Basta de espiarnos: en la red proponen un método para ocultar al proveedor de internet los sitios que visitas
Te explicamos por qué esta decisión será una pesadilla para quienes apoyan la censura.
En Internet ha surgido otro intento de ocultar detalles innecesarios sobre a qué se conecta exactamente el usuario. Un nuevo estándar de la comunidad de ingenieros propone cerrar uno de los últimos «transparentes» elementos en las conexiones seguras — y con ello dificultar la vida de quienes vigilan el tráfico de la red.
El Internet Engineering Task Force (IETF) publicó el documento RFC 9849, que describe el mecanismo Encrypted Client Hello. Se trata de una extensión del protocolo TLS que permite cifrar el mensaje inicial del cliente al establecer la conexión con el servidor.
Incluso en la versión TLS 1.3 parte de los datos todavía se transmiten en claro. El elemento más sensible es el campo SNI, donde se indica el dominio al que se conecta el cliente. Un observador en la red puede ver ese dominio, incluso si el resto del tráfico está cifrado. El nuevo mecanismo elimina precisamente esa fuga.
La esencia del enfoque consiste en dividir el mensaje inicial en dos partes. La parte exterior se presenta como una solicitud normal y no contiene datos sensibles. La parte interior incluye la información real — por ejemplo, el dominio de destino — y se transmite ya cifrada. El servidor que posee la clave necesaria la descifra y continúa la conexión.
Los desarrolladores previeron dos escenarios de funcionamiento. En el primer caso, un único servidor procesa todo el tráfico por completo. En el segundo se utiliza una combinación de un nodo "frontal" y un servidor interno, donde el primero acepta la conexión y transmite los datos cifrados al segundo. Este enfoque permite ocultar la infraestructura final incluso frente a nodos intermedios.
El nuevo estándar no resuelve el problema por completo. La dirección del sitio aún puede revelarse mediante consultas DNS o direcciones IP. Sin embargo, combinada con tecnologías DNS protegidas, la privacidad aumenta de forma notable. En la documentación se indica explícitamente que el efecto máximo se alcanza solo al usar conjuntamente varios mecanismos.
Se prestó atención específica a la resistencia frente a ataques. El protocolo está diseñado para que un atacante no pueda forzar la desactivación del cifrado ni extraer datos mediante la modificación de mensajes. También se prevén medidas contra el rastreo de usuarios mediante configuraciones de claves.
La implementación de ECH requerirá cambios tanto del lado de los clientes como de los servidores. Errores en la configuración pueden provocar retrasos adicionales al conectarse, ya que el mecanismo prevé reintentos de conexión cuando las configuraciones no coinciden.
A pesar de las dificultades, la aparición del RFC 9849 muestra que la evolución de TLS va cerrando gradualmente incluso aquellas fugas que durante mucho tiempo se consideraron inevitables. Para los observadores en la red queda cada vez menos información disponible sin intervención directa.