En los últimos años, la privacidad en internet ha sido un tema central tanto para los usuarios como para las empresas que ofrecen servicios web. Con el avance de las tecnologías de encriptación, la capacidad de los intermediarios —como los proveedores de servicios de internet (ISP)— para vigilar y filtrar el tráfico de los usuarios se ha reducido significativamente. Una de las innovaciones más recientes en este ámbito es el Encrypted Client Hello (ECH), un protocolo que está transformando la manera en que se protege el tráfico web, haciendo que sea mucho más difícil bloquear o censurar sitios web.
¿Qué es Encrypted Client Hello (ECH)?
El ECH es una extensión del protocolo TLS (Transport Layer Security), que se utiliza para asegurar la comunicación entre un navegador y un servidor web. Aunque TLS encripta la mayor parte de la información transmitida durante una conexión, hasta ahora había una parte crítica que permanecía en texto plano: el Server Name Indication (SNI). El SNI es un campo en la fase inicial de la conexión (el «handshake») que indica al servidor el nombre del dominio al que el usuario desea acceder.
El problema con el SNI es que cualquier intermediario —como un proveedor de servicios de internet— podía inspeccionar este campo para ver a qué sitio web intentaba acceder el usuario, incluso si el resto de la conexión estaba cifrada. Esto ha sido una herramienta clave para los gobiernos y las operadoras a la hora de bloquear el acceso a ciertos sitios web, ya que simplemente necesitaban identificar el nombre del servidor para filtrar el tráfico.
El desafío del ECH: Cifrar el SNI
El protocolo ECH soluciona esta vulnerabilidad al cifrar el SNI junto con otros datos de la conexión inicial, ocultando así el nombre del servidor al que el usuario quiere acceder. En lugar de que un intermediario pueda ver el dominio exacto, solo podrá ver que el usuario está intentando conectarse a un servidor que utiliza ECH, pero no sabrá qué dominio específico está siendo consultado.
Este avance hace que las técnicas de bloqueo de contenido basadas en el SNI —como las utilizadas en España por Movistar y LaLiga para bloquear sitios que transmiten contenido pirata— sean prácticamente ineficaces. Dado que una gran cantidad de sitios web están alojados en la red de distribución de contenidos Cloudflare, que activó ECH en octubre de 2023, los bloqueos en internet se han vuelto mucho más complicados para las operadoras y entidades de derechos de autor.
¿Cómo funciona el ECH?
En una conexión TLS tradicional, el cliente (navegador) envía un mensaje llamado ClientHello al servidor, que contiene una lista de algoritmos criptográficos, la versión de TLS y, crucialmente, el SNI en texto plano. Con ECH, este mensaje se divide en dos partes: una externa y una interna. La parte externa contiene información no sensible, como el algoritmo criptográfico que se va a usar, mientras que la parte interna incluye el SNI encriptado.
El intermediario, como un ISP, solo puede ver la parte externa del ClientHello, que revela información genérica. El SNI real, que especifica el dominio exacto, permanece oculto hasta que el servidor, que tiene la clave para descifrar el mensaje, lo recibe y lo descifra.
Implicaciones para la censura y los bloqueos de contenido
La introducción de ECH supone un gran cambio en la forma en que los gobiernos y las operadoras pueden aplicar restricciones a internet. Hasta ahora, sistemas como el DPI (Deep Packet Inspection) podían analizar el SNI para identificar y bloquear el acceso a determinados sitios. Sin embargo, con ECH activado, esta técnica se vuelve obsoleta, ya que no pueden ver qué sitio está siendo visitado.
Esto ha generado preocupación entre las entidades que dependen del bloqueo de sitios web para hacer cumplir leyes de derechos de autor o políticas de censura. Un ejemplo reciente en España es la lucha de LaLiga y las operadoras para bloquear sitios que transmiten partidos de fútbol sin autorización. Con ECH, las webs que solían ser bloqueadas pueden volver a estar accesibles, ya que las operadoras no tienen forma de identificar las conexiones hacia esos sitios.
El impacto de Cloudflare en la adopción de ECH
Cloudflare, uno de los mayores proveedores de servicios de seguridad y rendimiento web, ha sido clave en la adopción de ECH. Con más del 20 % de los sitios web a nivel mundial alojados en su red, la activación de ECH en octubre de 2023 marcó un antes y un después en la seguridad y privacidad del tráfico web. Aunque Cloudflare tuvo que desactivar temporalmente ECH poco después de su lanzamiento debido a problemas técnicos, en agosto de 2024 se espera que ECH esté disponible de forma obligatoria para todas las cuentas gratuitas de Cloudflare, y opcional para los planes de pago.
Esto significa que cada vez más sitios web estarán protegidos por ECH, dificultando la tarea de bloquear contenido en la web. Para los usuarios, este avance ofrece una mayor privacidad y libertad, ya que podrán acceder a sitios web sin temor a que sus conexiones sean inspeccionadas o bloqueadas.
¿Qué sigue para ECH?
A medida que ECH continúa su despliegue, tanto los defensores de la privacidad como los reguladores estarán atentos a sus implicaciones. Para las operadoras y entidades de derechos de autor, este nuevo protocolo supone un desafío en la lucha contra el contenido no autorizado. Sin embargo, para los usuarios y los defensores de la neutralidad de la red, ECH representa un avance crucial en la protección de la privacidad y la libertad en internet.
Mientras tanto, los navegadores como Chrome y Firefox ya han anunciado su soporte para ECH, lo que asegura que el protocolo se integre de manera generalizada en los próximos años. En un mundo donde la privacidad online es cada vez más valorada, Encrypted Client Hello parece estar destinado a convertirse en una herramienta esencial en la protección de los derechos digitales.
Conclusión
El protocolo Encrypted Client Hello es un gran paso hacia una mayor privacidad y seguridad en internet. Su capacidad para encriptar el SNI y ocultar la identidad de los sitios web visitados a intermediarios externos supone una revolución en la forma en que se gestiona el tráfico web. Aunque plantea desafíos para las operadoras y las entidades que buscan bloquear sitios, para los usuarios representa un avance crucial en la protección de su privacidad. Con el tiempo, ECH podría cambiar para siempre el panorama de la censura y la vigilancia en internet.
