BandaAncha.eu

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 👇 este 📰 artículo ⏎
  • 🔍 en 💬 foros ⏎
Regístrate Regístrate Identifícate Identifícate

El filtro de bloqueo de webs de las operadoras, una chapuza que no respeta a usuarios, normativa ni estándar

Joshua Llorach
451 Unavailable For Legal Reasons

El sistema de bloqueo de páginas web que supervisa la navegación de los clientes de las 4 grandes operadoras de telecomunicaciones en España es más efectivo que nunca gracias al uso de la inspección de paquetes, pero no cumple con la obligación de transparencia que exige la normativa europea sobre neutralidad de la red, confunde al usuario al mostrar mensajes falsos y devuelve códigos de estado HTTP técnicamente incorrectos.

Las grandes operadoras de telecomunicaciones aceptaron en abril de 2021 las exigencias de la industria cultural firmando el llamado Protocolo para el refuerzo de la protección de los derechos de propiedad intelectual, un código de conducta auspiciado desde el Ministerio de Cultura para hacer más efectivo el bloqueo de páginas web que impide el acceso desde España a sitios declarados ilegales.

Acuerdo bloqueo de webs entre operadoras y La Coalición
Entidades implicadas en la firma del Protocolo para el refuerzo de la protección de los derechos de propiedad intelectual

Durante el 2021 este acuerdo permitió impedir el acceso a 869 dominios y subdominios desde las redes españolas1, bloqueando webs que divulgan material sin contar con los derechos de autor y sus dominios espejo abiertos para evadir la censura.

Falta de transparencia

Guste o no, el bloqueo es una "medida razonable de gestión del tráfico" contemplada en la regulación europea sobre neutralidad de la red2, que permite a los proveedores de internet impedir el acceso a sitios declarados ilegales en "sentencias de tribunales o autoridades públicas investidas con los poderes pertinentes". Esto no significa que pueda aplicarse sin limitaciones, de hecho hay varias condiciones importantes que cumplir:

Para ser consideradas razonables, dichas medidas deberán ser transparentes, no discriminatorias y proporcionadas […] y no se mantendrán por más tiempo del necesario.

Para ser transparentes, el propio reglamento sobre neutralidad incluye entre las "Medidas de transparencia para garantizar el acceso a internet abierta" la obligación de que las operadoras informen a los usuarios "sobre cómo podrían afectar las medidas de gestión del tráfico aplicadas por el proveedor en cuestión a la calidad del servicio de acceso a internet".

Ningún contrato actual de las operadoras informa al cliente que su navegación está siendo monitorizada por un sistema de bloqueo de contenidos ni que la navegación puede ser interrumpida por razones legales.

Por qué no respeta al usuario

Nadie pone en duda que la ley debe actuar contra los servicios que no la cumplen. La solución elegida por la administración, industria cultural y operadoras es el bloqueo desde las redes de acceso, pero como hemos visto esto implica tener que informar al usuario. La realidad es que a día de hoy las operadoras están incumpliendo flagrantemente la obligación de transparencia.

Lectulandia en Google
Mensaje mostrado por Google para informar de forma transparente al usuario que algunos resultados han sido eliminados por un requerimiento legal

Si buscamos en Google el nombre de un dominio prohibido probablemente nos encontraremos en el pie de página un texto de advertencia que indica que se han eliminado resultados por requerimientos legales, junto con un enlace al caso donde se detalla qué organismo ha hecho la solicitud y contra qué URL. En algunos casos incluso es posible acceder a un PDF con la resolución judicial correspondiente. Se trata de información transparente para que el usuario sepa por qué no puede acceder al contenido que busca.

¿Qué ocurre al intentar acceder desde la red de una operadora al dominio en cuestión? En la mayoría de los casos nos encontraremos con un mensaje críptico poco aclarador y que induce a error. Todo un desprecio al cliente y a su derecho a saber qué está ocurriendo con su conexión.

Movistar presenta una web con el texto "ERROR 404 - File not found". MásMóvil por su parte muestra el texto "Object not found". En ambos casos son mensajes en inglés que no aclaran nada y que hacen pensar que hay algún tipo de error en la comunicación. Vodafone y Orange al menos se expresan en castellano, indicando en el primer caso que "Por causas ajenas a Vodafone, esta web no está disponible". En el segundo caso, Orange es la más explícita aclarando que efectivamente se trata de un bloqueo ordenado por una autoridad ajena a la compañía: "Contenido bloqueado por requerimiento de la Autoridad Competente, comunicado a esta Operadora".

En ningún caso es posible conocer más detalles del caso, cómo qué organismo ha ordenado el bloqueo, la razón o qué duración tendrá, información básica para poder hablar de transparencia.

Por qué se salta los estándares

En mayo de 2021 el dominio ttvnw.net perteneciente a Twitch y utilizado para alojar los streamings de vídeo empezó a arrojar mensajes de error incomprensibles para los usuarios situados en España, lo que dejó el servicio inaccesible durante unas horas. Telefónica admitió después que había incluido por error el dominio en el listado de URL prohibidas. Si el bloqueo hubiese utilizado el código de error que el estándar reserva para estos casos hubiese sido mucho más fácil diagnosticar la situación.

SNI bloqueo webs operadoras

Las operadoras ejecutan el bloqueo mediante la inspección profunda de paquetes DPI, leyendo el valor de la cabecera SNI donde el navegador del usuario envía sin cifrar al servidor el nombre del dominio al que quiere acceder. El sistema DPI intercepta entonces la comunicación y falsifica la respuesta con los mensajes que hemos visto. Además del mensaje que ve el usuario, la respuesta incluye un código de estado HTTP cuya función es que el navegador entienda qué ocurre. Sin embargo, los códigos devueltos son erróneos y no corresponden con los que el estándar reserva para estos casos.

403 pirlotvonline.net desde Movistar
Mensaje y código de error devuelto por el sistema DPI Fortinet de Movistar al acceder a una web bloqueada

Así, Movistar devuelve un código 403 Forbidden indicando que el acceso está prohibido, un error reservado para cuando el usuario debe presentar sus credenciales para acceder a un contenido protegido con contraseña. MásMóvil devuelve un 404 Not Found, indicando que el contenido no ha sido encontrado. Tampoco mejoran la situación los códigos devueltos por Orange y Vodafone. En ambos casos responden con un 200 OK, haciendo creer al navegador que todo está en orden.

Lo cierto es que existe un código de estado específico para los bloqueos. Se trata del 451 Unavailable For Legal Reasons3 que como su nombre indica, señaliza que no es posible acceder al contenido por razones legales. El código 451 forma parte del estándar desde febrero de 2016 y está soportado por todos los navegadores actuales. Además facilita el cumplimiento de la obligación de transparencia, ya que la especificación pide que el texto del mensaje que ve el usuario explique las razones del bloqueo.

Las respuestas que utilizan este código de estado DEBEN incluir una explicación, en el cuerpo de respuesta, de los detalles de la demanda legal: la parte que la hace, la legislación o regulación aplicable, y a qué clases de personas y recursos se aplica.

En marzo de 2023 Movistar modificó el código de estado con el que bloquea webs adoptando el 451 como se sugería en este artículo.

  1. lamoncloa.gob.es/serviciosdeprensa/notas…lectual.aspx
  2. eur-lex.europa.eu/legal-content/ES/TXT/P…3A32015R2120
  3. httpwg.org/specs/rfc7725.html#n-451-unav…egal-reasons

💬 Comentarios

1
kaleth
1

"En mayo de 2001 el dominio ttvnw.net perteneciente a Twitch…"

Copón cómo pasa el tiempo.

🗨️ 1
superllo

Ya lo he cambiado.

kotBegemot

@Josh Una vez más, chapeau. Gran artículo.

Pero esta vez el título no acompaña, demasiado sensacionalista.

🗨️ 2
["lhacc"]

"esta vez"

aeri
3

Pero es totalmente cierto y resume muy bien el artículo, es una basura de implementación y en efecto ni respeta al usuario, ni la normativa, ni sigue la especificación. Son los 3 puntos clave.

superllo
15

Recordar que el código 451 viene por el libro Fahrenheit 451, donde quemaban libros como forma de censura.

🗨️ 1
Stetco

Los bomberos incendian las casas de los que tenían libros

aeri
4

Demasiadas ganas de que salga ECH de la fase de borrador y lo empiecen a implementar servidores y navegadores para que se acabe toda esta tontería, todo el tráfico complentamente cifrado, los DPI quedarán para el filtrado de tráfico por protocolo, únicamente los ISP podrán bloquear por IP, pero hoy en día hacer algo así con la cantidad de CDN, balanceadores de carga y servicios de hosting compartido no tiene sentido.

A todas estas coaliciones y proveedores se les dará una buena lección y si una web es ilegal, que presenten una denuncia y un juez ordene el cierre del dominio, pero no por golpe de decretazo privado.

Podemos estar muy cerca de la privacidad real en internet.

🗨️ 4
["lhacc"]

Lo que pasará es lo mismo que pasó en otros países con el domain fronting: veremos AS enteros bloqueados. Y si no, al tiempo.

🗨️ 3
aeri
1

En China, un estado de vigilancia totalitaria y dictatorial no te digo que no puedan permitirse hacerlo como ya lo hicieron en su momento bloqueando el estándar de seguridad TLS 1.3 para evitar a los ciudadanos el uso de ESNI, pero si en Europa bloqueas el AS de Cloudflare o Fastly (promotores de ECH), nos quedaríamos sin la mitad de Internet.

🗨️ 2
["lhacc"]
2

La libertad de la que hemos gozado durante décadas en Europa está actualmente en más peligro que nunca. Las mismas técnicas mafiosas que ha usado China se usarán aquí para bloquear servicios del extranjero con las mismas excusas.

independent.co.uk/tech/telegram-germany-…1991523.html

🗨️ 1
MasterL

Al final la de la libertad va a ser más una cuestión humana que de países

Castillos
1

Chapuza no sé, pero es un sistema de censura INEFECTIVO gracias a la red TOR gratuita, o las VPN

🗨️ 8
1100R

Con instalar Cloudflare Wrap solucionado sin más historias.

yomimmo

Ni siquiera hacen falta, con usar recrypt te saltas los bloqueos

🗨️ 2
joseluisfer

Y recrypt que es

🗨️ 1
Josh

O tener Digi u otro operador no firmante del Protocolo

🗨️ 3
joseluisfer

Digi bloquea pág web como por ejemplo la pág exvagos que no se puede ha acceder sino usas una VPN

🗨️ 2
["lhacc"]

No hace falta VPN, con cambiar las DNS basta.

ROM64

Yo tengo Digi y puedo entrar a exvagos sin hacer hada de nada.

Pretur

Al menos Vodafone algunas las bloquea provocando un falso error de certificado SSL, meten un certificado de allot.com con HSTS y si no te fijas te crees que es un error de la web. Menos trasparencia es complicado que haya.

🗨️ 3
aeri

¿El navegador guarda la refencia de un sitio visitado con HSTS por primera vez si proviene de un certificado no confiable? De ser así me parece una mala implementación.

🗨️ 2
Pretur

El navegador se encuentra un sitio web con HSTS y un certificado que no corresponde a ese dominio y no te deja entrar, que lo que debe hacer.

🗨️ 1
aeri

HSTS no tendrá ningún efecto si la primera vez que entras a un sitio web el certificado es autofirmado o no es válido, para que el navegador tenga en cuenta HSTS y lo almacene en la caché, el certificado debe ser válido. Al fin y al cabo no es más que una característica para registrar en el navegador que sitios deben ir sí o sí por HTTPS.

aeri
1

Haciendo pruebas falseando el SNI en peticiones ClientHello he detectado (en el caso de Movistar) que el bloqueo a través del filtrado del SNI únicamente se aplica a direcciones IP destino específicas, esto implica que realizan un análisis de dos pasos antes de forzar un TCP Reset en un handshake TLS.

En primer lugar comprueban si la dirección IP de destino está en el punto de mira (blacklist de IPs), y si se detecta un paquete dirigido a una de esas direcciones ya se pasa a comprobar la extensión TLS de nombre de servidor; en este segundo paso no se realiza un match exacto, sino que se verifica si contiene cualquiera de los dominios de la lista negra aunque no corresponda ni esté apuntando a esa dirección IP.

Esto provoca que el acceso a un dominio en la lista negra de Telefónica aún con el SNI en claro no es detectado si el paquete en capa de red no se dirige a una de las direcciones que tienen vigiladas.

Este filtrado tan selectivo les permite no tener que analizar cada ClientHello que se transfiera por su red ahorrando muchísimo coste computacional en DPI, causando también no ser eficaz ante cambios recurrentes en las direcciones IP a las que apuntan los dominios a bloquear.

🗨️ 2
Josh

Deberías abrir post con tu investigación, es muy interesante

🗨️ 1
aeri

Venga, cuando saque un rato, lo preparo y expongo las herramientas que he utilizado y los pasos que he seguido para ver esto

1