LaLiga contra Cloudflare, un bloqueo que deja a muchos fuera de juego
El partido de LaLiga contra Cloudflare se ha intensificado, con una táctica de bloqueo que deja a muchos fuera de juego. Desde febrero, LaLiga ha ordenado a las operadoras bloquear temporalmente IPs compartidas de Cloudflare para frenar las retransmisiones piratas de fútbol. Sin embargo, esta estrategia ha afectado a millones de usuarios y empresas que dependen de esas conexiones, dejándolos sin acceso a miles de sitios web durante los partidos. Es como cerrar una ciudad entera porque en ella se esta jugando un partido.
Mientras Cloudflare intenta responder y minimizar el impacto, LaLiga mantiene su presión alta, bloqueando rangos enteros de IPs sin distinción. Este enfoque está generando críticas y podría acabar siendo revisado por los tribunales, ya que las restricciones masivas están perjudicando a terceros sin relación con la piratería. El partido sigue en juego, y la gran pregunta es si se puede combatir el streaming ilegal sin expulsar injustamente a quienes solo quieren seguir con su actividad.
¿En qué situación nos encontrábamos antes de LaLiga contra Cloudflare?
En 2022 LaLiga daba a conocer una resolución judicial que le permite solicitar a los proveedores de acceso a Internet (ISPs, -Movistar, Vodafone, Orange, etc) un bloqueo de páginas web o servicios por dominio -es decir, por el nombre que ponemos en la barra de nuestro navegador-. Este ha sido un tema que ha traído polémica desde el principio, al permitir a una organización controlar qué contenido debe estar o no bloqueado sin pasar por un juez previamente.
Este tipo de bloqueos desde los ISPs eran posibles debido a un fallo de seguridad en uno de los protocolos de Internet más comunes y de los que depende nuestra seguridad a la hora de acceder a páginas web, se trata de TLS. Debido a esto, aunque las comunicaciones sean seguras y cifradas utilizando https entre clientes -navegadores- y servidores hay cierta información que es visible, concretamente el dominio de las webs a las que se acceden, o el SNI -server name indication-. De esta forma el bloqueo era sencillo para las operadores, analizar el tráfico de cada uno de los clientes, ver ese dato visible de a qué web estaban accediendo y si está en la lista de dominios prohibidos bloquear la conexión.
Implementación de ECH
Desde la versión de TLS 1.3 publicada en 2018 este fallo de seguridad ha tenido solución, el denominado ECH -anteriormente conocido como ESNI o encrypted SNI-. Pese a la antigüedad de esta solución, este tipo de cambios en elementos centrales en la tecnología de Internet toman mucho tiempo desde que se definen hasta que se implementan y son ampliamente utilizados. Este es un ejemplo perfecto, el estándar está definido desde 2018, pero no ha sido hasta 2023 cuando se ha habilitado en servidores y en los principales navegadores del mercado –Chrome y Firefox-.
¿Cómo funciona ECH?
Ya sabemos que ECH soluciona el problema de privacidad de que las operadoras sean capaces de conocer qué webs accedamos pese a utilizar una comunicación cifrada. Para entender cómo funciona ECH primero tenemos que saber como accede nuestro navegador a las webs. En este punto es importante dejar clara la diferencia entre dos elementos normalmente confundidos en relación a Internet: por una parte tenemos las direcciones IPs, que son utilizadas para saber los orígenes y destinos del tráfico en Internet, y por otras los dominios, que son los nombres que asignan y a través de los cuales se acceden a servicios o webs.
Podemos imaginar la conexión a una página web como si enviásemos una carta pero en sentido contrario, en donde enviamos un sobre vacío para que nos devuelvan una carta.
El proceso sería algo así:
- El navegador, gracias a DNS, averigua la dirección IP del servidor al que tiene que conectarse.
- Prepara un sobre, en el que escribe como remite su propia dirección IP y como destino la dirección IP del servidor y el dominio -recordemos que las direcciones IPs solo se utilizan para saber de dónde a dónde enviar el sobre-.
- El sobre se envía al ISP para que llegue a destino.
- Cuando el sobre llega al servidor de destino, se analiza el dominio para obtener la página web que se quiere cargar y se mete en otro sobre, esta vez con el remite como dirección IP del servidor y destino nuestra dirección IP.
- Cuando el nuevo sobre llega de vuelta, se saca la web y se carga en el navegador.
Una vez entendido esto, vemos claramente el problema: cualquier mano por la que pase nuestro sobre sabrá qué web queremos acceder, puesto que el dominio está en el exterior del sobre. Aquí es donde entra en juego ECH, haciendo que ese dominio que va escrito en el sobre esté cifrado, solo pudiendo ser descifrado por el servidor que lo va a recibir.
Limitaciones de bloqueo con ECH
Debido a la naturaleza de ECH -cifrando del dominio al que se quiere acceder- los bloqueos basados en dominios se dificultan, siendo técnicamente inviables. Esto implica que desde 2023, cuando navegadores habilitaron ECH por defecto, los bloqueos tradicionales que estaban aplicando los ISPs quedaron inutilizados.
Lo que se consigue con esta funcionalidad es que las comunicaciones entre navegadores y servidores están totalmente cifradas, sin que ningún intermediario tenga forma de saber a qué web se está accediendo. Esto limita las posibilidades de bloqueo básicamente a dos opciones: no poder aplicar bloqueos a nivel de red o bloquear todas las comunicaciones de un servidor.
Nueva aproximación de bloqueo
En 2024 aparece otra sentencia que reconoce las limitaciones de bloqueo que comentamos, y dictamina que se realice un bloqueo basado en direcciones IPs en lugar de hacerlo basado en los dominios a los que se acceden. Este cambio tiene muchas implicaciones por como funciona Internet en la actualidad, empezando por el hecho de que un mismo servidor puede exponer varios dominios y por tanto varias webs.
Implicaciones técnicas
Volviendo a nuestra analogía con el correo postal, este nuevo mecanismo de bloqueo en lugar de ver la web a la que se quiere acceder en el sobre se basa en la dirección de destino a la que enviamos el sobre. Esto tiene la connotación directa de que todos los sobres que vayan a un servidor marcado para bloqueo, independiente de qué web quieras visitar, va a estar bloqueado.
En los orígenes de la web esta aproximación podría haber llegado a ser válida, ya que cada web contaba con su propio servidor. Esto significa que al principio cuando accedías a una web era equivalente a acceder a una IP, pero no es como funciona la web a día de hoy.
La aproximación tradicional era costosa, porque había que dedicar servidores y direcciones IPs para cada web, fuese pequeña o grande. En este punto surgen las CDN -o Content Delivery Network-. Una CDN es una empresa que hace de intermediaria entre un cliente y una web, recogiendo los sobres en sus servidores y metiendo la web solicitada dentro. Similar a como cuando recibes una compra online y tienes dos empresas de paquetería, una que trae el paquete a la oficina local y otra que te lo entrega en casa. Actualmente casi todas las webs del mundo se encuentras detrás de CDNs, incluyendo nyarcode.com.
Cuando los bloqueos se hacen sobre direcciones IPs pertenecientes a CDNs, todas las webs que estén en esa CDN serán bloqueadas, ya que los operadores no tienen forma de diferenciar qué petición se corresponde con una web u otra.
Implicaciones al público en general de la lucha de LaLiga contra Cloudflare
Este bloqueo tiene implicaciones directas para el público en general. Para los consumidores de páginas web -todos nosotros- nos afecta directamente, porque el listado de direcciones IPs que se están bloqueando se corresponden con CDN, especialmente Cloudflare. Esto implica que, en momentos de bloqueo, no seremos capaces de acceder a ninguna web que utilice esa CDN.
Esto se está comprobando día tras día viendo las quejas de diferentes clientes por problemas de acceso a diferentes webs. Los principales afectados por estos bloqueos, además de los clientes que quieren acceder a webs legítimas, son las pequeñas y medianas empresas que no tienen grandes departamentos de tecnología y dependen de estas CDN para poder exponer sus webs a un coste asequible.
Veámos números
En este tipo de cuestiones es difícil hacerse una idea de la escala, por lo que una buena aproximación es, una vez entendido qué está pasando, investigar y analizar los números. Por simplificar el cálculo vamos a centrarnos en el caso de Cloudflare, aunque los bloqueos están afectando también a otras CDN como bunny o incluso GitHub -Microsoft-.
Hemos conseguido encontrar unas fuentes de datos que nos dicen cuántas webs se alojan en Cloudflare (wappalyzer y hunter.io), y podemos ver que se encuentran en torno al millón. No todas serán de relevancia en España, pero nos ayuda a hacernos una idea de la cantidad de webs que están en los mismos servidores. Entre esta lista de webs se encuentran algunas que todos hemos utilizado en algún momento como las IAs ChatGPT o Claude o servicios como Discord.
Efectividad del nuevo bloqueo
Desde NyarCode hemos investigado como se están realizando estos bloqueos a nivel técnico, y hemos visto que se han implementado diferentes formas de realizar el bloqueo. Podemos agrupar los bloqueos en tres grandes grupos.
- Bloqueo por SNI: Algunos operadores han realizado el bloqueo por SNI al igual que estaba haciendo anteriormente, por lo que no está haciendo bloqueo por IPs, solo en aquel tráfico que no utilice ECH y puedan saber el SNI. En este caso la efectividad podemos decir que es nula, porque no se diferencia en lo que había anteriormente.
- Bloqueo por IP: Otros operadores han optado por hacer un bloqueo de las direcciones IPs, por lo que todos sus clientes verán cortado el acceso a los servidores, tanto para webs ilegales como legítimas. En este caso el bloqueo es efectivo, pero perjudicando el acceso legal.
- Bloqueo en IPv4: Este es el tipo de bloqueo más curioso, ya que solo se ha bloqueado por IP, pero solo en la versión antigua y más utilizada de direcciones IPs, IPv4. Esto conlleva que los usuarios que utilicen una versión más moderna de IP, IPv6, no se verán afectados al bloqueo, pudiendo acceder tanto a webs legítimas como ilegales. En el caso de dispositivos que solo soporten la versión tradicional de IP, como los dispositivos de smarthome, se verán totalmente bloqueados del acceso, tanto a webs legítimas como ilegales. Podemos decir que se trata de un bloqueo burdo e inefectivo.
Junto a estos tipos de bloqueos se suma que la misma web puede accederse desde varias direcciones IPs y no desde una sola. Entonces la efectividad del bloqueo para webs -tanto legítimas como ilegales- dependerá del set de IPs que se estén utilizando en un momento determinado frente a las que estén bloqueadas.
Limitaciones y métodos de evasión
A mayores, en caso de usuarios de Apple que están utilizando Private Relay no se ven afectados por ningún tipo de bloqueo, ya que todo el tráfico va cifrado a través de una especie de VPN contra los servicios de Apple. La única forma de bloquear el tráfico desde los operadores en este caso sería deshabilitar la funcionalidad de seguridad o bloquear todo el acceso a Internet de dispositivos Apple.
Futuro de LaLiga contra Cloudflare
Para entender qué puede pasar a futuro tenemos que entender en qué situación nos encontramos ahora. En los medios estamos viendo una cruzada entre LaLiga y Cloudflare, pero no es un caso específico de esta empresa. Cloudflare ofrece el servicio de CDN de forma gratuita a clientes pequeños, por lo que es la opción lógica para pequeñas y medianas empresas. Esto se transforma en que es una de las CDN con más webs alojadas, por lo que también es una de las que más webs con contenido ilegal, simplemente por volumen.
Recordando nuestra analogía con el correo postal, Cloudflare sería una empresa de paquetería intermediaria, que se encarga de recoger la carta, ir al destino y darnos la respuesta.
El futuro dependerá enormemente de lo que suceda con la sentencia de 2024
En caso de que la información sobre esa sentencia que se ha obtenido sea verídica y no se anulada tendrá implicaciones graves para el mundo de la ciberseguridad. Por una parte, como consecuencia de esta guerra de LaLiga contra Cloudflare continuaremos con bloqueos masivos de webs legítimas, potencialmente afectará a cada vez más webs en caso de que se vean afectadas otras CDNs. Por otra sentará precedente permitiendo a una organización privada pueda bloquear -o censurar- aquellas IPs que considere perjudiciales para su negocio, todavía sin conocer qué requisitos debe cumplir o pruebas tiene que aportar para avalar el bloqueo.
Alternativas Preocupantes
En caso de que sea anulada, es posible que la LaLiga vaya directamente contra las CDNs, solicitando tener el mismo control de contenido que tiene actualmente sobre los ISPs, decidiendo de forma unilateral y sin justificación qué contenido debe ser bloqueado o permitido.
Otra aproximación, esperemos que más estridente para cualquiera que lea esto, es forzar la desactivación de funcionalidades de privacidad y seguridad como ECH o Private Relay.
Desde nuestro punto de vista todas estas aproximaciones -tanto el bloqueo por IPs, como prohibir funcionales de seguridad y privacidad, como el dar el poder a una organización privada de bloquear el tráfico- van en contra del principio de neutralidad de red e Internet abierta. En caso de tener que realizar un bloqueo de un servicio en Internet debe hacerse de forma que no afecte a ningún tercero de ninguna forma, por poco que sea, no disminuya la seguridad de los usuarios, sea efectivo, y se justifique de forma adecuada, informada y aprobada de forma legal.