Así funciona ECH, el escudo tecnológico de Cloudflare que ha puesto a las operadoras entre la espada y la pared

La lucha de LaLiga contra las retransmisiones ilegales de fútbol se ha topado con un obstáculo inesperado: ECH (Encrypted Client Hello), un protocolo de cifrado que protagoniza el gran conflicto y los daños colaterales de esta batalla, que salpica a miles de empresas.

Punto de inflexión. Todo comenzó cuando Cloudflare implementó en octubre de 2023 el protocolo ECH (Encrypted Client Hello), una extensión de TLS que impide a las operadoras identificar qué dominio específico está solicitando el usuario.

Este protocolo hace técnicamente imposible que las operadoras puedan ver qué dominio específico solicita un usuario.

El contraste. ECH funciona como una capa adicional de cifrado que oculta completamente el destino final de una conexión:

• Cuando un usuario intenta acceder a una web, su navegador inicia una «negociación» cifrada (handshake TLS) con el servidor.
• Antes de ECH, aunque esta conexión estaba cifrada, el nombre del dominio viajaba «en claro» para que los servidores intermedios pudieran enrutar el tráfico.
• Con ECH, el nombre del dominio también va cifrado, imposibilitando que las operadoras sepan a qué web concreta está accediendo el usuario.

El sistema se complica aún más porque Cloudflare usa IPs compartidas:

• Una misma dirección IP puede alojar cientos o miles de webs diferentes.
• Sin ECH, las operadoras podían ver qué dominio solicitaba cada usuario y bloquear selectivamente.
• Con ECH activado, solo ven una IP cifrada que podría estar sirviendo tanto contenido legal como ilegal.
• Esto deja dos opciones a las operadoras: bloquear toda la IP (afectando a cientos o miles de sitios) o no bloquear nada. Cuando eligen lo primero llegan las webs legítimas bloqueadas.

Para evitar los bloqueos, que además se traducen en una crisis reputacional, algunas operadoras están recurriendo a técnicas alternativas como:

• Análisis de patrones de tráfico.
• Inspección profunda de paquetes (DPI).
• Bloqueo por SNI (Indicación del Nombre del Servidor) cuando ECH no está activo.

Pero estas soluciones son complejas, costosas y no siempre efectivas. El conflicto ha escalado, Movistar ha suavizado sus bloqueos, DIGI los ha endurecido y Vodafone dice tener una solución más precisa aunque no ha revelado detalles todavía (desde Xataka les hemos preguntado por esto sin haber recibido respuesta en el momento de publicar este artículo). Posiblemente usan uno de los últimos puntos.

Lo próximo. ECH ha supuyesto un cambio enorme en la arquitectura de Internet. El precedente de Austria, donde se prohibieron los bloqueos de IPs para proteger la neutralidad de la red, nos sugiere que el modelo actual de regulación necesita adaptarse a esta nueva realidad.

Mientras tanto, el pulso entre LaLiga y Cloudflare persiste, y miles de empresas españolas también siguen atrapadas en medio del conflicto.

Imagen destacada | Cloudflare

En Xataka | Qué es Cloudflare, cómo funciona y por qué una caída o bloqueo hace que medio Internet falle