A raíz de los problemas de navegación que los clientes de O2 y de Movistar llevan días experimentando se ha hablado mucho acerca de Cloudflare, el popular proveedor de servicios de internet. La razón es que la incidencia solo afecta a los sitios web que usan los servicios de Cloudflare, impidiendo el acceso a estas páginas web a menos que utilicemos una VPN para conectarnos.
La lucha de LaLiga contra las retransmisiones ilegales de fútbol se ha topado con un obstáculo inesperado: ECH (Encrypted Client Hello), un protocolo de cifrado que protagoniza el gran conflicto y los daños colaterales de esta batalla, que salpica a miles de empresas.
TLS no tenía cifrado del protocolo antes de la última versión, TLS 1.3. Tras las revelaciones de Snowden en 2013, la comunidad del IETF comenzó a considerar formas de contrarrestar la amenaza que la vigilancia masiva suponía para la red de Internet pública. Cuando se inició el proceso de estandarización de la versión TLS 1.3 en 2014, uno de sus objetivos de diseño era cifrar el protocolo de enlace lo máximo posible. Desafortunadamente, el estándar final no incluye el cifrado completo del protocolo de enlace, y varios parámetros, incluida la SNI, todavía se envían sin cifrar. Echemos un vistazo al porqué.
Todo comenzó cuando Cloudflare implementó en octubre de 2023 el Protocolo ECH (Encrypted Client Hello), una extensión de TLS que impide a las operadoras identificar qué dominio específico está solicitando el usuario. Este protocolo hace técnicamente imposible que las operadoras puedan ver qué dominio específico solicita un usuario.
En contraste ECH funciona como una capa adicional de cifrado que oculta completamente el destino final de una conexión: cuando un usuario intenta acceder a una web, su navegador inicia una "negociación" cifrada (handshake TLS) con el servidor.
ECH cifra el protocolo de enlace completo para que estos metadatos se mantengan en secreto. Sin duda, esto corrige un antiguo fallo de privacidad al proteger el Server Name Indication (SNI) contra los intrusos de la red. El cifrado del campo SNI es importante porque es la indicación más clara sobre el servidor con el que se está comunicando un cliente determinado.
Sin ECH, las operadoras podían ver qué dominio solicitaba cada usuario y bloquear selectivamente. Antes de ECH, aunque esta conexión estaba cifrada, el nombre del dominio viajaba "en claro" para que los servidores intermedios pudieran enrutar el tráfico.
Con ECH, el nombre del dominio también va cifrado, imposibilitando que las operadoras sepan a qué web concreta está accediendo el usuario. Con ECH activado, solo ven una IP cifrada que podría estar sirviendo tanto contenido legal como ilegal.
El sistema se complica aún más porque Cloudflare usa IPs compartidas: una misma dirección IP puede alojar cientos o miles de webs diferentes.
Esto deja dos opciones a las operadoras: bloquear toda la IP (afectando a cientos o miles de sitios) o no bloquear nada. Cuando eligen lo primero llegan las webs legítimas bloqueadas.
La plataforma actúa como una especie de filtro entre el usuario y el servidor en el que se aloja la página web en cuestión y cuenta con diferentes ventajas a nivel de de seguridad y velocidad. Una de las herramientas que conviene tener presentes en este asunto es ECH (Encrypted Client Hello), una extensión para el protocolo TLS.
ECH es una herramienta de privacidad que cifra el nombre de dominio al que está accediendo el usuario, complicando mucho las cosas a los operadores que quieran bloquear un determinado sitio web. Cloudflare habilitó ECH a mediados de 2023, aunque poco después decidía desactivarlo durante un tiempo debido a problemas en su despliegue, pero desde verano de 2024 se encuentra de nuevo disponible. Aunque inicialmente era necesario habilitar una flag en Google Chrome para usar ECH, a día de hoy viene habilitado por defecto en el navegador de Google.
Para evitar los bloqueos, que además se traducen en una crisis reputacional, algunas operadoras están recurriendo a técnicas alternativas como:
- análisis de patrones de tráfico.
- Inspección profunda de paquetes (DPI).
- Bloqueo por SNI (Indicación del Nombre del Servidor) cuando ECH no está activo.
Pero estas soluciones son complejas, costosas y no siempre efectivas. El conflicto ha escalado, Movistar ha suavizado sus bloqueos, DIGI los ha endurecido y Vodafone dice tener una solución más precisa aunque no ha revelado detalles todavía.
ECH ha supuesto un cambio enorme en la arquitectura de Internet. El precedente de Austria, donde se prohibieron los bloqueos de IPs para proteger la neutralidad de la red, nos sugiere que el modelo actual de regulación necesita adaptarse a esta nueva realidad.
Mientras tanto, el pulso entre LaLiga y Cloudflare persiste, y miles de empresas españolas también siguen atrapadas en medio del conflicto. Inlcuso Cloudflare ha iniciado acciones legales a LaLiga.
Fuente: Xataka