Qué es un servicio oculto de Tor
Un servicio oculto de Tor —también llamado servicio onion— es un sitio web o una aplicación accesible únicamente a través de la red Tor, en una dirección que termina en .onion. A diferencia de un sitio web ordinario, no tiene una dirección IP pública ni aparece en el DNS. Los visitantes acceden a través de Tor, y la conexión entre el visitante y el servidor se enruta de forma que ninguno de los dos extremos conoce la ubicación ni la IP del otro.
Este es un modelo diferente y más robusto que el de poner un sitio web normal detrás de medidas de privacidad. Con un servicio onion, el anonimato está integrado en el propio protocolo: la ubicación del servidor está oculta por diseño, no por una configuración que podría fallar. No hay dirección IP que filtrar, ningún registro DNS que requisar ni una IP de alojamiento que nadie pueda escanear o atacar. La propia dirección se deriva de una clave criptográfica, por lo que no puede falsificarse. Es, en un sentido real, la forma más sólida de alojamiento anónimo disponible.
Por qué alojar un servicio oculto
Los servicios onion son utilizados por una amplia variedad de operadores legítimos: organizaciones de noticias que gestionan líneas seguras para fuentes, los sistemas de envío SecureDrop en los que confían los periodistas, proyectos centrados en la privacidad que ofrecen un espejo resistente a la censura, herramientas de mensajería e intercambio de archivos, y particulares que simplemente quieren un sitio cuya ubicación en el servidor nadie pueda determinar. Grandes organizaciones —desde importantes periódicos hasta conocidos proyectos de software— gestionan servicios onion precisamente porque son robustos.
Las razones se reducen a tres propiedades. Privacidad de ubicación: el servidor no puede encontrarse por su IP, por lo que no puede geolocalizarse, escanearse ni atacarse directamente. Resistencia a la censura: no hay IP ni dominio que una red pueda bloquear, por lo que el servicio permanece accesible donde otros sitios están filtrados. Cifrado extremo a extremo: el protocolo de Tor cifra la conexión por defecto, sin intervención de ninguna autoridad de certificación. Si alguna de esas propiedades importa a tu proyecto, merece la pena ejecutar un servicio oculto — y esta guía te explica cómo hacerlo.
Qué necesitas
Los requisitos son modestos:
- Un VPS. Un servicio onion es ligero; un plan pequeño es suficiente. Elegir un VPS offshore sin KYC importa aquí por una razón específica que se explica más adelante: el anonimato del servicio depende en parte del anonimato del propio servidor.
- Una instalación limpia de Linux — Debian o Ubuntu para los comandos de esta guía.
- El Tor Browser en tu propio equipo, para acceder al servicio terminado y probarlo.
No necesitas un nombre de dominio — la dirección .onion se genera automáticamente — ni un certificado TLS, porque Tor proporciona el cifrado.
Paso 1 — Configura el servidor y un servicio web
Aprovisiona el VPS y conéctate por SSH. Instala lo que vaya a servir tu contenido — para un sitio sencillo, un servidor web ligero como nginx, instalado con apt install -y nginx, es la opción ideal.
El detalle de configuración importante: vincula el servidor web únicamente a localhost. El servicio web debe escuchar en [redacted-ip], no en la IP pública del servidor. Tor se conectará a él de forma local; nada debería alcanzarlo directamente desde internet. Vincular a localhost significa que, aunque el servidor tenga una IP pública, el sitio web en sí no se sirve en ella — solo Tor puede acceder al contenido. Confirma que el sitio funciona localmente con un rápido curl [redacted-ip] antes de continuar.
Paso 2 — Instala Tor y configura el servicio onion
Instala Tor con apt install -y tor. Luego edita el archivo de configuración de Tor, /etc/tor/torrc, para definir el servicio oculto. Bastan dos líneas: una directiva HiddenServiceDir que apunte a un directorio donde Tor almacenará las claves del servicio, y una HiddenServicePort que mapee el puerto virtual 80 hacia tu servidor web local — por ejemplo HiddenServicePort 80 [redacted-ip].
Reinicia Tor con systemctl restart tor. En el primer arranque, Tor genera el par de claves criptográficas del servicio en el directorio que hayas indicado y deriva la dirección .onion a partir de ellas. Ese directorio contiene ahora la identidad de tu servicio — hazle una copia de seguridad en lugar seguro y asegúrate de que solo el usuario Tor pueda leerlo. Quien tenga esas claves puede suplantar tu servicio; si las pierdes, la dirección desaparece para siempre.
Paso 3 — Obtén tu dirección .onion y pruébala
Tor escribe la dirección en un archivo llamado hostname dentro del HiddenServiceDir. Léelo con cat y verás una dirección de 56 caracteres que termina en .onion — esa es la dirección pública de tu servicio.
Abre el Tor Browser en tu propio equipo, pega la dirección y cárgala. Tu servicio web restringido a localhost debería aparecer, servido íntegramente a través de Tor. La primera conexión puede tardar unos segundos mientras Tor construye el circuito. Eso es todo — el servicio está activo, accesible para cualquier persona con Tor, y su ubicación en el servidor está oculta para todos los visitantes.
Paso 4 — Refuérzalo para que siga siendo anónimo
Un servicio onion funcional no es automáticamente anónimo. El protocolo oculta la ubicación del servidor a los visitantes — pero varios errores pueden deshacerlo. La disciplina que mantiene el anonimato:
- Vincula todo a localhost. Verifica de nuevo que el servidor web, así como cualquier base de datos o backend, escuchen únicamente en
[redacted-ip]. Un servicio expuesto accidentalmente en la IP pública puede correlacionarse con el sitio onion y desanonimizarlo. - Elimina el contenido identificativo. Los banners del servidor, las páginas de error predeterminadas, los scripts de analítica y los metadatos de los archivos pueden filtrar el servidor real o vincularlo con otros sitios. Audita lo que el servicio envía realmente.
- Adminístralo de forma anónima. Accede al servidor para administrarlo también a través de Tor — nunca le hagas SSH directamente desde tu IP doméstica. El servicio onion oculta el servidor; no lo deshaga tu propia conexión.
- Mantén el propio servidor anónimo. Por eso importa el VPS offshore sin KYC: si el servicio alguna vez se correlaciona con su anfitrión a pesar de tus precauciones, el anfitrión debería ser un proveedor que no guarda ninguna identidad para la cuenta y no conserva registros. El servicio oculto y el servidor anónimo se refuerzan mutuamente.
- Desactiva todo lo que realice llamadas externas. El software que establece conexiones salientes — actualizaciones automáticas, fuentes externas, APIs de terceros — puede filtrar el servidor. Mantén el servicio autocontenido.
Servicio oculto, clearnet, o ambos
No tienes que elegir exclusivamente. Existen tres configuraciones sensatas. Un sitio exclusivo de servicio oculto es el más privado — sin presencia en clearnet en absoluto, ideal para una línea de denuncias o un servicio que no debe poder localizarse. Un sitio clearnet con espejo onion sirve a una audiencia ordinaria de forma normal y ofrece al mismo tiempo una ruta privada resistente a la censura para quienes la prefieran — esto es lo que hacen las grandes organizaciones de noticias. Y un sitio exclusivamente en clearnet, tratado en nuestra guía sobre cómo alojar un sitio web de forma anónima, es más sencillo cuando la privacidad de ubicación a nivel de protocolo no es necesaria.
Para el mayor anonimato posible, un servicio oculto exclusivo sobre un VPS offshore sin KYC es la respuesta: el servidor no tiene ninguna identidad asociada, el servicio no tiene IP que encontrar y el conjunto es accesible para cualquier persona con Tor e inencontrable para cualquiera. Configurado con la disciplina descrita anteriormente, es alojamiento genuinamente anónimo — no como afirmación de marketing, sino como propiedad del protocolo.