Banda Ancha EU

Información independiente
sobre fibra, móvil y ADSL

  • 📰 Artículos

Así bloquean las webs de streaming IPTV Movistar, Vodafone, Orange y MásMóvil

Josh
IPTV censurado por Telefónica

El bloqueo de webs de todo tipo por las más diversas razones es una realidad en el día a día del internauta español. Las operadoras ejercen censura sobre las webs a las que podemos acceder, siguiendo instrucciones, bien de la autoridad judicial o de algunas de las entidades autorizadas para hacerlo. En este artículo te contamos qué sistema usan Movistar, Vodafone, Orange, MásMóvil y Euskaltel, cada una con sus respectivas submarcas, para decidir los contenidos a los que pueden acceder sus clientes.

Telefónica decide cada semana qué webs IPTV se bloquean

En febrero Telefónica consiguió que un juez le permita ser la entidad que decide qué nuevas webs de streaming son bloqueadas por los principales proveedores de Internet, de forma que los usuarios no puedan acceder a ellas desde España. Desde entonces, la división audiovisual de Telefónica mantiene un listado de webs que el resto de grandes operadoras están obligadas a censurar. La información de este listado se actualiza semanalmente con los nuevos dominios de streaming IPTV que a juicio de Telefónica no deben verse desde nuestro país.

Para saber cómo las operadoras españolas ejercen la censura y las medidas técnicas que utilizan para hacerlo, hemos tomado uno de los dominios prohibidos y hemos comparado la respuesta que se obtiene al intentar navegar desde diferentes conexiones. Para ello utilizamos la base de datos del Open Observatory of Network Interference, cuya app permite a sus usuarios comprobar si un servicio está bloqueado desde su ISP, comparándolo con el funcionamiento desde un acceso sin censura.

La URL que hemos elegido es pirlotvonline.net, uno de los varios dominios utilizados por Pirlo TV HD en su intento por evadir la censura. Sabemos que la web funciona perfectamente si accedemos mediante algo tan simple como el traductor de Google. También nuestra herramienta ¿No Funciona? muestra que la web resuelve y responde. ¿Pero qué ocurre al hacerlo desde un hogar con una de las conexiones de las principales operadoras?

Cómo censuran webs las operadoras

OperadoraSistema autónomoTipo de bloqueo
Movistar3352Inspección de paquetes con FortiGate
Vodafone12430Inspección de paquetes con Allot
Orange12479Bloqueo DNS resolviendo a 127.0.0.1
MásMóvil15704Inspección de paquetes
Yoigo16299Bloqueo DNS resolviendo a 192.168.1.254
Euskaltel12338Bloqueo DNS no resuelve

Las operadoras ejercen el bloqueo principalmente mediante dos sistemas. El primero y más sencillo es falseando la respuesta del servidor DNS, de forma que el usuario intenta acceder a una dirección IP que no tiene un servidor web escuchando, resultando en un error de navegación. Es el sistema utilizado por Orange, MásMóvil en la red móvil de Yoigo y Euskaltel.

El segundo método, mucho más efectivo, consiste en inspeccionar el tráfico del usuario analizando la conversación entre nuestro dispositivo y el servidor de destino para descubrir si estamos accediendo a una de las webs prohibidas. En ese caso se intercepta la comunicación enviándonos una respuesta falsa en forma de un HTML con un error. Es el sistema que utilizan Movistar, Vodafone y MásMóvil en su red fija. La inspección DPI es efectiva incluso cuando accedemos sobre HTTPS, al analizar el diálogo inicial en el que el navegador cliente manda en texto plano el nombre del dominio al que desea acceder.

Movistar

Movistar utiliza el producto comercial FortiGate, manteniendo dentro de su red máquinas cuyo cometido es inspeccionar los paquetes de tráfico mediante DPI. El HTML con el que responde contiene información sobre el servidor que ha realizado la interceptación dentro del campo FGT_HOSTNAME.

<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01//EN">
<!--
CATEGORY:  
DEST_IP:  172.67.150.14
FGT_HOSTNAME:  RFFBTB1-01
SOURCE_IP:  [REDACTED]
-->
<html>
  <head>
    <title id="3">
      Error 404 
    </title>
  </head>
  <body>
    <CENTER>
      <h1>
        ERROR 404 - File not found
      </h1>
    </CENTER>
  </body>
</html>
HTML que obtenemos al acceder a pirlotvonline.net desde Movistar

Vodafone

DPI de Allot

Vodafone utiliza el sistema DPI de Allot. En el HTML con el que responde, Vodafone se exculpa indicando que es ajena a las razones del bloqueo. El sistema de Allot incluso es capaz de generar un certificado SSL falso suplantando el de la web genuina.

<META HTTP-EQUIV="Pragma" CONTENT="no-cache"><META HTTP-EQUIV="Expires" CONTENT="-1"><html>Por causas ajenas a Vodafone, esta web no está disponible</html>
HTML falseado por Vodafone

Orange

Según los registros de OONI, Orange interceptaba hasta hace poco mediante DNS, haciendo que el dominio resuelva en la IP 127.0.0.1, que apunta al propio dispositivo del usuario, por lo que da un error muy poco explicativo.

El usuario @albertosapiens mantiene un hilo actualizado con las URLs bloqueadas desde Orange y advierte que la operadora podría haber empezado a usar DPI en vez de bloqueo DNS en las últimas semanas.

MásMóvil

El DPI de MásMóvil responde con un breve HTML muy poco explicativo.

<html><body>Object not found</body></html>
HTML al acceder desde MásMóvil y sus submarcas

En la red móvil de su marca Yoigo, MásMóvil simplemente bloquea por DNS apuntando a la IP privada 192.168.1.254, resultado de nuevo en un error que poco tiene que ver con la razón del bloqueo.

Euskaltel

Las marcas del grupo Euskaltel bloquean mediante DNS, pero en este caso no se ofrece una IP sino que simplemente se responde con un error de resolución.

Cómo evadir el bloqueo de webs

Anomalia detectada por OONI

Si el bloqueo que utiliza tu operadora es DNS, en la mayoría de los casos evitarlo será algo tan sencillo como cambiar los DNS configurados en el router de tu ISP por unos públicos como los que proporciona Google o Cloudflare.

La cosa se complica cuando se trata de bloqueo DPI, aunque algunas pruebas señalan que manteniendo la conexión suspendida durante 10 segundos justo antes de enviar el header Host provocará que la máquina DPI cierre la inspección, permitiendo a partir de ese momento acceder a la web. Otra técnica consiste en enviar un final de línea distinto (\r\n en vez de \n) tras el header Host. Evidentemente, los navegadores habituales no permiten un control tan exhaustivo del diálogo cliente-servidor, aunque todo es cuestión de encontrar la extensión que lo haga.

Aeri
2

Muy interesante. No sabía que había operadoras que bloqueaban exclusivamente a nivel de DNS, mucho menos costoso que inspeccionar cada paquete de cada usuario. Para evitar esto se está popularizando mucho el Encrypted Client Hello o antes llamado Encrypted SNI que está promoviendo CloudFlare para que se encripte el nombre del servidor y no puedan aplicar el metodo de inspección profunda de paquetes. Funciona bastante bien con Firefox que lo soporta y la mayoría de sitios de Cloudflare (que son muchos).

Curro1
2

En Jazztel (Orange) ya no censuran los dominios de TV pirata por DNS como hacían antes. Ahora cuando pillan uno, lo bloquean independientemente de qué DNS estés usando. Lo he probado incluso con DNScrypt y DNS sobre https usando servidores DNS internacionales.

En el caso del dominio de ejemplo (pirlotvonline), me sale ésto, usando DNS de Países Bajos:

Contenido bloqueado por requerimiento de la Autoridad Competente, comunicado a esta Operadora

Con la APP de IPTV, lo mismo cuando la bloquean: o tirar de VPN, o pulsar botón de "Actualizar servidores" para acceder a otro dominio e IP diferente.

Sin embargo, para webs de descarga se accede sin problemas utilizando servidores DNS extranjeros. Parece que tienen diferentes niveles de bloqueo, y los eventos en directo y TV lineal les toca la moral, a pesar de que ya no nos dejan contratar la TV (la quitaron).

🗨️ 4
shalty
1

Suscribo lo dicho, conexión de Orange directa (fibra 100), sale esto con la URL del ejemplo (y openDNS)

<META HTTP-EQUIV="Pragma" CONTENT="no-cache"><META HTTP-EQUIV="Expires" CONTENT="-1"><html>Contenido bloqueado por requerimiento de la Autoridad Competente, comunicado a esta Operadora</html>
BocaDePez
BocaDePez

¿Cómo sabes que bloquean por IP y no por inspección del SNI (lo que están llamando DPI)? Es algo que tiene más sentido ya que bloquear una IP puede bloquear muchas webs. Tu solo has echo pruebas de DNS, lo cual descarta que bloqueen por DNS, pero no por SNI.

🗨️ 2
Curro1

Pudiera ser, tienes razón, solo que cada vez que cambian de dominio bloqueado, también cambian de IP en este servicio, así que como nunca apunta a la misma IP, no puedo saberlo. Lo más razonable es que hagan inspección de paquetes igual que el resto.

albertosapiens

Por IP no bloquean, al menos Orange, pero no puedes usar la IP porque a la siguiente petición el servidor de redirige al dominio si lo tiene.

BocaDePez
BocaDePez

Yo veo pirlotvonline.net sin problema.

screenshot-2020-10-12-tarjeta-roja-tv.webp
🗨️ 9
Aeri

Estaría bien que dijeras que compañía utilizas para poder acceder y si es o no red móvil. Si entras desde cualquiera de las tres marías mediante HTTPS y ECH sí que funciona porque está bajo CloudFlare.

🗨️ 7
superllo
1

Es de MásMóvil. Probablemente esté usando alguno de los cienes de dominios que tiene ese tal Pirlo porque el que sale en la noticia está bloqueado:

captura-pantalla-2020-10-12-19-59-35.webp
🗨️ 1
NomeloHesperavah

Juass, yo por Voda en el movil acabo de ver y me sale "Por causas ajenas a Vodafone, esta web no está disponible". Probaré luego con jazzte en casa a ver si me deja.

BocaDePez
BocaDePez

Soy de Yoigo y entro a pirlotvonline.net con DNS sobre HTTPS del tirón y sin ningún tipo de bloqueo.

sin-nombre.webp
🗨️ 4
BocaDePez
BocaDePez

pues habla en cristiano para alguien que no entiende de estas cosas… no conocia la pagina y al intentar entrar con Yoigo me sale Object not found . no soy informatico y mis conocimientos de ello son a nivel de usuario medio, pero en cuanto a redes…npi xD.

🗨️ 1
BocaDePez
BocaDePez

Busca en Google activar DNS over HTTPS en Firefox. Con eso y entrando en la WEB con HTTPS te saltas el bloqueo.

BocaDePez
BocaDePez

Desde Orange el truco no va. El DPI te intercepta la Web, fuerza su propio certificado y te acaba dando el mismo error.

superefren

Yo puedo acceder sobre fibra Movistar (O2) si utilizo un VPN.

obmultimedia1

tengo Pepephone y esa url me marca

"Object not found "

pepejil
6

Varias cosas:

  • Cuando TLSv1.3 + SNI cifrado sea algo más normalizado, las soluciones de filtrado DPI de las operadoras serán ladrillo. Igual pueden hacer como en China bloqueando el protocolo para forzar a usar una versión degradada.
  • Lo de suplantar el resolver usando otra IP en vez de anular la recursión del dominio es cuanto menos cutrísimo.
  • A ver si MásMóvil se carga 16299 y pasar todo su tráfico por 15704 porque no están conectadas entre sí y son totalmente diferentes en cuanto a routing.
🗨️ 1
el-brujo
1

Exacto, en teoría cambiando las DNS de la operadora y activando ESNI (SNI cifrado) en el navegador, problema de la censura de la operadora estaría resuelto.

Con Firefox he podido activar ESNI, pero Google Chrome en teoría lo soporta, pero no funciona,

cloudflare.com/es-es/ssl/encrypted-sni

superllo
1

Josdefruta.

No sé si lo contrataría pero podrían dejar que se pueda pagar por ver el fúrgol desde cualquier otro operador mediante alguna OTT.

Manol-hito

Tan dificil no es, si usas los navegadores Epic Brouser u opera entras sin problemas.

Saludos.

pjpmosteiro

Hmm, interesante, sabia que Movistar y VF habian empezado hace un añito o asi a tirar de DPI, pero no conocia las técnicas de las otras…

De todas formas, algo raro tiene Vodafone en la red, porque al usar ciertas aplicaciones p2p distintas al bitttorrent si noto que la red se comporta distinta. Si no supiese que es casi imposible, diria que inspeccionan el tráfico VPN.

Tengo que probar en casa a ver que me dice R, pero creo que hace tiempo que ya no tienen DNSs propios y apuntan a Google o Cloudflare

rbetancor

Otra cosa, en la que, desgraciadamente, España destaca … y es en intentar poner puertas al campo.

A poco que se sepa un pelín de redes, saltarse todas estas restricciones es una mingada de simple. Pero claro … ellos buscan bloquear a la mayoría de los clientes sin conocimiento alguno, que son los que acaban pasando por caja para pagar los servicios, aunque no sepa lo que són.

Las soluciones DPI, son pan para hoy y hambre para mañana. Ladrillos muy caros, que quedan obsoletos en zero-coma, y las soluciones DNS, aunque cutres, son igual de efectivas que las DPI de cara a los no-iniciados en redes.

seafabrik
1

Yo la verdad es que he observado comportamientos rarísimos y no te creas que entiendo mucho cómo va esto de los bloqueos… Hay varias cosas que no me cuadran. Observando O2 (Movistar), Vodafone, y Jazztel (Orange), he notado:

  • Diferencias de entrada en vigor, de varias semanas o incluso más de un mes, entre Movistar y Vodafone. Eso de que todas las semanas actualizan la lista ya tal.
  • No sé si es que puede haber recursos judiciales y que se levanten prohibiciones, o que los bloqueos en un inicio puedan tener caducidad o algo así si no se renuevan, pero a los cuatro meses o así, por ejemplo Vodafone ha dejado de bloquear un sitio que Movistar y Jazztel siguen bloqueando.
  • Visitando el mismo sitio, la misma operadora a veces (por epocas) ha mostrado el mensaje de "bloqueado por orden de blablabla", y otras veces "unable to reach" y santas pascuas.

En fin, me parece que están haciendo un poco lo que les da la gana mientras los ciudadanos estamos indefensos, porque nadie controla nada. Y nos reíamos de los chinos… Qué vergüenza…

vukits

Hoombre… DPI… este viejo conocido de tiempos de emule.

imagen.webp
Bilbokoa

Yo no uso estas cosas, pero acabo de probar, por curiosidad, a entrar a esa web de pirlotvonline, y me carga sin problemas. Mi operador es Orange, uso un router propio (el de Orange está en modo ONT), pero las DNS que tengo puestas en el router propio son las de Orange, y todo carga perfectamente.

🗨️ 2
albertosapiens

¿Puedes comprobar con localhd.tv ? Para los test de mi hilo uso el LiveBox sin tocar apenas.

🗨️ 1
Bilbokoa

Esa sí me dice que está bloqueada.

Moisfd

Metodo facil te pones VPN y no tendras ninguna puerta cerrada por mucho que bloqueen las operadoras las webs.

🗨️ 1
albertosapiens

Algunos proveedores de IPTV tienen bloqueados los VPN porque suelen ser una fuente de ataques de fuerza bruta para averiguar credenciales.

BocaDePez
BocaDePez

Y ¿Qué hay del secreto de las comunicaciones?

El operador del servicio no deberia interceptar la comunicación, leerla ni impedirla

BocaDePez
BocaDePez

Que bien que mi proveedor local no bloquee nada.

BocaDePez
BocaDePez

En Vodafone poniendo al final "rn" funciona