BandaAncha.eu

Información independiente
sobre fibra, móvil y ADSL

  • 📰 Artículos

El sistema de filtrado de webs ilegales de Telefónica está bloqueando webs legítimas

Josh
Bloqueo web Movistar

El sistema de filtrado DPI diseñado para impedir el acceso de los clientes de Movistar a webs ilegales está bloqueando por error numerosas webs legítimas afectando a la actividad de pymes y emprendedores sin que la operadora reaccione.

Un día después de la publicación de este artículo, Movistar ha permitido de nuevo el acceso a los sitios web que bloqueaba por error.

Dos compañías privadas deciden qué se bloquea

El peligro de convertir a empresas privadas en vigilantes de la red con poder para decidir a qué pueden acceder y qué no pueden ver los usuarios es que derechos fundamentales como la libertad de expresión o el derecho de los usuarios a acceder por igual a todo tipo de contenidos en internet respetando la neutralidad de la red se vea mermado.

El acceso a internet de los consumidores en España está sometido al bloqueo de los sitios web que aparecen en 2 listados de dominios prohibidos que mantienen Telefónica y LaLiga gracias al respaldo de sendas sentencias judiciales que habilitaron a estas dos compañías privadas a incluir en ellos a las webs que vulneran los derechos de las que son propietarias. Además de estos dos listados, hay unas 144 webs con el acceso prohibido desde la Sección Segunda del Ministerio de Cultura.

El sistema de bloqueo desprecia al usuario

Acuerdo bloqueo de webs entre operadoras y La Coalición
Entidades implicadas en la firma del Protocolo para el refuerzo de la protección de los derechos de propiedad intelectual

Estos bloqueos se ejecutan siguiendo el Protocolo para el refuerzo de la protección de los derechos de propiedad intelectual, un documento secreto1 que solo operadoras, industria cultural y Ministerio de Cultura conocen, firmado de espaldas a los principales afectados por su aplicación, los usuarios de internet en España.

La opacidad de este acuerdo ha facilitado que el bloqueo de sitios web que aplican las operadoras sea un auténtico desastre desde el punto de vista técnico, devolviendo códigos de estado erróneos que confunden a las aplicaciones, de usabilidad, con mensajes falsos en inglés que desinforman al usuario perplejo por no poder acceder a una web, y desde el punto de vista legal, puesto que no respeta el requerimiento de la normativa europea sobre neutralidad de la red que exige que los bloqueos se ejecuten con transparencia informando al usuario afectado.

El principal problema se manifiesta cuando el sistema de bloqueo actúa por error, puesto que los falsos mensajes y códigos de error incoherentes complican el diagnóstico. El usuario tampoco tiene acceso a ningún tipo de información sobre lo que está sucediendo, ni existe un lugar en el que reclamar.

Se están bloqueando webs por error, perjudicando a empresas y consumidores

Bloqueo web escuelabellart.com desde Movistar
Aspecto de la web de la escuela de cocina Bellart y bloqueo mostrado desde la red de Movistar

En el pasado ya nos hemos encontrado con bloqueos por error a sitios como Twitch. En abril de 2021 Telefónica tuvo que admitir que había incluido por error uno de los dominios secundarios desde dónde se sirve el streaming de vídeo, dejando a la plataforma sin servicio durante unas horas.

Esto mismo está ocurriendo en la actualidad dentro de la red de Movistar, solo que en este caso las empresas no tienen los recursos técnicos ni la dimensión de Amazon Twitch, ya que se trata de pequeños emprendedores y pymes cuya protesta se ahoga en los foros de la operadora sin que nadie haga nada.

Por alguna razón que desconocemos, el sistema de inspección profunda de paquetes de Telefónica está interceptando el acceso de los clientes de Movistar y O2 a una serie de sitios web completamente legítimos, perjudicando a sus titulares y a los usuarios. Estos son algunos de ellos que hemos podido recopilar, aunque el error afectaría a un número indeterminado de webs.

  • escuelabellart.com
  • pepcapdaiguaart.com
  • imperiafineart.com
  • poudart.com
  • piktochart.com

En todos los casos al acceder a ellos desde la red de Telefónica, el sistema de filtrado devuelve un ERROR 404 - File not found en inglés, sin más explicación. En la Comunidad Movistar podemos encontrar a varios propietarios de los dominios reclamando desde hace días el desbloqueo, sin que la operadora se haya dado por aludida.

Ninguna de las webs afectadas tiene actividad relacionada con la vulneración de los derechos de autor. El único patrón en común entre los dominios bloqueados es que todos ellos finalizan con art.com. Sin embargo esta no es la cadena de texto que activa el bloqueo, puesto que se sigue pudiendo acceder a otros muchos dominios con esa terminación.

  1. Desde BandaAncha.eu hemos solicitado acceso a su contenido a todas las partes implicadas sin que se nos haya facilitado
Zegelio

Desde Movistar fibra escuelabellart.com me funciona perfecta, las otras page not found y piktochart.com se queda pensando y no carga…

🗨️ 1
Uannight

Desde O2 que debería ser lo mismo a mi escuelabellart.com me devuelve un 404.

PezDeRedes

El bloqueo se aplica siguiendo el Protocolo para el refuerzo de la protección de los derechos de propiedad intelectual, un documento secreto que solo operadoras, industria cultural y Ministerio de Cultura conocen, firmado de espaldas a los principales afectados por su aplicación, los usuarios de internet en España.

"Democracia" decían, ¿no?

Yo entiendo que deba haber documentos clasificados por motivos de seguridad nacional, etc, pero desde luego este no es el caso.

🗨️ 1
lhacc

La verdad es que eso de "firmado de espaldas a los principales afectados por su aplicación, los [ciudadanos] de España" se aplica a todas las leyes que se aprueban.

KailKatarn

Desde Simyo (Orange) funcionan todas menos piktochart.com que directamente no resuelve y parece tema de su servidor. Si en este país funcionaran las cosas este tipo de prácticas deberían ser sancionadas.

🗨️ 2
EmuAGR

Confirmo desde Digi, misma experiencia.

mesi

A mi me van todas perfectamente, incluido piktochart.com. Tambien desde Orange.

BoccaDePez

Lo de los bloqueos de Movistar no tiene nombre

kanemoto

Por curiosidad probé pepcapdaiguaart.com desde Movistar no va, con VPN si.

Lamentable.

Un saludo.

superefren
1

Por lo menos que aparece en el explorador algún mensaje de "web bloqueada" o "restringida por el OP"… no, no, directamente 404.

Menuda panda…

🗨️ 1
PezDeRedes
2

De hecho ya existe el código 451 para eso (en alusión al libro fahrenheit 451, en el que se queman libros con fines de censura).

JGeek00
1

Estos bloqueos por que narices son legales?

Gvrv2573

Desde la red móvil de Vodafone todas las web abren, a si que el problema lo tiene Movistar claramente

Ramgo

Con Yoigo no hay problema todas las web's indicadas abren perfectamente.

pjpmosteiro
1

Por lo menos VF tiene la decencia de decir "Por causas ajenas a Vodafone, esta web no está disponible"

mezcua
2

Por suerte o por desgracia yo estuve involucrado en la implantación de uno de estos "sistemas" en uno de los operadores comentados en el articulo, y debo decir que se podría haber integrado de mejor forma, todo esto es una imposicion del gobierno a los operadores y han tenido que correr para implantar los sistemas, pro lo que estan de aquella manera configurados, el equipo que estuve implantando era de Allot y reportaban a policia nacional y almacenaba las direcciones origen de quien intentaba acceder a sitios bloqueados por orden judicial, el bloqueo se hacia a nivel de DNS, levantando VPN fuera del operador, te pasabas el bloqueo por el arco del triunfo.

🗨️ 1
Guillermoelectrico

¿Y cambiando las DNS o usando dnssec?

obmultimedia1

siguen un patron, con la terminacion "art" en los nombres, curioso.

Nyare
2

Probablemente el motivo de porque aparece error 404 y similares es para confundir al usuario medio que probablemente piense que el sitio web ha cerrado o tiene problemas.

Si le pones un error de "bloqueado", abres la puerta a mas posibilidades:

  • Que el usuario llame al soporte de la operadora pidiendo explicaciones.
  • Que el usuario busque formas de saltarse ese bloqueo.

Por RESPETO al usuario tendría que venir tanto en castellano como idioma de todo el país, así como ingles como lengua franca internacional, el código estándar de error 451 que para eso existe, una descripción breve de que significa ese error, el dominio, quien ha solicitado ese bloqueo, el motivo de porque se ha bloqueado, fecha de aplicación inicial del bloqueo, fecha final de dicho bloqueo.

Y ya si viene en otros idiomas cooficiales pues mejor.

Pero bueno, así seguirá hasta que saquen una ley de obligado cumplimiento y vendrán los lloros que si tener que proporcionar todos esos datos les va a llevar mucho tiempo y recursos.

bancho
9

Ñapa máxima. Es culpa de los rusos! Lo que está bloqueado es toda web que contenga rt.com y esté alojada en ciertas IPs. Parecen ser al menos Cloudflare y Wix.

Podéis hacer saltar el filtrado inventándoos request a una de las URLs antes bloqueadas cambiando la cabecera Host:

❯ curl http://poudart.com --header "Host: estawebnoexistert.com" -v
*   Trying 185.230.63.107:80...
* Connected to poudart.com (185.230.63.107) port 80 (#0)
> GET / HTTP/1.1
> Host: webfalsart.com
> User-Agent: curl/7.82.0
> Accept: */*
> 
* Mark bundle as not supporting multiuse
< HTTP/1.1 403 Forbidden
< X-Frame-Options: SAMEORIGIN
< X-XSS-Protection: 1; mode=block
< X-Content-Type-Options: nosniff
< Content-Security-Policy: frame-ancestors
< Content-Type: text/html; charset="utf-8"
< Content-Length: 336
< Connection: Close
< 
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01//EN">
<!--
CATEGORY:  
DEST_IP:  185.230.63.107
FGT_HOSTNAME:  RFFMNO1-02
SOURCE_IP:  XXXXXX
-->
<html>
  <head>
    <title id="1">
      Error 404
    </title>
  </head>
  <body>
    <CENTER>
      <h1>
        ERROR 404 - File not found
      </h1>
    </CENTER>
  </body>
</html>
* Closing connection 0

Parece que han puesto mal el filtro y estan matcheando rt.com sin importar dónde esté en el host, también hace saltar el bloqueo si está en mitad del host:

curl http://poudart.com --header "Host: webfalsart.com.es" -v
 curl http://poudart.com --header "Host: walmart.comer.elpais.es" -v

Y parece que el apaño que están haciendo es hacer whitelisting de los sitios que se quejan en vez de poner el filtro bien.

Si nos estáis leyendo, por favor, usad una regex o algo, no es tan difícil sólo matchear ^rt.com$ y *.rt.com$ nada más…

🗨️ 5
Josh
1

Buena investigación. Ahí está el problema.

raxor

Bien visto. Con el miedito que tiene que dar tocar un filtro a este nivel. Igual el sistema no es tan flexible a la hora de los regex, imagino que la zona donde esa petición se evalúa es de muy bajo nivel (routers), no es un pfsense jeje

🗨️ 1
bancho
2

Parece ser que pasa con todas las URLs bloqueadas! No matchea toda la URL, sólo que el Host contenga ese texto. Lo que pasa es que al ser RT tan corta, debe ser la primera vez que está dando tantas colisiones. Por ejemplo con sci-hub:

curl http://poudart.com --header "Host: probando-sci-hub.twolakase" -v
EmuAGR

Estaba pensando que era muy curioso que todas las webs mencionadas fueran de "arte". Ya tenemos la causa. ¡So cutres!

lhacc

O sea que una vez más tengo razón: rt.com está bloqueado a nivel europeo.

Por cierto, *.rt.com$ no es una regex válida. Ni creo que usen regexes por el altísimo consumo de CPU que conllevaría…

PezDeRedes
1

Parece que con configurar el DoH es más que suficiente:

image.webp

Accedo a todas sin problema, con FTTH Movistar (incluido, por cierto, la propia rt.com a la cual me da asco entrar, pero poder puedo).

🗨️ 1
dragon13a
1

También puedes coger un navegador web remoto como puffin y telefonica solo ve que te conectas a ese navegador.