A raíz de los problemas de navegación que los clientes de O2 y de Movistar
llevan días experimentando
se ha hablado mucho acerca de Cloudflare, el popular proveedor de servicios de internet. La razón es que la
incidencia solo afecta a los sitios web que usan los servicios de Cloudflare,
impidiendo el acceso a estas páginas web a menos que utilicemos una VPN para
conectarnos.
La
lucha de LaLiga contra las retransmisiones ilegales de fútbol se ha topado con un obstáculo inesperado: ECH
(Encrypted Client Hello), un protocolo de cifrado que protagoniza el gran
conflicto y los daños colaterales de esta batalla, que salpica a miles de
empresas.
TLS no tenía cifrado del protocolo antes de la última
versión, TLS 1.3. Tras las
revelaciones de Snowden en 2013, la comunidad del IETF
comenzó a considerar formas
de contrarrestar la amenaza que la vigilancia masiva suponía para la red de
Internet pública. Cuando se inició el proceso de estandarización de la versión
TLS 1.3 en 2014, uno de sus objetivos de diseño era cifrar el protocolo de
enlace lo máximo posible. Desafortunadamente, el estándar final no incluye el cifrado completo del protocolo de enlace, y varios parámetros, incluida
la SNI, todavía se envían sin cifrar. Echemos un vistazo al porqué.
Todo comenzó cuando
Cloudflare implementó en octubre de 2023
el
Protocolo ECH (Encrypted Client Hello), una extensión de TLS que impide a las operadoras identificar qué dominio
específico está solicitando el usuario. Este protocolo hace técnicamente
imposible que las operadoras puedan ver qué dominio específico solicita un
usuario.
En contraste ECH funciona como una capa adicional de cifrado que oculta
completamente el destino final de una conexión: cuando un usuario intenta
acceder a una web, su navegador inicia una «negociación» cifrada (handshake
TLS) con el servidor.
ECH cifra el protocolo de enlace completo para que estos metadatos se mantengan en secreto. Sin duda, esto corrige un antiguo fallo de privacidad al proteger el Server Name Indication (SNI) contra los intrusos de la red. El cifrado del campo SNI es importante porque es la indicación más clara sobre el servidor con el que se está comunicando un cliente determinado.
Sin ECH, las operadoras podían ver qué dominio solicitaba cada usuario y
bloquear selectivamente. Antes de ECH, aunque esta conexión estaba cifrada, el
nombre del dominio viajaba «en claro» para que los servidores intermedios
pudieran enrutar el tráfico.
Con ECH, el nombre del dominio también va cifrado, imposibilitando que las
operadoras sepan a qué web concreta está accediendo el usuario. Con ECH
activado, solo ven una IP cifrada que podría estar sirviendo tanto contenido
legal como ilegal.
El sistema se complica aún más porque Cloudflare usa IPs compartidas: una
misma dirección IP puede alojar cientos o miles de webs diferentes.
Esto deja dos opciones a las operadoras: bloquear toda la IP (afectando a
cientos o miles de sitios) o no bloquear nada. Cuando eligen lo primero llegan
las
webs legítimas bloqueadas.
La plataforma actúa como una especie de filtro entre el usuario y el servidor
en el que se aloja la página web en cuestión y cuenta con diferentes ventajas
a nivel de de seguridad y velocidad. Una de las herramientas que conviene
tener presentes en este asunto es ECH (Encrypted Client Hello),
una extensión para el protocolo TLS.
ECH es una herramienta de privacidad que cifra el nombre de dominio al que
está accediendo el usuario,
complicando mucho las cosas a los operadores que quieran bloquear un
determinado sitio web. Cloudflare habilitó ECH
a mediados de 2023, aunque poco después
decidía desactivarlo
durante un tiempo debido a problemas en su despliegue, pero desde verano de
2024
se encuentra de nuevo disponible. Aunque inicialmente era necesario
habilitar una flag
en Google Chrome para usar ECH, a día de hoy
viene habilitado por defecto en el navegador de Google.
Para evitar los bloqueos, que además se traducen en una crisis reputacional,
algunas operadoras están recurriendo a técnicas alternativas como:
- análisis de patrones de tráfico.
- Inspección profunda de paquetes (DPI).
-
Bloqueo por
SNI
(Indicación del Nombre del Servidor) cuando ECH no está activo.
Pero estas soluciones son complejas, costosas y no siempre efectivas. El
conflicto ha escalado, Movistar ha suavizado sus bloqueos,
DIGI los ha endurecido
y Vodafone dice tener una solución más precisa aunque no ha revelado detalles
todavía.
ECH ha supuesto un cambio enorme en la arquitectura de Internet. El
precedente de
Austria, donde se prohibieron los bloqueos de IPs
para proteger la neutralidad de la red, nos sugiere que el modelo actual de
regulación necesita adaptarse a esta nueva realidad.
Mientras tanto, el pulso entre LaLiga y Cloudflare persiste, y miles de
empresas españolas también siguen atrapadas en medio del conflicto. Inlcuso
Cloudflare ha iniciado acciones legales a LaLiga.
Fuente:
Xataka