En septiembre de 2024 la empresa estadounidense Cloudflare activó en sus servidores la extensión TLS ECH (Encrypted Client Hello). La extensión cifra parte de los datos al establecer una conexión HTTPS, lo que dificulta la identificación de los sitios que visita el usuario.
La introducción de ECH impidió los planes de Roskomnadzor (RKN) para controlar y bloquear el acceso a recursos prohibidos. En respuesta a ello, en la noche del 5 al 6 de noviembre Roskomnadzor comenzó a bloquear las conexiones a Cloudflare que usan ECH. Los usuarios en Rusia empezaron a informar de problemas de acceso a sitios atendidos por Cloudflare con TLS 1.3 y ECH activados. Los sitios que usan TLS 1.2 y versiones anteriores funcionan sin interrupciones. Al mismo tiempo, el acceso a través de VPN seguía siendo posible, lo que indica acciones deliberadas de Roskomnadzor para restringir el acceso a esos recursos.
Además, Roskomnadzor recomendó a los propietarios de recursos en Internet renunciar al uso del servicio CDN de Cloudflare o desactivar ECH para evitar bloqueos. El organismo subrayó que el uso de la extensión viola la legislación rusa y se limita mediante medios técnicos de contramedidas (TSPU).
¿Qué es ECH?
ECH (Encrypted Client Hello) — es una extensión del protocolo TLS (Transport Layer Security) que proporciona un nivel adicional de privacidad al establecer conexiones seguras en Internet. Está diseñada para proteger el contenido del llamado "Client Hello", el mensaje inicial que envía el cliente al servidor al establecer una conexión TLS, que normalmente se transmite en texto claro.
Cómo funciona ECH: En una conexión TLS habitual, durante el intercambio de datos a través del "Client Hello" se revelan algunos metadatos, como:
- El nombre de host al que el usuario intenta conectarse (a través del campo Server Name Indication, SNI);
- Las versiones de TLS compatibles y los parámetros criptográficos del cliente.
Esos datos pueden ser interceptados por atacantes o utilizados para rastrear la actividad del usuario en la red.
En qué consiste ECH: ECH protege esos datos cifrando el contenido del "Client Hello". En ese caso, un observador externo no puede ver el nombre del sitio al que accede el usuario ni los demás detalles que normalmente se envían en claro. El cifrado se realiza con una clave pública proporcionada por el servidor, lo que aporta privacidad adicional.
Por qué se necesita ECH: ECH es relevante en una época de mayores exigencias de privacidad, ya que permite proteger la información sobre las solicitudes y reforzar la protección de datos confidenciales en Internet.
Reacción de los usuarios
Los usuarios en Rusia reaccionaron de distintas maneras. Algunos notaron una mejora en el acceso a recursos antes restringidos, como YouTube, debido a las dificultades que enfrentan los sistemas de bloqueo de Roskomnadzor al lidiar con el tráfico cifrado mediante ECH.
En redes sociales y foros se desataron discusiones de inmediato. Los usuarios debatieron los aspectos técnicos del bloqueo y analizaron cómo exactamente Roskomnadzor lleva a cabo las restricciones. Especial indignación provocó que no solo se afectaran recursos prohibidos, sino también sitios legítimos que usan Cloudflare, lo que causó muchas molestias.
Muchos consideran que el regulador exageró. En redes sociales, comentarios y noticias no se contuvieron en las expresiones: la gente escribió que tales acciones violan su derecho a un internet libre y al acceso a la información. Aparecieron bromas mordaces sobre que se había cerrado el acceso al pronóstico del tiempo y a sitios de manga. Tampoco faltaron menciones de métodos para eludir los bloqueos.
Como resultado, el bloqueo de TLS ECH se convirtió para Roskomnadzor en una nueva ola de descontento entre los usuarios. La gente no solo busca formas de eludirlo, sino que parece estar considerando seriamente cómo proteger sus derechos en internet.
Perspectivas y posibles consecuencias
La activación de ECH y las acciones posteriores de Roskomnadzor plantean preguntas sobre el equilibrio entre la privacidad de los usuarios y las capacidades del Estado para controlar el tráfico de Internet. Por un lado, ECH ofrece un mayor nivel de protección de los datos de los usuarios; por otro, dificulta el cumplimiento de las funciones estatales relacionadas con la seguridad de la información.
Queda la pregunta: ¿tomará Roskomnadzor medidas adicionales, incluidas bloqueos más severos o el desarrollo de nuevas soluciones técnicas para controlar el tráfico?
