Tor presentó Oniux — una herramienta nueva para paranoicos y no solo. Ahora es posible ejecutar cualquier aplicación en Linux a través de Tor sin temor a fugas de tráfico. ¿Cómo funciona, en qué es mejor que el tradicional torsocks y por qué los espacios de nombres son la nueva obsesión para quienes defienden la privacidad? Lo explicamos con detalle y en términos claros.
Tor y Oniux: una pequeña revolución en el mundo del anonimato
Tor es conocido por casi todo el mundo: si se quiere ocultar quién eres y de dónde vienes, Tor es casi imprescindible. Pero incluso un proyecto tan emblemático tiene sus "peros": ejecutar aplicaciones de terceros a través de Tor no es tan sencillo, y los métodos clásicos (como torsocks) hace tiempo que muestran sus límites. Ahí aparece Oniux — una utilidad que promete aislamiento real a nivel del núcleo de Linux.
Por qué las soluciones anteriores no son la salvación
Antes de Oniux, la forma más popular de "hacer pasar" una aplicación por Tor era torsocks. Es una especie de "engaño" que mediante el truco de LD_PRELOAD sustituye las llamadas de red de las aplicaciones para que el tráfico vaya por Tor. Pero hay un par de problemas:
- Si la aplicación está diseñada de forma astuta y accede a la red directamente, evitando libc, torsocks ni siquiera lo detectará.
- Las aplicaciones compiladas estáticamente ignoran por completo este truco.
- No hay aislamiento total: la aplicación sigue "viendo" las interfaces de red del anfitrión.
En resumen, una buena idea, pero del tipo "confía, pero verifica".
Oniux: qué es y cómo funciona
Con Oniux ya no hace falta "esperar" que todo funcione bien: se puede tener la certeza de que la aplicación no encontrará rutas de escape. Oniux utiliza los espacios de nombres del núcleo de Linux — espacios de nombres — para que cada aplicación funcione en un "contenedor" con su propio espacio de red.
En palabras sencillas: Oniux crea una miniuniverse para cada proceso. La aplicación no ve las interfaces reales de la máquina, no puede enviar nada directamente a Internet — solo a través de una interfaz virtual onion0, que está vinculada a Tor.
Arquitectura de Oniux: ¿qué hay bajo el capó?
- Utiliza los espacios de nombres de Linux: red, montaje, usuarios y PID.
- Cada aplicación obtiene su propia pila de red — ni siquiera ve el host loopback.
- Como transporte — el nuevo motor Tor llamado Arti y el componente auxiliar onionmasq para la interfaz virtual.
- En la base: la utilidad está escrita en Rust (sí, la tendencia de Rust llega también a Tor).
- DNS seguro: mediante el mount namespace sustituye
/etc/resolv.confpor una configuración compatible con Tor. - Privilegios mínimos: la configuración del aislamiento se realiza con reducción de privilegios, para que incluso un software malicioso no pueda salir al exterior.
¿Resultado? La aplicación físicamente no puede "filtrarse" a la red normal. Todo lo que envíe pasará únicamente por Tor, o no saldrá en absoluto.
¿Para quién es esto?
Oniux es ideal para quienes realizan auditorías de seguridad, ejecutan binarios sospechosos, prueban el anonimato o simplemente no quieren que un comando como "curl" revele su IP real.
La herramienta es especialmente útil para:
- Pentesters e investigadores: analizar de forma segura la actividad de red de aplicaciones.
- Desarrolladores: probar programas en condiciones de aislamiento total de red.
- Amantes de la privacidad: ejecutar navegador Tor, cliente de correo, mensajería o cualquier app bajo control absoluto.
Cómo funciona Oniux en la práctica — paso a paso
Veamos cómo Oniux "empaqueta" una aplicación:
- Crea un espacio de nombres de red separado (network namespace).
- Desactiva el acceso a cualquier interfaz real — incluso el loopback quedará "a cero".
- Conecta la interfaz virtual
onion0, que se relaciona con onionmasq y, a través de este, con Tor. - Monta un
/etc/resolv.confcompatible con Tor mediante mount namespace. - Emplea namespaces separados de PID y usuarios — la aplicación ni siquiera podrá escalar a root ni ver otros procesos.
- Toda la interacción de red de la aplicación pasa por Tor, incluso si intenta realizar acciones de bajo nivel.
¿Suena complejo? En la práctica — un solo comando en la terminal:
oniux curl http://example.onion
o incluso:
oniux bash
— y toda la sesión de tu bash estará en aislamiento completo.
Oniux vs torsocks: tabla de diferencias
Para dejarlo todo claro, aquí va la comparación:
| Oniux | Torsocks |
|---|---|
| Funciona como una aplicación independiente | Requiere un demonio Tor en funcionamiento |
| Utiliza los namespaces del núcleo | Utiliza LD_PRELOAD (truco de ld.so preload) |
| Funciona con cualquier aplicación (incluso binarios estáticos) | Funciona solo con programas que usan llamadas al sistema a través de libc |
| Una aplicación maliciosa no podrá filtrarse directamente | Un software malicioso puede "filtrarse" mediante llamadas raw al sistema |
| Solo Linux | Multiplataforma (pero con las mismas limitaciones) |
| Experimental | En uso desde hace 15 años |
| Funciona sobre Arti | Funciona sobre CTor |
| Rust | C |
Suena atractivo, pero hay un matiz: Oniux sigue siendo experimental y no ha sido probado ampliamente en entornos de producción. Para usos críticos no se recomienda su adopción inmediata — pero si te gustan las aventuras, merece la pena probarlo.
Cómo instalar Oniux: instrucción paso a paso
Es sencillo si ya tienes Rust. Si no — instala Rust desde el sitio oficial, y luego ejecuta un comando:
cargo install --git https://gitlab.torproject.org/tpo/core/oniux oniux@0.4.0
¡Listo! Ejemplos de uso de los propios desarrolladores:
- Entrar en un sitio .onion:
oniux curl http://example.onion - Ejecutar toda la shell a través de Tor:
oniux bash - Arrancar una aplicación gráfica (por ejemplo, HexChat) a través de Tor:
oniux hexchat
El código fuente está disponible en GitLab del Proyecto Tor.
Espacios de nombres en Linux — cómo funcionan y para qué sirven
Los espacios de nombres son como apartamentos en un edificio enorme: cada uno tiene su propia entrada, su propio frigorífico e incluso su propio Wi‑Fi. Linux permite que un proceso trabaje "en un apartamento separado" para que nadie pueda espiar o provocar un desastre en el pasillo. Para Oniux esto garantiza que la aplicación no "vea" nada, salvo la interfaz virtual creada especialmente para Tor.
- Network namespace — cada proceso ve solo sus interfaces de red y su enrutamiento.
- Mount namespace — el proceso tiene su propio conjunto de sistemas de archivos montados (por ejemplo, su propio resolv.conf).
- User y PID namespaces — identificadores de usuario y procesos propios, sin vinculación con el resto del sistema.
En conjunto: incluso si la aplicación intenta escapar, no lo conseguirá.
Escenarios de uso y ejemplos reales
- Auditoría de seguridad: ¿Analizas un binario sospechoso? Simplemente ejecútalo con Oniux — y aunque intente "llamar" a donde no debe, sus intentos estarán limitados solo a Tor.
- Desarrollo de servicios anónimos: ¿Pruebas nuevos servicios .onion? Con Oniux no hay riesgo de que el software se "caiga" a la red normal por error.
- Privacidad garantizada: Si quieres la seguridad de que nadie conocerá tu IP, Oniux asegura que incluso ante un fallo la aplicación no te filtrará.
Se pueden ejecutar navegadores, clientes de correo, mensajería y otras aplicaciones Linux — lo importante es que sean aplicaciones para Linux.
¿Hay desventajas? Qué recordar
No todo es perfecto. Oniux es reciente y tiene pocas pruebas; en escenarios complejos (aplicaciones inusuales, sesiones complicadas) puede comportarse de forma inesperada. Para tareas críticas es preferible esperar a que la comunidad lo madure. Los desarrolladores piden: prueben y envíen informes de errores — así la herramienta llegará a estar lista para producción.
Conclusión: ¿un nuevo estándar de anonimato?
Oniux es una herramienta que podría cambiar el enfoque del anonimato en Linux. En lugar de los viejos "trucos", ofrece aislamiento a nivel del núcleo, sin rutas de escape y sin fugas accidentales. Sí: aún es el inicio y queda trabajo por delante. Pero la dirección es clara: más confianza en el espacio del núcleo, y menos en la "magia" del espacio de usuario.
Quienes no teman las soluciones nuevas ya pueden probar Oniux — quizá seas tú quien ayude a pulir este nuevo estándar de anonimato.
P.S. Para los más atrevidos — instrucciones y commits recientes en la página oficial de Oniux.
