El bloqueo de webs de todo tipo por las más diversas razones es una realidad en el día a día del internauta español. Las operadoras ejercen censura sobre las webs a las que podemos acceder, siguiendo instrucciones, bien de la autoridad judicial o de algunas de las entidades autorizadas para hacerlo. En este artículo te contamos qué sistema usan Movistar, Vodafone, Orange, MásMóvil y Euskaltel, cada una con sus respectivas submarcas, para decidir los contenidos a los que pueden acceder sus clientes.

Telefónica decide cada semana qué webs IPTV se bloquean

En febrero Telefónica consiguió que un juez le permita ser la entidad que decide qué webs de streaming son bloqueadas por los principales proveedores de Internet, de forma que los usuarios no puedan acceder a ellas desde España. Desde entonces, la división audiovisual de Telefónica mantiene un listado de webs que el resto de grandes operadoras están obligadas a censurar. La información de este listado se actualiza semanalmente con los nuevos servicios IPTV que a juicio de Telefónica no deben verse desde nuestro país.

Para saber cómo las operadoras españolas ejercen la censura y las medidas técnicas que utilizan para hacerlo, hemos tomado uno de los dominios prohibidos y hemos comparado la respuesta que se obtiene al intentar navegar desde diferentes conexiones. Para ello utilizamos la base de datos del Open Observatory of Network Interference, cuya app permite a sus usuarios comprobar si un servicio está bloqueado desde su ISP, comparándolo con el funcionamiento desde un acceso sin censura.

La URL que hemos elegido es pirlotvonline.net, uno de los varios dominios utilizados por Pirlo TV HD en su intento por evadir la censura. Sabemos que la web funciona perfectamente si accedemos mediante algo tan simple como el traductor de Google. También nuestra herramienta ¿No Funciona? muestra que la web resuelve y responde. ¿Pero qué ocurre al hacerlo desde un hogar con una de las conexiones de las principales operadoras?

Cómo censuran webs las operadoras

OperadoraSistema autónomoTipo de bloqueo
Movistar3352Inspección de paquetes con FortiGate
Vodafone12430Inspección de paquetes con Allot
Orange12479Bloqueo DNS resolviendo a 127.0.0.1
MásMóvil15704Inspección de paquetes
Yoigo16299Bloqueo DNS resolviendo a 192.168.1.254
Euskaltel12338Bloqueo DNS no resuelve

Las operadoras ejercen el bloqueo principalmente mediante dos sistemas. El primero y más sencillo es falseando la respuesta del servidor DNS, de forma que el usuario intenta acceder a una dirección IP que no tiene un servidor web escuchando, resultando en un error de navegación. Es el sistema utilizado por Orange, MásMóvil en la red móvil de Yoigo y Euskaltel.

El segundo método, mucho más efectivo, consiste en inspeccionar el tráfico del usuario analizando la conversación entre nuestro dispositivo y el servidor de destino para descubrir si estamos accediendo a una de las webs prohibidas. En ese caso se intercepta la comunicación enviándonos una respuesta falsa en forma de un HTML con un error. Es el sistema que utilizan Movistar, Vodafone y MásMóvil en su red fija. La inspección DPI es efectiva incluso cuando accedemos sobre HTTPS, al analizar el diálogo inicial en el que el navegador cliente manda en texto plano el nombre del dominio al que desea acceder.

Movistar

Movistar utiliza el producto comercial FortiGate, manteniendo dentro de su red máquinas cuyo cometido es inspeccionar los paquetes de tráfico mediante DPI. El HTML con el que responde contiene información sobre el servidor que ha realizado la interceptación dentro del campo FGT_HOSTNAME.

<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01//EN">
<!--
CATEGORY:  
DEST_IP:  172.67.150.14
FGT_HOSTNAME:  RFFBTB1-01
SOURCE_IP:  [REDACTED]
-->
<html>
  <head>
    <title id="3">
      Error 404 
    </title>
  </head>
  <body>
    <CENTER>
      <h1>
        ERROR 404 - File not found
      </h1>
    </CENTER>
  </body>
</html>

HTML que obtenemos al acceder a pirlotvonline.net desde Movistar

Vodafone

DPI de Allot

Vodafone utiliza el sistema DPI de Allot. En el HTML con el que responde, Vodafone se exculpa indicando que es ajena a las razones del bloqueo. El sistema de Allot incluso es capaz de generar un certificado SSL falso suplantando el de la web genuina.

<META HTTP-EQUIV="Pragma" CONTENT="no-cache"><META HTTP-EQUIV="Expires" CONTENT="-1"><html>Por causas ajenas a Vodafone, esta web no está disponible</html>

HTML falseado por Vodafone

Orange

Según los registros de OONI, Orange interceptaba hasta hace poco mediante DNS, haciendo que el dominio resuelva en la IP 127.0.0.1, que apunta al propio dispositivo del usuario, por lo que da un error muy poco explicativo.

El usuario @albertosapiens mantiene un hilo actualizado con las URLs bloqueadas desde Orange y advierte que la operadora podría haber empezado a usar DPI en vez de bloqueo DNS en las últimas semanas.

MásMóvil

El DPI de MásMóvil responde con un breve HTML muy poco explicativo.

<html><body>Object not found</body></html>

HTML al acceder desde MásMóvil y sus submarcas

En la red móvil de su marca Yoigo, MásMóvil simplemente bloquea por DNS apuntando a la IP privada 192.168.1.254, resultado de nuevo en un error que poco tiene que ver con la razón del bloqueo.

Euskaltel

Las marcas del grupo Euskaltel bloquean mediante DNS, pero en este caso no se ofrece una IP sino que simplemente se responde con un error de resolución.

Cómo evadir el bloqueo de webs

Anomalia detectada por OONI

Si el bloqueo que utiliza tu operadora es DNS, en la mayoría de los casos evitarlo será algo tan sencillo como cambiar los DNS configurados en el router de tu ISP por unos públicos como los que proporciona Google o Cloudflare.

La cosa se complica cuando se trata de bloqueo DPI, aunque algunas pruebas señalan que manteniendo la conexión suspendida durante 10 segundos justo antes de enviar el header Host provocará que la máquina DPI cierre la inspección, permitiendo a partir de ese momento acceder a la web. Otra técnica consiste en enviar un final de línea distinto (\r\n en vez de \n) tras el header Host. Evidentemente, los navegadores habituales no permiten un control tan exhaustivo del diálogo cliente-servidor, aunque todo es cuestión de encontrar la extensión que lo haga.

Fuente: Bandaancha