[bunker]/domains
guía

Alojar un servicio Tor oculto junto a un dominio claro

Empareja un .com en clearnet con un servicio oculto .onion. Conceptos de enrutamiento cebolla + notas jurisdiccionales.

v0idmask avatar@v0idmask2026-06-107 min read

Ejecutar un dominio clearnet y un servicio oculto Tor simultáneamente te da alcance de respaldo y resistencia a la censura—los usuarios legítimos llegan al .com, los visitantes conscientes de la privacidad llegan al .onion.

TL;DR Empareja un dominio clearnet registrado en bunkerdomains con un servicio oculto Tor para servir el mismo contenido en ambas redes. El dominio clearnet permanece bajo registro anónimo; el .onion vive completamente en Tor, sin DNS ni registrador involucrados.

Por qué emparejar direcciones clearnet y onion

Un dominio clearnet—.com, .is, .se, lo que sea—requiere resolución DNS y llega a usuarios que no ejecutan Tor. Una dirección .onion se enruta a través de tres saltos en la red Tor y nunca sale a clearnet, así que no hay IP pública para DDoS o incautación. Juntos obtienes mayor alcance más un respaldo difícil de censurar.

Casos de uso legítimos: plataformas para denunciantes, servicios enfocados en privacidad, medios de comunicación, foros de libertad de expresión, proveedores de contenido para adultos, intercambios de criptomonedas offshore. Todos operan legalmente en algún lugar; combinar clearnet y onion significa que usuarios comunes te encuentren vía Google mientras los defensores de la privacidad guardan el .onion en marcadores.

Enrutamiento cebolla Tor: lo esencial

Tor enruta el tráfico a través de tres relés seleccionados aleatoriamente—guardia, intermedio, salida—para anonimizar tu IP. Para un servicio oculto (también llamado "servicio onion"), el circuito termina en tu servidor: sin nodo de salida, sin IP clearnet expuesta. La dirección .onion es el hash de una clave pública criptográfica, no un dominio que registres.

Cuando un usuario de Tor Browser visita tu .onion, tanto cliente como servidor construyen circuitos de tres saltos a puntos de rendezvous; el apretón de manos sucede completamente dentro de Tor. El protocolo está documentado en la "Rendezvous Specification" del Tor Project—sin DNS, sin autoridad de certificados, sin registrador.

Configurar el servicio oculto

Instalar Tor

En Debian/Ubuntu:

apt update && apt install tor

En Alpine u otras distribuciones, instala el paquete tor desde tu gestor de paquetes.

Configurar torrc

Edita /etc/tor/torrc (o donde tu distro lo coloque). Añade:

HiddenServiceDir /var/lib/tor/hidden_service/
HiddenServicePort 80 127.0.0.1:8080

Reemplaza 8080 con cualquier puerto local en el que escuche tu servidor web. Si ejecutas TLS en el puerto 443 localmente, mapea eso también:

HiddenServicePort 443 127.0.0.1:8443

El HiddenServiceDir es donde Tor escribirá la clave privada y el nombre de host .onion.

Iniciar Tor y recuperar la dirección .onion

systemctl restart tor
cat /var/lib/tor/hidden_service/hostname

Verás algo como a2s5u3x7o4b6c8d1.onion (v2, obsoleto) o una dirección v3 de 56 caracteres qj4fmxyqak…xyz.onion. Usa v3; v2 es obsoleto y dejará de funcionar.

Apunta tu servidor web a localhost

Configura Nginx, Apache, Caddy, o lo que sea para escuchar en 127.0.0.1:8080. Tor reenvía el tráfico entrante de .onion a ese socket. Mismo contenido, misma aplicación—solo un oyente diferente.

Bloque de servidor Nginx de ejemplo:

server {
    listen 127.0.0.1:8080;
    server_name _;
    root /var/www/html;
    index index.html;
}

Reinicia Nginx. Los usuarios de Tor Browser ahora pueden visitar tu_dirección_onion_real.onion e ir a tu sitio.

Vincular clearnet a onion con Onion-Location

El encabezado HTTP Onion-Location le dice a Tor Browser "este sitio tiene una contraparte onion." Cuando un usuario de Tor visita tu dominio clearnet, Tor Browser muestra un botón .onion available en la barra de direcciones.

Añade a tu configuración clearnet de Nginx (la que sirve example.com):

add_header Onion-Location http://tudominioonion.onion$request_uri;

Reemplaza tudominioonion.onion con el actual .onion de /var/lib/tor/hidden_service/hostname. Recarga Nginx.

Ahora un visitante en Tor ve el botón, lo hace clic, y cambia al onion—misma sesión, mismo contenido, pero enrutado puramente a través de Tor.

TLS y certificados

Dominio clearnet

Tu dominio clearnet debe usar TLS (HTTPS). Let's Encrypt está bien; los detalles del registrador bunkerdomains se mantienen ocultos vía WHOIS de privacidad, y LE solo valida control de dominio—sin verificación de identidad. Instala certbot, apúntalo a tu webroot o DNS, obtén el certificado.

Dirección onion

TLS en .onion es opcional. Tor ya encripta el tráfico de extremo a extremo, así que un sitio .onion servido sobre HTTP simple está encriptado en tránsito. Si realmente quieres HTTPS (para evitar advertencias de contenido mixto o porque tu aplicación fuerza https://), entonces:

  • Usa un certificado autofirmado para la dirección .onion (los navegadores esperan esto y no advertirán—Tor Browser trata .onion como un contexto seguro).
  • Genera un certificado vía una CA que emita a direcciones .onion (raro; DigiCert y Harica lo hicieron para ciertos v3 onions bajo requisitos EV, pero es poco común).

La mayoría de operadores sirven .onion sobre HTTP y clearnet sobre HTTPS. Sin contenido mixto porque el onion nunca carga recursos clearnet externos.

Consideraciones DNSSEC

DNSSEC firma registros DNS para prevenir envenenamiento de caché. Si tu dominio clearnet tiene DNSSEC habilitado (vía el panel de control de bunkerdomains), los resolvedores verifican la cadena criptográfica desde raíz → TLD → tus servidores de nombres → tu registro A/AAAA.

La dirección .onion no usa DNS—se resuelve dentro de Tor vía la tabla hash distribuida de descriptores de servicio oculto. DNSSEC no tiene interacción cero con enrutamiento onion. Tu dominio clearnet puede tener DNSSEC; tu .onion simplemente… existe independientemente.

Habilita DNSSEC si tu modelo de amenaza incluye secuestro de DNS. Desactívalo si tus servidores de nombres no lo soportan o prefieres simplicidad. El onion no le importa de cualquier forma.

Jurisdicción y el registrador

Cuando registras un dominio en bunkerdomains—.com, .is, .se, .co—el registro de TLD (Verisign para .com, ISNIC para .is, etc.) mantiene el registro canónico. bunkerdomains proporciona:

  • Registro anónimo (sin KYC)
  • Solo pago en criptomonedas (Bitcoin, Monero)
  • WHOIS de privacidad gratis (campos de registrante redactados o anonimizados)
  • Sin respuestas a quejas DMCA enviadas a nosotros (somos offshore)

Pero el registro de TLD e ICANN aún existen. Un dominio .com puede ser suspendido vía acción a nivel de registro si una orden judicial llega allá. Por eso lo emparejas con un .onion: el servicio oculto tiene sin registrador, sin DNS, sin autoridad central. El Tor Project no "posee" .onion—es un nombre especial de nivel superior (RFC 7686) que solo se resuelve dentro de Tor.

Si tu dominio clearnet es incautado, eliminado, o envenenado por DNS, el .onion sigue ejecutándose mientras tu servidor esté en línea y Tor sea alcanzable. Conversamente, si la red Tor sufre un 0-day o una nación-estado bloquea guardias de entrada, tu dominio clearnet aún funciona para usuarios comunes.

Resumen de ejemplo de configuración

CapaTecnologíaAmenaza mitigada
Dominio clearnetbunkerdomains .com + WHOIS de privacidadDesanonimización del registrante
DNSDNSSEC (opcional)Envenenamiento de caché
TLS (clearnet)Let's EncryptAtaque del intermediario
Servicio onionServicio oculto Tor v3Exposición de IP, incautación de DNS, punto único de fallo
Encabezado Onion-LocationEncabezado HTTP o etiqueta metaCarga manual de marcadores para usuarios Tor

Tu contenido es idéntico en ambos. El dominio clearnet llega a la IP pública de tu servidor (o proxy); el .onion llega a 127.0.0.1:8080 vía Tor.

Consejos operacionales

  1. Monitorea ambos extremos. Configura verificaciones de tiempo de actividad para el dominio clearnet y el .onion (usa un servicio de monitoreo habilitado para Tor o ejecuta tu propio relé Tor para probar).
  2. Mantén Tor actualizado. apt upgrade tor regularmente. Los parches de seguridad importan.
  3. Registra cuidadosamente. Si registras solicitudes, los registros de acceso clearnet contienen IPs reales (a menos que proxies vía Cloudflare o similar). Los registros onion solo muestran 127.0.0.1—Tor nunca revela IPs de cliente a ti.
  4. Respalda la clave privada. Mencionado antes, pero vale la pena repetir: pierde /var/lib/tor/hidden_service/hs_ed25519_secret_key y tu dirección .onion se fue para siempre.
  5. Prueba con Tor Browser. No asumas que tu .onion funciona—realmente abre Tor Browser, pega la dirección, verifica.

Listo

Ahora tienes un dominio clearnet registrado anónimamente en bunkerdomains y un servicio oculto Tor sirviendo contenido idéntico. Los visitantes comunes llegan al .com; los defensores de la privacidad llegan al .onion. Ninguno depende de la infraestructura del otro, así que perder uno no mata al otro. Sáltate la fragilidad del registrador, sáltate el punto único de fallo de DNS—ejecuta ambos y deja que tus usuarios elijan su propio enrutamiento.

v0idmask avatar

@v0idmask

Security researcher

Spent a decade at large red team firms. Now does threat modeling for journalists, activists, anyone who actually needs it.

CompartirMastodonXRedditHacker News

Páginas que profundizan más

Análisis profundos preescritos que coinciden con los temas que toca esta guía.

Todas las guías