se pueda acceder desde el exterior. Buscar el servidor físico se complica notablemente, y la privacidad de la ruta no depende de confiar en un nodo de salida ajeno. Aun así, HTTPS sigue siendo útil porque añade protección a nivel de aplicación y facilita la verificación de la autenticidad del sitio por parte del usuario.
Tor Browser, niveles de seguridad y elusión de bloqueos
La vía correcta es una: Tor Browser. Es un Firefox modificado con la conexión a Tor preconfigurada y protecciones contra la obtención de huellas. Descargue la distribución desde el sitio del proyecto Tor, instálela en Windows, macOS, Linux o Android, ejecútela, introduzca la dirección .onion completa y la página se abrirá como un sitio normal, solo dentro de Tor. Para iPhone y iPad no hay navegador oficial; en App Store hay clientes de terceros, pero por su modelo de amenazas no son completamente equivalentes a Tor Browser y requieren precaución.
Conviene revisar de inmediato la configuración del nivel de seguridad. En Tor Browser hay ajustes predefinidos que desactivan elementos web potencialmente peligrosos para reducir la superficie de ataque. Si la prioridad es la privacidad y minimizar riesgos, elija el nivel elevado y manténgalo constante. No instale extensiones: aumentan la singularidad de la huella y pueden romper las suposiciones de protección.
En países con bloqueos, la conexión a Tor puede requerir puentes. Los mecanismos integrados permiten elegir obfs4 o Snowflake. El primero enmascara el tráfico como un flujo aleatorio; el segundo proxifica la conexión a través de voluntarios en el navegador. No son aceleradores, sino herramientas de accesibilidad. Su objetivo es pasar la filtración, no aportar velocidad adicional.
Los proxies web tipo tor2web prometen abrir .onion sin Tor. Técnicamente funciona así: el intermediario entra en Tor por usted y entrega el contenido por una conexión normal. Resultado: el sitio permanece oculto, pero usted queda transparente para el proveedor y para el propietario del proxy. Pueden producirse registros, suplantación de contenido o inserción de rastreadores. El modelo de amenazas se invierte y pierde sentido: usted entrega metadatos y contenido a quien no lo necesita. Este enfoque solo es adecuado en raros escenarios profesionales y con medidas separadas de control de integridad.
Higiene digital: minimicemos riesgos
Tor y los servicios .onion no son una indulgencia. Las leyes de su país se aplican independientemente de la ruta. Sigo un conjunto simple de hábitos: no navego por directorios al azar, verifico las direcciones .onion carácter por carácter, evito los acortadores, no descargo archivos ejecutables de páginas no verificadas, compruebo las sumas de verificación de los distribuidos, y mantengo el sistema y las protecciones actualizados. En una sesión no mezclo cuentas personales de la web abierta con tareas privadas en Tor para no vincular identidades.
- Solo descargo el navegador desde el sitio del proyecto Tor.
- Copio la dirección completa y compruebo cada parte de la cadena.
- No uso proxies para .onion.
- Para vídeo pesado y grandes descargas mantengo un canal normal separado.
- En Tor Browser no instalo extensiones ni cambio las protecciones por defecto salvo necesidad extrema.
Cuando .onion es realmente útil
Las entradas .onion de grandes servicios son útiles cuando los dominios habituales están bloqueados o cuando importa la privacidad de la ruta. Es una forma práctica de contactar con soporte, abrir correo o buscar sin intermediarios en el tramo final. A continuación, direcciones que pueden servir como referencia:
Glosario breve
| Servicio .onion | Sitio oculto dentro de Tor, accesible por una dirección .onion y abierto a través de Tor Browser. |
| Nodo de introducción | Retransmisor por el que el cliente envía al servicio una invitación para establecer contacto. |
| Punto de encuentro | Retransmisor en el que se unen las cadenas del cliente y del servidor; toda la transmisión permanece dentro de Tor. |
| Nodo de salida | Punto final de la cadena al acceder a la web normal a través de Tor; no se usa con los servicios .onion. |
| Dirección v3 | Formato moderno de direcciones .onion: larga cadena base32 vinculada criptográficamente a la clave del servicio. |
| Puentes | Formas de conectarse a Tor en condiciones de bloqueo: obfs4, Snowflake y otros transportes que enmascaran el tráfico. |
.onion es una forma práctica de comunicarse con el sitio deseado dentro de Tor sin observadores innecesarios en la ruta. La "magia" técnica se basa en ideas sencillas: cadenas separadas, punto de encuentro, direcciones verificables y ausencia de la última milla abierta. Si necesita un canal privado y predecible, Tor Browser cumple la tarea por sí mismo; los proxies y los directorios aleatorios solo añaden riesgos. El resto es cuestión de hábito y prudencia.
