Censura en Internet

Censura en Internet, qué es y cómo evitarla

El Por En Podcast de Redes

Podcast: Descargar (Duración: 36:49 — 34.3MB)

La línea que separa la censura y la protección es fina, muy fina, la censura en Internet a veces es necesaria, pero es extremadamente difícil mantenerse dentro de la necesidad.

Está claro que no todo el contenido de Internet debe ser accesible y hay que proteger a los usuarios. El problema es que las operadoras ya tienen las herramientas y los usuarios lo único que podemos hacer es confiar que esas herramientas son para protegernos.

De todos modos este es un podcast técnico y ahora mismo no me interesa hacer un alegato moral ni filosófico ni nada parecido, simplemente quiero explicaros en qué consiste y cómo evitarla en la medida de lo posible la censura en Internet.

Neutralidad de la Red

¿Qué es una red?, una estructura formada por dispositivos, enlaces y protocolos que transporta información de un lugar a otro.

Nos da igual el contenido, de hecho, el contenido no afecta en lo más mínimo más allá de seleccionar un protocolo u otro dependiendo de si queremos establecer una sesión o no, si queremos retransmisión a tiempo real o no, y cosas así, pero nunca nos metemos en el contenido en si.

A ese concepto es a lo que se llama Neutralidad de la Red, a poner a disposición de los usuarios una red para transportar información, sea la que sea.

En muchas redes sin embargo se bloquea, se filtra o incluso se degrada determinado tráfico.

Esto lo hacen operadoras, universidades, colegios, autoridades o incluso padres, realmente cualquiera que gestione una red o que tenga poder sobre una gestión de red.

Técnicas de Bloqueo

Las técnicas para bloquear o filtrar contenido son las siguientes:

  • Bloqueo de IPs: Se bloquea el acceso a determinadas IPs.
  • Bloqueo Contenido: Se bloquean webs que contentan determinadas palabras.
  • Filtrado de URL: Como en bloqueo de contenido, pero miramos cadenas en la URL.
  • Bloqueo de DNS: Bloqueamos resoluciones de DNS.
  • Filtrado de paquetes: Se miran las cabeceras del paquete, p.e. para filtrar correo.
  • Deep Packet Instpection: Se mira también el contenido del paquete. Aquí entraría el problema del SNI.
  • Caídas de Red: Directamente se manipulan redes usando BGP.
  • Solicitudes de borrado por parte de los usuarios (En la Unión Europea), se puede contestar con error 451.

Controlar la censura

Hay que tener cuidado de no confundir caídas de servicio con censura y hay que tener en cuenta que lo normal es que desde nuestro punto de vista no haya ninguna diferencia, un servicio que no funciona y ya está, aunque a veces tenemos mensajes o incluso el famoso error 451, que yo nunca he visto,

Para saber si hay censura o no disponemos de herramientas que realizan una monitorización como netblocks u OONI aunque muchas veces se puede deducir por las respuestas que nos de el servidor.

Luego tenemos los famosos informes de transparencia de Google y de otras empresas que los publican.

Anonimato

Para evitar la censura tenemos varias opciones, obviamente también hay métodos para evitarlas, ahí es donde radica un poco la complejidad.

Lo primero de todo es entender que en Internet el anonimato no existe, sobre todo en las conexiones sin encriptación extremo a extremo, y aún en las conexiones encriptadas podemos saber origen y destino.

De todos modos, en muchas webs se puede extraer una gran cantidad de información como el fingerprint que hace que podamos identificar navegadores de forma unívoca y con ese fingerprint podemos trackear usuarios, así que cuidado con esto si queréis mantener un anonimato.

Según los navegadores tenéis distintas formas de evitar todo esto con plugins y configuraciones.

En cuanto a otras cosas ya sabéis que no es buena idea usar según qué buscadores, etc… pero esto realmente no afecta a la censura, así que no es motivo de discusión aquí.

Evitar la censura

Básicamente podemos hacer tres cosas para intentar evitar la censura:

  • Cambio de DNS
  • Uso de VPN
  • Tor

Cambio de DNS

El Cambio de DNS es muy sencillo, consiste en hacer las peticiones de DNS a otro resolutor, pero mucho cuidado porque como ya os comenté en su momento una petición de DNS al puerto 53 puede ser capturada y redirigida a otro servidor de DNS.

Así que el instalarse un Pi-Hole y ya está en casa puede no valer para nada, el configurarse en el ordenador otro DNS, como el 1.1.1.1 también puede no valer para nada. Es necesario asegurar la respuesta del servidor DNS, es decir, tenemos que asegurarnos que el servidor de DNS que nos responde es quien dice ser y además tenemos que asegurarnos que esa respuesta no ha sido modificada.

Para eso tenemos el DNSoHTTPS o incluso el DNSoTLS, aunque este último es muy fácilmente bloqueable con un firewall muy sencillo.

Lo importante es usar un servidor de DNS en el que confiéis y asegurar la conexión con protocolo, con vpn o como sea.

Configurar DNS por HTTPS en Pi-hole
Configuración de DNSoHTTPS en Pi-Hole

VPN

Esto es fundamental, pero no asegura nada tampoco si usáis cualquier VPN. (Comentar vpn de google)

La VPN sirve para que punto de exposición vuestro se cambie de lugar. Es muy importante asegurar donde os conectáis porque la VPN sólo asegura el tráfico desde vuestro lugar hasta el punto de salida.

Tor

Tor tiene la gracia de dividir el conocimiento de la conexión de forma que nadie conoce el origen y el destino a la vez pasando por tres nodos, lo cual le hace bastante seguro y es una capa que puede ser interesante.

Hay que tener en cuenta que el tráfico de Tor también puede ser bloqueado y que sólo sirve para el tráfico TCP.

Foto de Karolina Grabowska en Pexels