Qué es ECH y por qué ahora la navegación sí será completamente segura y privada
Navegar de forma totalmente privada y segura, es algo que no suele ser sencillo. Siempre existe la posibilidad de que tus datos se filtren y terminen en malas manos. Incluso los sitios web pueden saber de ti o tu operadora bloquear ciertas conexiones. Sin embargo, ahora sí vas a poder navegar realmente con total privacidad gracias a ECH, que ya está disponible en Chrome. Te vamos a explicar en qué consiste y también hablar de cómo va a ser un problema para los servicios que utilizan bloqueos.
ECH son las siglas de Encrypted Client Hello. Podemos decir que es una parte, una extensión, del protocolo TLS. Lo utilizan las páginas web cifradas por HTTPS. Lo que permite es navegar de forma más privada e incluso evitar que la operadora pueda utilizar el sistema de filtrado. Google Chrome, con su última actualización, incluye ya este protocolo, y Firefox también lo soporta, por lo que los dos navegadores más usados son compatibles con esta extensión del protocolo TLS que será crucial para mantener la privacidad en las conexiones.
ECH permite navegar de forma privada
Desde Cloudflare, han anunciado la activación de ECH en toda su red. Esto, unido a que Chrome ya permite usar este protocolo, va a hacer que navegar por Internet sea más privado y seguro. Hasta ahora, TLS tenía el campo SNI sin cifrar. ¿Qué significa esto? Las operadoras, por ejemplo, podían utilizar filtros para evitar acceder a ciertas páginas. Para poder proteger el SNI, Cloudflare lanzó, en el año 2019, eSNI. Esto no duró demasiado tiempo, ya que dos años después fue retirado y sustituido por ECH. Durante este tiempo, las operadoras han tenido mayor facilidad para bloquear conexiones. Por ejemplo, han podido bloquear sitios que emitan contenido pirata, como puede ser un evento deportivo.
Por ahora, aunque ECH sigue estando en constante transformación, sí es significativo el anuncio de Cloudflare de que lo va a activar en toda su red. Esto se une a que Google Chrome ya lo admite. Todo esto se traduce en que, una página alojada en Cloudflare, ya sea en la versión gratuita o de pago, va a evitar ser bloqueada. Hasta ahora, una opción era utilizar una VPN. Pero claro, esto puede generar problemas, no todo el mundo sabe configurarla correctamente y, en definitiva, era más probable que hubiera errores. Ahora, gracias a ECH, la navegación sí va a ser realmente privada y segura. Lo que hace ECH es cifrar por completo el mensaje ClientHello, bajo la clave pública del cliente servidor.
Esta extensión de TLS supone un antes y un después, porque ni con TLS 1.2 ni con el actual TLS 1.3 se ha solucionado de forma nativa el problema del SNI, sino que es una extensión que es totalmente opcional. Lo ideal para mantener la mejor privacidad posible, es que todas las webs habiliten el ECH con el objetivo de que no se puedan bloquear en tránsito, tal y como ocurre actualmente cuando intentamos entrar en alguna web que está bloqueada por LaLiga o La Coalición.
Cómo ven el SNI las operadoras
¿Qué opciones tienen las operadoras para poder ver el SNI de una conexión y poder bloquearla? Esto lo consiguen gracias a los sistemas DPI de las operadoras. Básicamente, existe un listado de dominios web que emiten contenido pirata y lo pueden bloquear. Las operadoras van a recurrir a la inspección de paquetes y obtener así el SNI. Cuando la operadora detecta esa irregularidad, evita el acceso a ese sitio web. No obstante, también pueden optar por el bloqueo DNS, aunque es menos utilizado. Hay cientos de páginas bloqueadas en España a través de este sistema y cuando alguien intenta acceder, recibe un mensaje de error.
LaLiga y La Coalición, ven ahora ECH como un riesgo. Los usuarios van a poder navegar con mayor privacidad y seguridad, por lo que no van a poder obtener el SNI con facilidad, como ha ocurrido hasta ahora. Eso va a imposibilidad que esos sitios web, alojados detrás de Cloudflare, puedan ser bloqueados.
Esto es una gran noticia para la libertad en Internet, pero también para la privacidad y seguridad, porque evitarán que terceras empresas como los operadores en España, puedan inspeccionar el tráfico y bloquear el acceso a las diferentes webs. Antes podíamos evadir estos bloqueos usando un servicio de VPN cualquiera, incluso del propio Cloudflare WARP podíamos conectarnos para evadir estos bloqueos, y también usando la VPN de Google One porque ambos servicios nos permiten cifrar punto a punto todas las conexiones, y salen a Internet a través de sus propios servidores. Por supuesto, si utilizas un servicio VPN de terceros, entonces podrás también evadir estas restricciones sin ningún problema, e incluso también evadir los filtros de geolocalización que pudieran tener algunas webs.