ECH es la última pieza que le faltaba al protocolo TLS con el que se cifran las webs seguras HTTPS. Con ECH el nombre del dominio de una web, que hasta ahora se transmitía en texto plano, queda oculto, lo que impide a las redes de las operadoras analizarlo para ejecutar el bloqueo de contenidos.
- 1 Qué es ECH y cómo salta el bloqueo de webs
- 2 Por qué ECH no funciona siempre
- 3 ECH está activo por defecto en la mayoría de navegadores
- 4 Cómo activar DoH
- 5 Cómo comprobar que ECH está funcionando
Qué es ECH y cómo salta el bloqueo de webs
ECH (Encrypted Client Hello) es una extensión del protocolo TLS (Transport Layer Security) con el que funcionan las webs HTTPS, que soluciona el grave problema de privacidad que supone que el navegador indique dentro del campo SNI (Server Name Indication) en texto plano el nombre del dominio al que quiere acceder, lo que lo hace visible a terceros.
Esta debilidad es aprovechada por los sistemas de filtrado de contenidos que las operadoras tienen instalados en sus redes, para averiguar el dominio al que accede el usuario y aplicar bloqueos selectivos.
Con ECH, el mensaje ClientHello, que incluye el SNI y otros parámetros para establecer la comunicación de un navegador con un servidor web, viaja cifrado, dejando fuera de juego a los filtros DPI (Deep Packet Inspection).
Aunque este tipo de equipos son utilizados por los proveedores de internet para bloquear el acceso a webs ilegales, no hay que olvidar que en numerosas ocasiones su mal funcionamiento interfiere en el acceso a webs legítimas. Los ejemplos son numerosos:
- Twitch.tv bloqueado en España por el filtro de webs ilegales de las operadoras
- MásMóvil bloquea TinyURL en la enésima metida de pata del filtro de webs antipirateria
- El filtro de webs ilegales de Orange la vuelve a liar bloqueando Twitch
- Telefónica y LaLiga bloquean AceStream, popular reproductor completamente legal basado en VLC
- El sistema de filtrado de webs ilegales de Telefónica está bloqueando webs legítimas
Por qué ECH no funciona siempre
Para que ECH funcione, deben soportarlo tanto el navegador como el servidor. ECH sigue siendo un estándar en desarrollo en su fase final de aprobación, pero los principales navegadores ya lo soportan e incluso lo traen activo por defecto.
En la parte del servidor, Cloudflare lo activó en toda su red en octubre de 2023, aunque poco después lo deshabilitó alegando que estaba causando problemas. Finalmente, desde agosto de 2024 está de nuevo habilitado en toda su red CDN.
ECH está activo por defecto en la mayoría de navegadores
Hemos comprobado si ECH entra en acción al acceder a una web alojada en Cloudflare, utilizando las versiones actuales de los navegadores Chrome, Edge, Safari y Firefox y este es el resultado:
| Versión | Estado | |
|---|---|---|
| Google Chrome | 129 | ✅ Activo |
| Microsoft Edge | 125 | ✅ Activo |
| Apple Safari | 17.3 | ❌ Inactivo |
| Mozilla Firefox | 131 | ❌ Inactivo si no se activa DoH |
- Chrome soporta ECH desde la versión 117. Inicialmente era necesario activarlo manualmente accediendo a la URL
chrome://flags/#encrypted-client-hello, pero en la versión actual de Chrome ECH viene activo por defecto y no se puede desactivar. - En Firefox es requisito indispensable activar DNS over HTTPS para que automáticamente entre en efecto.
Cómo activar DoH
Además de ECH es recomendable activar DoH. Con DoH las peticiones de resolución de los nombres de dominio en su correspondiente IP, son enviadas cifradas como tráfico web. El tráfico DNS convencional sigue viajando en texto plano, así que no tiene sentido activar ECH si cualquier intermediario, o los servidores DNS por defecto de tu operadora, siguen teniendo acceso a los dominios a los que accedes.
Para activar DoH en Chrome:
- Abre el menú de los tres puntos verticales ⋮ situado a la derecha de la barra de direcciones y selecciona Configuración.
- En Privacidad y seguridad → Seguridad, deslizándote hacia abajo encontrarás la opción Usar DNS Seguro en la que debes activar el interruptor.
- Selecciona la opción Con para elegir en el selector desplegable el proveedor que prefieras, como Cloudflare, Google u Open DNS.
Cómo comprobar que ECH está funcionando
Hay varias páginas donde puedes comprobar si todo está en orden con tu navegador y efectivamente estás haciendo uso de ECH. La más sencilla de utilizar es la de Cloudflare. Pulsa el botón Comprobar mi navegador para comprobar si pasas los tests de DNS seguro y Secure SNI. Si es así, ECH está haciendo su trabajo.
Para confirmar que ECH inutiliza los filtros de las operadoras, hemos hemos elegido uno de los dominios que figuran en el listado de bloqueos de LaLiga y Telefónica como alojados en Cloudflare. Se trata de iptvwink.com, una plataforma de IPTV de pago con acceso a 17.000 canales de dudosa procedencia que yo jamás contrataría ni recomiendo su uso más allá de para hacer esta prueba. Con la herramienta Está caída puedes comprobar cómo la web continúa actualmente alojada tras los servidores de Cloudflare.
Al acceder desde una conexión de Orange con Chrome configurado de serie, nos encontramos con que el acceso es interceptado y bloqueado por la operadora. El conocido mensaje "Contenido bloqueado por requerimiento de la Autoridad Competente, comunicado a esta Operadora" se muestra sobre un fondo blanco.
Tras seguir el proceso indicado en este artículo, mágicamente la web pasa a estar disponible, sin necesidad de utilizar una VPN, lo que indica que los sistemas de análisis de tráfico de Orange han sido incapaces de determinar dónde está navegando el cliente.
