Mongolia se une al creciente número de países que reducen la apertura y resistencia de Internet

Picture of Massimiliano Stucchi
Regional Technical Advisor - Europe, Internet Society
Categorias:
Twitter logo
LinkedIn logo
Facebook logo
March 21, 2023

El Parlamento mongol está revisando una controvertida ley que otorga al ministro del Interior el poder de cerrar el acceso a Internet.

La ley, aprobada apresuradamente por el Parlamento en enero y vetada rápidamente por el Presidente, privaría a 3,3 millones de personas de la posibilidad de comunicarse, aprender y ganarse la vida, perjudicando así a la economía del país.

El equipo de Pulse ha observado recientemente un aumento del número de países que aplican este tipo de legislación, lo que representa una tendencia negativa hacia una Internet abierta y menos resistente.

Control integrado a través de pasarelas nacionales de Internet

Varios países, entre ellos Azerbaiyán, Irán y Líbano, han construido su Internet de tal forma que el gobierno controla totalmente todo el tráfico que entra y sale del país a través de las pasarelas nacionales de Internet.

En estos países, todos los proveedores de servicios de Internet (ISP) deben comprar el acceso directamente a una única entidad conectada al gobierno, lo que significa que todo el tráfico transita por la red del gobierno, donde puede ser controlado y, potencialmente, bloqueado.

Esta configuración es atractiva para estos gobiernos, ya que permite mayores medidas de seguridad, una vigilancia más fácil y un mayor potencial de limitaciones y cierres de Internet.

Si observamos la configuración de Líbano mediante RIPEstat (Figura 1), el operador de red del gobierno libanés, Ogero (AS42020), tiene 101 vecinos únicos, o relaciones con otros Sistemas Autónomos (AS). De estos,

  • Tres están clasificados como de tipo “izquierdo”, lo que significa que son operadores de tránsito (Cogent, Level3 y Opentransit), que permiten a Ogero llegar a la Internet global.
  • 98 se clasifican como de tipo “derecho”, lo que significa que son clientes en sentido descendente, es decir, todas las redes del Líbano.
Captura de pantalla de la herramienta RIPEstat ASN Neighbor
Figura 1 – Redes locales (tipo: derecha) e internacionales (tipo: izquierda) que se conectan con Ogero (AS42020) (Fuente: RIPEstat).

Aparte de los problemas de privacidad, estas configuraciones de pasarela nacional reducen la cuota de mercado (aumentando la concentración del mercado) y crean un único punto de fallo que pone en peligro la resistencia de la conectividad del país a la Internet mundial.

El modelo iraní de acceso único permite medidas estrictas de seguridad de las rutas

Aunque Irán tiene una de las Internets domésticas más controladas del mundo, el gobierno impone el uso de la Infraestructura de Clave Pública de Recursos (RPKI) a todos sus clientes.

Casi todas las redes de Irán están cubiertas por una Autorización de Origen de Ruta(ROA), que ayuda a evitar secuestros y configuraciones erróneas que repercuten negativamente en la Internet del país.

Obtenga más información sobre la seguridad del enrutamiento y sobre cómo la Internet Society está apoyando una iniciativa global liderada por la comunidad para implantar las mejores prácticas con el fin de reducir las amenazas de enrutamiento más comunes.

Aunque una pasarela nacional que ofrezca un único punto de entrada a Internet permite un control estricto de la topología de la red, el tráfico cifrado seguiría transitando por ella sin problemas. Aquí es donde entra en juego la inspección profunda de paquetes (DPI).

Uso de la inspección profunda de paquetes (DPI) para inspeccionar el tráfico cifrado

Para entender cómo es posible, debemos tener en cuenta que un gran porcentaje del tráfico de Internet utiliza ahora TLS o QUIC como vectores de transporte. Aunque ambos cifran paquetes, la diferencia notable entre los dos es que QUIC cifra no sólo los detalles de la comunicación, sino la mayoría de los metadatos de conexión de los observadores, como el identificador de nombre de servidor (SNI). El SNI indica con qué servidor está intentando ponerse en contacto un usuario -por ejemplo, www.isoc.org-making-, por lo que a un actor externo que intercepte la comunicación le resultará fácil comprender hacia dónde se dirige.

En el caso de QUIC, interceptar el SNI es más complicado, por lo que las posibilidades de que un actor externo lo intercepte y utilice esa información para bloquear la conexión o redirigirla son mínimas.

Por eso hemos observado recientemente el siguiente fenómeno en Rusia e Irán (Figuras 2 y 3).

Infografía que muestra el uso de TLS y QUIC en Rusia, de febrero a marzo de 2022.
Figura 2 – Uso de TLS y QUIC en Rusia, de febrero a marzo de 2022. (Fuente: Cloudflare)
Infografía que muestra el uso de TLS y QUIC en Irán, enero de 2023.
Figura 3 – Uso de TLS y QUIC en Irán, enero de 2023. (Fuente: Cloudflare)

En ambos ejemplos, podemos ver que el uso de QUIC descendió drásticamente en un momento dado. Creemos que esto se debe a la introducción de “cajas intermedias” que inspeccionan el tráfico pero no pueden gestionar QUIC. Esto podría considerarse una preparación para realizar una inspección más profunda y bloquear al usuario.

Control de la edificación a través de la normativa

Mongolia es el país noticia hoy, pero otros países como Azerbaiyán y Kazajstán también han demostrado que se disponen a ejercer un mayor control gubernamental sobre Internet:

También ha habido informes de ISP en Rusia e Irán que necesitan alojar cajas negras en el borde del proveedor controladas por sus respectivos gobiernos. Las cajas de borde del proveedor no sólo permiten la vigilancia, sino que pueden utilizarse para cortar la conectividad externa.

La última medida del Parlamento mongol, aunque evitada por el veto presidencial, demuestra que el afán por controlar el acceso a Internet no se enfría, sino que se mueve entre tácticas e instrumentos.

En la Internet Society -facilitadoresde una Internet abierta, globalmente conectada, segura y digna de confianza-el equipo de Pulse sigue de cerca estos preocupantes acontecimientos.