La mascota oso polar de NordBastion en una cripta-observatorio de piedra nórdica con un gran símbolo Tor en forma de cebolla violeta profundo flotando frente a él y lluvia de código matricial verde cibernético cayendo alrededor de las capas
Cómo hacerlo · Autoalojamiento·10 min de lectura · 20 min prácticos

Autoaloje un servicio oculto Tor v3.
Veinte minutos hasta su propio .onion.

Cinco pasos desde el aprovisionamiento de un VPS hasta una dirección onion v3 activa de 56 caracteres accesible solo a través de la red Tor. Probado en Debian 12 con el repositorio oficial del Proyecto Tor.

Los cinco pasos
  1. 01

    Aprovisionar

    Un VPS nórdico

  2. 02

    Instalar

    Paquete oficial de Tor

  3. 03

    Configurar

    Dos líneas en torrc

  4. 04

    Obtener dirección

    cat .../hostname

  5. 05

    Bastionar

    Permisos + aislamiento

Paso 01 · Aprovisionar

Cualquier bastión nórdico funciona. Tor se encarga de la geografía.

A diferencia de un sitio en clearnet, un servicio oculto no depende realmente de qué bastión físico lo aloja — los clientes le alcanzan a través de tres relés Tor, por lo que la latencia hasta el bastión apenas afecta a la experiencia del usuario. Elija el bastión donde tenga otras cargas de trabajo, o el que mejor se adapte a su modelo de amenaza (véase /guides/nordic-jurisdictions-for-privacy-hosting/).

El nivel Sentinel ($5,90/mes) es suficiente para un servicio oculto que aloje un sitio personal, un endpoint SSH compatible con Tor, o un pequeño espejo onion de Mastodon. Los servicios ocultos más grandes (instancia principal de Mastodon, intercambio de archivos, etc.) necesitan Garrison o Ravelin para la RAM y el disco adicionales.

Paso 02 · Instalar

Repositorio oficial del Proyecto Tor, no el paquete de la distribución.

El Tor empaquetado por la distribución suele estar meses por detrás de la versión principal y puede omitir correcciones de seguridad. Utilice el repositorio apt propio del Proyecto Tor:

apt install -y apt-transport-https gpg curl
curl -fsSL https://deb.torproject.org/torproject.org/A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89.asc \
  | gpg --dearmor -o /usr/share/keyrings/tor-archive-keyring.gpg
echo "deb [signed-by=/usr/share/keyrings/tor-archive-keyring.gpg] \
  https://deb.torproject.org/torproject.org bookworm main" \
  > /etc/apt/sources.list.d/tor.list
apt update
apt install -y tor deb.torproject.org-keyring

Verifique que el daemon está activo: systemctl status tor — debe informar Active (running). La configuración predeterminada no abre puertos entrantes y ejecuta Tor como cliente solo de relé; lo convertiremos en un servicio oculto en el siguiente paso.

Paso 03 · Configurar

Dos líneas en torrc. Eso es todo.

Abra /etc/tor/torrc y añada:

HiddenServiceDir /var/lib/tor/my_service/
HiddenServicePort 80 127.0.0.1:80

Dos cosas que saber. (1) HiddenServiceDir es donde Tor almacena la clave privada del servicio (el secreto que define la dirección .onion). Tor crea el directorio en el primer arranque; no edite su contenido. (2) HiddenServicePort mapea el puerto público del onion a un puerto local — aquí, el puerto 80 del onion va a 127.0.0.1:80 (nginx, Apache, cualquier cosa que escuche localmente). Añada más líneas HiddenServicePort para puertos adicionales (HTTPS en 443, SSH en 22, etc.).

Sea lo que sea a lo que enlace el destino local (nginx, sshd, gitea), asegúrese de que escuche en 127.0.0.1 — no en 0.0.0.0. Un servicio enlazado a 0.0.0.0 también es accesible en la IP pública, lo que anula la premisa de servicio solo oculto.

Paso 04 · Obtener la dirección

Reinicie Tor. Lea el archivo hostname.

Reinicie Tor y Tor generará el par de claves v3 y la dirección:

systemctl restart tor
cat /var/lib/tor/my_service/hostname
# example output:
# 7f43hp...long-string...7q.onion

Esa cadena base32 de 56 caracteres que termina en .onion es su dirección de servicio oculto. Se deriva de la clave pública Ed25519 en /var/lib/tor/my_service/hs_ed25519_public_key. Cualquiera con la dirección puede alcanzar el servicio a través de Tor Browser (o cualquier cliente compatible con Tor). Pruébelo: abra Tor Browser, pegue la dirección y pulse intro — su servicio web debería responder.

Realice una copia de seguridad del contenido de /var/lib/tor/my_service/ en un lugar seguro. Perder las claves significa perder la dirección .onion — no se puede recuperar. Compartir las claves significa que cualquiera que las tenga puede ejecutar el mismo .onion desde cualquier servidor.

Paso 05 · Endurecer

Permisos, aislamiento, eliminación de banners. La parte aburrida pero crítica.

1. Verifique que el servicio se ejecuta como usuario debian-tor, no como root. apt install se encarga de esto en Debian/Ubuntu. Verifique: ps aux | grep tor — el uid no debe ser 0.

2. Bloquee las claves. chmod 700 /var/lib/tor/my_service/ — solo debian-tor puede leer. Tor se niega a arrancar si el directorio es legible por todos.

3. Elimine los banners del servidor. nginx: server_tokens off; en el contexto http. Apache: ServerTokens Prod, ServerSignature Off. Aplicación web: elimine X-Powered-By, establezca Server: en blanco si su proxy inverso lo permite. El objetivo es que una respuesta HTTP del .onion no filtre la IP ni el hostname.

4. Desactive las fugas de DNS salientes. Su aplicación web no debe resolver nombres de dominio externos bajo demanda, o esas consultas DNS saldrán del VPS por clearnet. Configure la aplicación para usar el proxy SOCKS de Tor para las llamadas salientes (127.0.0.1:9050).

5. Configure Onion-Location en su sitio clearnet. Añada este encabezado a su configuración nginx clearnet: add_header Onion-Location http://<your-onion>.onion$request_uri; — los usuarios de Tor Browser ahora reciben un aviso para redirigir automáticamente a la dirección onion.

FAQ · Tor

Preguntas, respondidas.

Ocho preguntas que un operador de servicio oculto por primera vez hace.

¿Qué es una dirección onion v3 y en qué se diferencia de la v2?

Una dirección onion v3 es una cadena base32 de 56 caracteres que termina en .onion, derivada de una clave pública Ed25519. La v2 (obsoleta y deshabilitada por Tor desde 2021) usaba una base32 de 16 caracteres de una clave RSA-1024 truncada — corta, pero criptográficamente mucho más débil. La v3 tiene una clave más sólida (Ed25519), mejor privacidad de directorio (sin enumeración de servicios), soporte de autorización de cliente, y es la única versión aún operativa. Si ve una dirección .onion de 16 caracteres, está inactiva.

¿Un servicio oculto Tor filtra la IP de mi servidor?

Uno correctamente configurado no lo hace. Tor se conecta desde su VPS a tres relés de Tor (un guardia, un intermediario, un punto de encuentro) y nunca acepta conexiones entrantes directamente en la IP del VPS. El servicio oculto solo es accesible a través del circuito Tor. Configuraciones erróneas que SÍ filtran la IP: ejecutar el servicio en un puerto público (debe estar vinculado a 127.0.0.1), fugas de DNS desde la aplicación web alojada, el software del servidor que imprime la IP en las respuestas salientes. La lista de verificación estándar a continuación cubre cada caso.

¿Puede mi proveedor VPS ver lo que hay en el servicio oculto?

Su proveedor de VPS ve tráfico Tor saliente desde su VPS — saben que «este servidor ejecuta Tor» pero no qué contenido se alcanza. No pueden ver lo que hay en el servicio oculto desde el exterior; sí pueden ver lo que hay en el disco desde el interior, como cualquier proveedor de VPS. NordBastion no accede a los discos de los clientes, pero un servidor que no controla con cifrado completo del disco es un servidor que un operador podría leer teóricamente. Para una privacidad absoluta del servicio oculto, ejecute LUKS con una frase de contraseña que solo usted tenga — Servury lo incluye de serie en hardware propio; otros (incluido NordBastion) lo dejan como instalable por el cliente.

¿Cómo obtengo una dirección .onion personalizada (p. ej., que empiece con el nombre de mi marca)?

Use mkp224o — una herramienta de código abierto que aplica fuerza bruta sobre pares de claves Ed25519 hasta que la dirección v3 resultante comienza con un prefijo elegido. Un prefijo de 4 caracteres se encuentra en minutos en un portátil moderno; uno de 7 caracteres tarda unas horas; 10 o más caracteres requieren semanas o meses con hardware dedicado. La dirección onion resultante es criptográficamente válida — la fuerza bruta solo encuentra la clave cuya parte pública hasheada comienza con los caracteres deseados.

¿Qué tan rápido es un servicio oculto?

Más lento que clearnet. Tor enruta a través de tres relés, por lo que cada ida y vuelta añade ~300-800 ms de latencia. El rendimiento está limitado por el relé más lento del circuito elegido; espere 1-5 MB/s de media para contenido estático, menos para cargas de trabajo interactivas. Tor introdujo optimizaciones de «ancho de banda HSDir» y HiddenServiceSingleHopMode para los casos en que no se requiere anonimato en el lado del servicio.

¿Debo usar HiddenServiceSingleHopMode?

Solo si su modelo de amenaza acepta que el lado del SERVICIO es públicamente conocido (por ejemplo, ya ha publicado «este onion se ejecuta en mi servidor en Iceland»). El modo de un solo salto omite los relés de guardia+intermediario en el lado del servicio y se conecta directamente al punto de encuentro, lo que es más rápido (200-400 ms menos de latencia) pero no protege la IP del lado del servicio. Los clientes siguen obteniendo privacidad completa de tres saltos en su lado. Para un servicio oculto que necesita anonimato del lado del servidor, déjelo deshabilitado (el predeterminado).

¿Puedo ejecutar un servicio oculto en el mismo VPS que mi sitio clearnet?

Sí, y muchos sitios lo hacen. El servidor web en clearnet escucha en la IP pública en el puerto 80/443; el servicio oculto de Tor apunta al mismo servidor web en 127.0.0.1 en los mismos puertos. Ambos llegan al mismo contenido. Dos notas operacionales: (1) asegúrese de que el servidor web no estampe la IP pública en las cabeceras (Server, X-Real-IP, banners de hostname), y (2) establezca la cabecera HTTP Onion-Location en el sitio de clearnet para que los usuarios de Tor Browser sean redirigidos automáticamente a la dirección onion.

¿Qué es Vanguards / Vanguards-lite?

Un complemento de Tor (Vanguards) que fija el relé de guardia en el lado del servicio, mitigando una clase de ataques en los que un atacante observa qué guardias rota el servicio y lo usa para desanonimizar. Vanguards-lite está integrado en el demonio Tor desde la versión 0.4.7 y está habilitado por defecto para servicios ocultos en las versiones actuales de Tor — generalmente no necesita hacer nada para beneficiarse de él. El complemento Vanguards completo es excesivo para la mayoría de los servicios ocultos personales y resulta útil principalmente para objetivos de alto valor.

Listo

Ordene un VPS y ponga su servicio en la dirección onion.

Ver catálogo de VPS A continuación: endurecer el VPS O: VPN WireGuard

Última revisión · 2026-05-20 · Probado · Debian 12 · Tor 0.4.8+

Part of the series

Anonymous VPS hosting in 2026 — the cluster.

This guide is one spoke of a larger series. The pillar walks the three privacy layers end to end — the sibling spokes below dive into the specifics.

Guía pilar
Read the pillar · Anonymous VPS hosting in 2026

Three independent layers — signup, payment, network — explained, legal context included, common mistakes flagged.

Open the pillar
Self-host · network
WireGuard VPN on a VPS

Your own WireGuard tunnel — server config, peer keys, kill-switch.

Continue →
Fundamentals
No-KYC VPS, explained

What “no KYC” actually means — and what it does not.

Continue →
Fundamentals
Nordic jurisdictions for privacy hosting

Why Sweden, Finland, Norway and Iceland — the legal floor of each.

Continue →
Pagos
How to pay a VPS with Monero

XMR end-to-end — wallet, transfer, confirmations, change.

Continue →