Tradicionalmente, la única manera que tenían los operadores para bloquear el acceso a páginas web pirata era mediante DNS. Gracias a ello, al resolver una dirección usando las DNS del operador, éste podía elegir no resolver el acceso a esas páginas. Saltarse esto era muy sencillo, ya que sólo era necesario cambiar las DNS y usar por ejemplo las DNS de Google. Por desgracia, el año pasado se usa un método que no puede saltarse con facilidad, y en los últimos dos meses se ha extendido a casi todos los operadores y a multitud de webs.
Fue a principios de 2019 cuando se descubrió que los operadores estaban implementando nuevos métodos para el bloqueo de webs a nivel nacional. Movistar y Vodafone fueron pioneros en ello, donde mostraban errores como «Por causas ajenas a Vodafone, esta web no está disponible«, o en el caso de Movistar «ERROR 404 – File not found«.
Los operadores saben a qué webs queremos acceder, y pueden bloquearlas
Sin embargo, desde hace unos meses, el error ahora ha evolucionado, y muchos operadores muestran el mensaje «Contenido bloqueado por requerimiento de la Autoridad Competente, comunicado a esta Operadora«. Con mensajes como ese, vemos claro que son las autoridades judiciales las que han obligado a los operadores a introducir este nuevo sistema de bloqueo. Actualmente, Telefónica mantiene un listado de webs que los demás operadores españoles han de bloquear según las órdenes judiciales correspondientes.
Además, antes de llegar a este nuevo error, al entrar a páginas como thepiratebay.org, epublibre.org, exvagos2.com o a 1337x.to, nos aparece que «La conexión no es privada», seguido de un error «NET::ERR_CERT_AUTHORITY_INVALID«, que indica que la web a la que queremos entrar está haciendo uso de un certificado «no válido». O eso es lo que los operadores quieren hacernos creer.
La clave del asunto está en el SNI, o Server Name Indication, y en los certificados. El SNI permite que se pueda instalar un certificado en un dominio que comparta dirección IP con otros dominios. Gracias a ello se puede solventar la limitación de poder tener varios dominios web en un mismo servidor, donde cada web puede tener su dominio sin necesidad de usar una IP diferente por web.
El problema viene en el proceso de cifrado. Cuando entramos a una web HTTPS, se realiza un handshake con TLS para verificar que la conexión es segura, y posteriormente se inicia la transmisión de información cifrada. El problema es que, entre el handshake y la transmisión de datos por HTTP, se puede conocer el nombre del hostname sin cifrar, por lo que nuestro operador puede conocer a qué web queremos acceder.
Así, cuando entramos en el navegador a The Pirate Bay, que tiene certificado y conexión HTTPS, se inicia la conexión con la IP que indica nuestro servidor de DNS. El problema es que, cuando nuestro tráfico llega al servidor de destino y busca el certificado, el operador en su lugar captura nuestro tráfico y nos arroja el error de certificado inválido, por lo que no podemos entrar a la web. Ni siquiera usar DNS por HTTPS nos protege ante esto.
Inspección de paquetes: así impiden el acceso a webs de piratería
Lo que los operadores están haciendo en este caso es bloquear el acceso mediante inspección de paquetes. Vodafone, por ejemplo, usa equipos de Allot. Esta empresa fabrica equipos de inspección profunda de paquetes, entre otros dispositivos. Así, los operadores han adquirido equipos de este tipo de empresas para poder analizar el tráfico y bloquear el acceso a determinadas páginas web. Movistar, por su parte, usa FortiGate de Fortinet.
Además de Movistar y Vodafone, hemos podido comprobar que MásMóvil, Orange y Jazztel usan también inspección de paquetes para bloquear el acceso, mientras que otros operadores todavía utilizan el clásico método de bloqueo por DNS.
De momento sólo se está usando para webs relacionadas con las descargas como ocurre con los portales de torrent, pero también se está bloqueando la página de xecuter para piratear consolas de Nintendo que no ofrecen enlaces. Ese sistema puede usarse, por tanto, para bloquear el acceso a cualquier tipo de web.
Solución al mensaje de «Contenido bloqueado»
Por suerte, tenemos multitud de opciones para evitar este nuevo método de bloqueo. En concretos, vamos a dar tres de ellas más allá de la obvia de utilizar proxies y otras webs que no estén bloqueadas, lo cual es peligroso porque esos proxies pueden ser falsos.
La primera es utilizar Tor Browser. Esta es la mejor manera de acceder a una página web de manera anónima y similar a usar una VPN, ya que el servidor de salida puede estar en decenas de países diferentes. Con ello, nos saltamos el bloqueo y podemos acceder sin problemas a la web sin tener que configurar nada.
La segunda, similar en funcionalidad a la primera, es utilizar una VPN. Tor Browser hace las veces de VPN integrada en un navegador, anonimizando nuestro tráfico. Con una VPN podemos saltarnos todo tipo de bloqueos y navegar como si estuviéramos en otros países. Con ello, podemos acceder sin problema a estas webs bloqueadas por operadores españoles.
La tercera y última es más compleja, implica utilizar Firefox y Encrypted SNI (ESNI), y puede que no te funcione porque ESNI todavía está en fase de desarrollo. Este es el motivo de que los navegadores no utilicen SNI cifrado. Cuando se finalice y se use por defecto, el método de bloqueo de webs será inútil porque el operador no podría saber qué web estamos visitando. El único navegador que permite usarlo es Firefox.
Antes de activarlo con Firefox, podemos ir a esta web de Cloudflare y comprobar tanto si estamos usando unos DNS seguros, como si tenemos Encrypted SNI activo. Si no lo tenemos, nos quedará como en la siguiente imagen.
Si no lo tenemos, podemos ir a Firefox y escribir about:config para ir a la configuración. Ahí dentro buscamos network.security.esni.enabled que nos aparecerá como «false». Le damos al icono de la derecha para que cambie a «true». En segundo lugar, vamos a network.trr.mode y establecemos el valor «2»
Reiniciamos el navegador, y ahora nos debería aparecer en la web de Cloudflare que tenemos activo el Encrypted SNI.
Si te da error SSL_ERROR_MISSING_ESNI_EXTENSION al entrar a la web de Cloudflare, puede que necesites desactivar el escaneo de tráfico HTTPS en tu antivirus, donde ESET, Kaspersky y Avast, entre otros, pueden dar problemas.
A partir de ahí, deberías poder entrar a las webs bloqueadas, aunque es posible que, al estar ESNI en fase de pruebas, te siga saliendo el mismo error. Por tanto, la solución más cómoda y rápida es utilizar Tor Browser para acceder a estas webs bloqueadas, y veremos si cuando los navegadores implementen de manera funcional ESNI este tipo de bloqueos quedan inutilizados.