La innovación china en control total: el Gran Cortafuegos (GFW) no es un firewall, sino un sistema «vivo» que anticipa tu intento de eludir la censura antes de que lo lleves a cabo.

La segunda parte de la serie materiales de DomainTools sobre el Gran Cortafuegos chino revela su mecánica interna — la estructura, los principios y las conexiones que sustentan la mayor sistema de control digital del mundo. De la filtración de 500 GB — más de 7000 archivos con esquemas, registros y tablas de servicio — se pudo reconstruir un panorama detallado de la infraestructura que gestiona la censura en internet en China.

En el centro de esta arquitectura se encuentra el sistema Traffic Secure Gateway (TSG) — una plataforma modular de inspección profunda del tráfico, capaz de interceptar conexiones SSL/TLS y aplicar políticas de filtrado de forma centralizada. Está desplegada tanto en las rutas troncales de los proveedores nacionales como en nodos regionales de acceso, sincronizándose con centros de mando de nivel YGN Center. A través de paneles de control como Cyber Narrator los operadores reciben telemetría en tiempo real, etiquetas de palabras clave y actualizaciones de reglas, que se propagan instantáneamente por toda la red.

El mecanismo de filtrado es multinivel. El sistema reconoce canales cifrados de evasión — Psiphon, Shadowsocks, V2Ray — por identificadores SNI de TLS, redirige las consultas DNS y bloquea nodos sospechosos. Los registros de Redis, MAAT y Gohangout muestran cómo el comportamiento de los usuarios se vincula con dispositivos, sesiones y patrones de IP, lo que permite rastrear en línea los intentos de evasión.

Los documentos describen la cooperación entre operadores estatales de telecomunicaciones, agencias y laboratorios bajo la coordinación del Centro Nacional de Contrainteligencia (NCSC) y equipos vinculados a Fan Binsin — creador del Gran Cortafuegos.

El alcance interno del sistema va mucho más allá del filtrado de sitios. El Gran Cortafuegos produce una realidad digital controlada, donde las búsquedas, las plataformas sociales y los algoritmos descartan temas indeseados y amplifican los permitidos. Así se crea un circuito de conformidad ideológica: no solo se bloquea la influencia externa, sino que se genera consenso interno.

El aislamiento del internet global es la segunda función del sistema. Los bloqueos de YouTube, Twitter y Google no son solo ideológicos, sino también tácticos: protegen el tráfico y los datos internos de la inteligencia extranjera. La segmentación IPv6, las técnicas de sinkhole DNS y el filtrado de VPN conforman un "internet chino" separado, donde el control de la información se mantiene en cada nivel de los protocolos.

El Gran Cortafuegos no es un solo producto, sino un ecosistema. Los operadores China Telecom, China Unicom y China Mobile gestionan los canales, mientras que proveedores como Hamson Technology, Venustech, Topsec y Huaxin desarrollan módulos hardware y software — desde placas DPI y chips criptográficos hasta sistemas de gestión de reglas. Estas empresas actúan bajo la supervisión de organismos como el Ministerio de Seguridad del Estado y el Ministerio de Industria y Tecnología de la Información, suministrando componentes compatibles con estándares estatales y listos para exportación. Así surge un complejo censurador-industrial, donde desarrollos privados se integran en la infraestructura estatal de control.

Los nodos principales son módulos DPI que procesan flujos TCP en tiempo real y analizan cabeceras HTTP y los saludos TLS. Mediante el motor Redis reciben reglas de filtrado y, en caso de coincidencia, provocan la interrupción de la conexión. Los registros JA3 y SNI muestran la identificación precisa de canales cifrados. A nivel de enrutamiento se usan inyecciones de prefijos BGP y mecanismos sinkhole, también para IPv6. Los agentes regionales realizan escaneos activos de direcciones sospechosas y envían los resultados a bases centrales.

El registro de eventos se realiza a través de MAAT y Gohangout, y Redis funciona como caché de datos de sesión. Estos sistemas recogen métricas de latencias, parámetros TLS y consultas DNS, con base en las cuales se actualizan listas negras y blancas. Los algoritmos evalúan comportamientos "anormales" — sesiones cifradas largas, extensiones TLS no estándar — y anticipan el bloqueo antes de una infracción explícita. De este modo, el Gran Cortafuegos se convierte en un sistema de coerción predecible que valora el riesgo en tiempo real.

En las tablas de la filtración aparecen direcciones IP, identificadores MAC y operadores responsables de los dispositivos. De ello se deduce que el cortafuegos se administra mediante un panel centralizado con despliegue remoto de actualizaciones e instrucciones de autenticación LDAP. Los administradores regionales reciben filtros según horarios y rinden cuentas sobre el estado del despliegue. Un sistema arbóreo de colas de mando permite introducir cambios en tiempo casi real y adaptar el filtrado por regiones.

Las huellas TLS JA3 y los filtros SNI a veces generan falsos positivos. Los registros recogen casos en los que tráfico de AWS o Google Cloud fue identificado erróneamente como VPN y enviado a sinkhole. Los errores se corrigen parcialmente de forma manual, lo que evidencia la dependencia del sistema de control humano y su vulnerabilidad al escalar.

Los registros de filtrado MAAT y sd-redis contienen identificadores únicos de dispositivos (UUID, IMEI/IMSI), lo que sugiere la vinculación de la actividad de la red con identidades personales. Estos datos probablemente se transmiten a los sistemas estatales Tianwang y Xueliang — plataformas unificadas de videovigilancia y análisis. De este modo, la censura se integra en el mecanismo de evaluación ciudadana y el control del comportamiento.

El Gran Cortafuegos está integrado en el Sistema de crédito social (SCS), que agrega datos legales, financieros y de conducta. Los intentos de acceso a VPN o a recursos prohibidos pueden computarse en la evaluación de la "fiabilidad" de un ciudadano. Así, el cortafuegos funciona no solo como barrera de red, sino como componente de un sistema de presión social que conecta tecnologías de vigilancia con sanciones administrativas.

La filtración mostró un ecosistema complejo pero frágil —un híbrido de burocracia y automatización, capaz de adaptarse en tiempo real y mantener el control jerárquico sobre el tráfico de 1.400 millones de usuarios. Errores en el enrutamiento y nodos duplicados revelan vulnerabilidades, pero la arquitectura general sigue siendo resistente gracias a la redundancia y la estructura distribuida. No es solo un cortafuegos: es un sistema vivo de gobernanza algorítmica de la sociedad.