A menudo se presenta Internet como una red sin fronteras, pero en la práctica los canales troncales, los puntos de intercambio de tráfico y los enrutadores raíz están sujetos a las leyes de cada país. Cuando el Estado decide limitar el acceso a recursos, emplea lo que los ingenieros llaman «control del plano de datos»: la supervisión y la intervención en el paso de paquetes en los nodos fronterizos y en los operadores de telecomunicaciones.
Los ejemplos más conocidos son China e Irán. El primero desarrolló durante décadas un sistema multinivel conocido como el Gran Cortafuegos, el segundo construyó una red nacional basada en servicios internos y gestión centralizada. Entender cómo funciona esto técnicamente no requiere matemáticas complejas: basta con saber dónde, en la ruta del paquete, están los «puestos», qué pueden ver y qué decisiones pueden tomar.
Arquitectura del control
Esquema general de enrutamiento
La ruta de cualquier solicitud en la red se parece a un trayecto por una serie de cruces. El router doméstico envía el paquete al proveedor, luego pasa por segmentos regionales y troncales, después por las líneas internacionales y finalmente al centro de datos del servicio.
La censura nacional añade «cordones» en la frontera del país y dentro de las redes de los operadores: puertos espejo para análisis, dispositivos activos para filtrado, servidores que sustituyen respuestas y sistemas que emiten comandos de bloqueo.
Componentes técnicos clave
Los elementos ingenieriles clave son los enrutadores de núcleo, los sistemas DPI (análisis profundo de paquetes), pasarelas proxy, inyectores de segmentos TCP y una plataforma de control que distribuye reglas a miles de dispositivos.
Como resultado, los paquetes pueden detenerse por direcciones IP, por nombres de dominio, por contenido de cabeceras de conexiones cifradas e incluso por la «firma» estadística del protocolo.
Mecanismos principales de filtrado
Filtrado por dirección
Los mecanismos más simples empiezan por el filtrado por dirección. Si la lista de servicios prohibidos es reducida, basta bloquear sus direcciones IP en los enrutadores fronterizos o en anuncios BGP.
En la práctica eso nunca es suficiente: las grandes plataformas distribuyen tráfico mediante CDN moviendo conjuntos de IP, y un bloqueo por dirección puede afectar a cientos de sitios ajenos alojados en la misma nube.
Sustitución de DNS
Por eso, además de los filtros por IP se aplica control por nombre de dominio. Cuando el navegador intenta resolver una IP vía DNS, nodos especiales envían una respuesta falsa en lugar de la real: así funciona la inyección de mensajes DNS falsos en vuelo.
La petición ni siquiera llega al resolvedor real porque el inyector es más rápido y está más cerca del usuario.
Filtrado por SNI
La filtración por SNI —el campo Server Name Indication en el apretón de manos TLS, donde el cliente indica en texto claro el dominio— es algo más compleja. Un dispositivo DPI inspecciona el primer mensaje de la sesión cifrada, compara el nombre con una lista negra y corta la conexión antes de que empiece el cifrado de los datos útiles.
Inyecciones TCP
Históricamente en China se ha usado otra técnica: la inyección de segmentos TCP de control. Si el DPI detecta una solicitud «indeseada», se envía hacia el cliente o el servidor un paquete falso con la bandera RST (restablecer) y un número de secuencia plausible. Ambos extremos creen que el interlocutor cerró la conexión.
Paralelamente se usan comprobaciones activas: cuando el sistema ve una IP sospechosa o detecta la firma de un anonimato, establece conexiones desde direcciones múltiples e intenta reproducir el protocolo; si confirma la sospecha, la dirección entra en la lista de bloqueos. Este sondeo activo ayuda a detectar puentes y proxies no estándar que externamente parecen un sitio web normal.
Modelos nacionales
Modelo iraní
Irán se basa en un modelo organizativo distinto. Una gran parte del tráfico pasa por puntos nacionales de intercambio y pasarelas centralizadas, y el conjunto de servicios «permitidos» incentiva a permanecer dentro de la ecosistema local.
Durante crisis se aplica el «apagado selectivo»: el tráfico internacional se restringe por categorías, a veces por horario, otras por conjuntos de aplicaciones. Los mecanismos son parecidos: filtros por IP y dominio, inyecciones de respuestas DNS, reglas DPI para protocolos de evasión populares. La diferencia está en la mayor apuesta por listas positivas y en limitar las salidas manteniendo acceso a servicios estatales y comerciales internos.
Análisis profundo de paquetes (DPI)
Principios de funcionamiento
El análisis profundo de paquetes sigue siendo el núcleo de ambos sistemas. El DPI moderno no solo aplica reglas basadas en firmas (coincidencia con secuencias de bytes conocidas), sino también reglas de comportamiento: análisis del tamaño de los primeros paquetes, intervalos temporales, direcciones y proporción de paquetes en cada sentido.
Un perfil estadístico así suele ser suficientemente estable para, sin descifrar, distinguir por ejemplo HTTPS normal de un túnel de cierto VPN.
Perfiles de protocolo
En China e Irán se usan perfiles para OpenVPN, IPSec, L2TP, PPTP y nuevas implementaciones basadas en TLS. Cuando aparece una firma desconocida se marca como «sospechosa» y se añade sondeo activo: el dispositivo inicia el diálogo, intenta provocar respuestas únicas y luego clasifica el protocolo con alta probabilidad.
Tecnologías modernas y contramedidas
TLS 1.3 y ECH
Las tecnologías de los navegadores también se tienen en cuenta. La transición a TLS 1.3 y el cifrado de gran parte del apretón de manos han dificultado la lectura de metadatos, aunque SNI sigue siendo visible.
Los intentos de ocultar el nombre del servidor mediante ECH —el cifrado de la configuración del cliente, que incluye SNI— se enfrentan a problemas prácticos: requieren coordinación entre navegador y CDN, actualización de pilas y compatibilidad con equipos antiguos. En entornos de censura estricta ECH a menudo se bloquea por anticipación: si el cortafuegos detecta indicios de ECH activo o combinaciones de extensiones TLS no estándar, la conexión se corta.
QUIC/HTTP-3
También se presta atención a QUIC/HTTP-3: el tráfico hacia el puerto UDP 443 se clasifica primero y, ante picos, se corta o se fuerza la caída a HTTP/2 sobre TCP, donde el filtrado es más habitual.
Áreas específicas de control
DNS y cifrado
El DNS sigue siendo un campo de batalla. Cuando los usuarios adoptan modos cifrados —DoT (DNS sobre TLS) y DoH (DNS sobre HTTPS)—, la sustitución clásica de respuestas deja de funcionar.
En respuesta se aplican medidas más toscas: bloquear por IP los resolvedores públicos conocidos, filtrar por SNI los dominios de operadores DoH, reducir la velocidad o cortar conexiones con nodos donde se detecta «actividad DNS en HTTPS». Algunos operadores interceptan la función de resolvedor del abonado —por ejemplo, redirigen forzosamente el puerto 53 a sus servidores y no permiten alternativas si no figuran en la lista de permitidos.
Esto provoca efectos colaterales: desde la desaparición de recursos legítimos hasta retrasos al abrir sitios.
Mensajería y VoIP
Las aplicaciones de comunicación están sometidas a análisis dirigido. Los protocolos cifrados de mensajería y VoIP hacen que no se pueda inspeccionar el contenido, por lo que se analizan marcadores: bloques de inicialización, longitudes de los primeros mensajes, frecuencia de keep-alive, conjuntos de puertos y comportamiento en retransmisión.
Cuando el sistema identifica señales estables, aplica reglas puntuales. A menudo se añade una estrangulación dinámica del ancho de banda: no se corta el flujo, pero se limita la velocidad hasta niveles en que las llamadas se degradan y el vídeo se vuelve inutilizable. Este enfoque es menos visible para la monitorización externa, pero reduce eficazmente la utilidad de la aplicación.
Métodos de infraestructura
Manipulaciones BGP
La parte de infraestructura se basa en la gestión de rutas. Si es necesario aislar segmentos internacionales rápidamente, los proveedores pueden cambiar la política BGP: dejar de anunciar ciertos prefijos o romper pares con enlaces ascendentes concretos.
A veces se crean «agujeros negros» selectivos para subredes objetivo: el tráfico se dirige a una interfaz null sin explicaciones a nivel de aplicación. Hay casos de manipulación del MTU, que rompe protocolos sensibles a la fragmentación, y filtrado selectivo de ICMP, lo que impide la correcta configuración de rutas y el descubrimiento de PMTU. Todo ello es difícil de detectar para el usuario final, pero se aprecia en latencias y anomalías en trazas.
Evolución de las tecnologías
Carrera armamentista
Los sistemas de control no existen en el vacío: los desarrolladores de herramientas de evasión cambian las máscaras y los cortafuegos ajustan los clasificadores. En el lado del cliente surgen protocolos que «se hacen pasar» por sitios web comunes sobre TLS, replican huellas JA3/JA3S de navegadores populares, imitan la estructura de cabeceras HTTP y añaden tráfico de fondo para suavizar las estadísticas.
En respuesta se refuerza el modelo de «no confiar en lo raro»: todo lo que se aparta de la norma queda sujeto a ralentización o bloqueo, incluso sin firmas directas. Así se genera una carrera en el nivel de metadatos: no el contenido, sino la forma y el ritmo del intercambio se convierten en el objeto del enfrentamiento.
Efectos colaterales
Los efectos colaterales merecen atención. El bloqueo por dirección en una CDN afecta a sitios legítimos porque miles de dominios comparten un mismo conjunto de IP. El filtrado por SNI rompe escenarios con certificados multidominio y microservicios en alojamiento compartido.
Las inyecciones de respuestas DNS introducen entradas erróneas en cachés de resolvedores intermedios que luego emergen durante mucho tiempo. Las ralentizaciones forzadas degradan la experiencia del usuario incluso donde formalmente no hay prohibición: el sitio se abre, pero muy lento, y la audiencia abandona el servicio. Los investigadores llaman a esto «denegación de servicio suave»: jurídicamente no hay bloqueo, pero en la práctica tampoco hay acceso.
Gestión y monitorización
Telemetría
Para que los sistemas sean manejables necesitan telemetría. En las troncales hay puertos espejo y sensores que recogen estadísticas por protocolos, dominios, sistemas autónomos y aplicaciones. Esos datos se comparan con objetivos: cuota de tráfico internacional, tiempo de respuesta de servicios permitidos, volúmenes UDP en puertos 443/500/4500, número de huellas TLS no estándar.
Si algo se desvía, las reglas se endurecen; si empieza una fase de relajación, las listas se actualizan y se levantan prohibiciones excesivas. La gestión se automatiza mediante controladores centralizados —en esencia, un enfoque SDN a nivel de redes de operador— donde las políticas se escriben una vez y se distribuyen a miles de dispositivos de distintos fabricantes.
Integración jurídica
La parte jurídica complementa la técnica. Las leyes exigen a los operadores conservar registros de conexiones, ofrecer interfaces para la «intercepción legal» y cumplir las órdenes del regulador en plazos cortos.
Esto influye en la arquitectura: los sistemas de registro forman parte del circuito productivo y el DPI dispone de modos de «solo observación» y de «intervención inmediata». En periodos críticos se activan listas blancas: hacia el exterior solo se permite acceso a servicios bancarios y estatales, y se bloquea el resto. Técnicamente esto se traduce en actualizaciones frecuentes y cortas de reglas y en prohibiciones preventivas sobre protocolos nuevos o raros, aun cuando tengan usos legítimos.
Análisis comparativo
China e Irán comparten el repertorio de herramientas, pero difieren en escala y objetivos. En el primer caso, durante décadas se construyó un ecosistema de dispositivos que «conocen» plataformas nacionales y están finamente ajustados a aplicaciones locales.
En el segundo, el énfasis está en retener a los usuarios dentro de la infraestructura nacional y en conmutaciones rápidas y controladas de los modos de acceso. En ambos se apuesta por DPI, por el análisis de metadatos del tráfico cifrado, por sondeos activos y por bloqueos «por síntomas» cuando no existen firmas exactas pero la probabilidad es alta.
Esto marca una pauta: cuanto más cifrado a nivel de aplicación hay, más atención pone la censura en lo que sigue siendo visible —direcciones, nombres, huellas, la forma del diálogo y la velocidad del intercambio.
Principios de funcionamiento
Es importante entender que hablar de estos sistemas no es referirse a una «caja negra» con superpoderes. Todo se reduce a unas operaciones claras: prohibir una ruta, sustituir una respuesta, interrumpir una conexión, impedir establecer un nuevo canal, recortar la velocidad.
La novedad está en la sutileza con la que se enlazan esas operaciones con el contexto: de dónde viene el tráfico, hacia dónde va, cuándo, y cuánto se parece al «tráfico normal». Y también en la rapidez con que las reglas se propagan por la red: minutos o segundos, no días. Por eso el debate sobre los límites del acceso a la información se convierte inevitablemente en un debate sobre métricas y algoritmos aceptables —dónde termina la protección razonable de la infraestructura y empieza la intervención excesiva en la privacidad y la libertad de expresión.
Conclusión
Los cortafuegos nacionales no son un muro mítico, sino un ensamblaje de mecanismos de red conocidos subordinados a un plan común. China e Irán muestran dos estrategias: una profundidad total de control y una aislación gestionada con apoyo en servicios internos.
Técnicamente funcionan mediante bloqueos por dirección y por nombre, sustitución de DNS, análisis de apretón de manos TLS, filtrado de QUIC, perfiles de comportamiento y comprobaciones activas, además de la gestión de rutas a nivel BGP.
A medida que el cifrado y las nubes internacionales se hacen más accesibles, la presión se desplaza hacia metadatos y estadísticas, aumentando el riesgo de pérdidas colaterales y «denegaciones suaves», cuando formalmente no hay prohibición pero el uso es imposible.
Comprender estos principios es útil para todos: para ingenieros —para construir servicios resistentes—, para usuarios —para explicar fallos inesperados— y para responsables políticos —para ver el coste de las decisiones, expresado no en eslóganes sino en latencias, reinicios y entradas erróneas en cachés del tráfico real.
