Los riesgos para la privacidad en los bloqueos de sitios de Internet mediante URL
29/07/2024
En los últimos años ha habido un incremento notable en los proyectos de ley y regulaciones que buscan restringir el acceso a algún sitio web mediante el bloqueo de dominios, direcciones IP y URLs. Esta tendencia, aunque impulsada por la intención de combatir actividades ilegales y proteger a los usuarios, plantea serias preocupaciones sobre la privacidad y la libertad en la red.
La diferencia entre direcciones IP, dominios y URLs
Inicialmente es importante hacer una clara distinción entre los 3 elementos que usualmente se incluyen en los proyectos de ley o en la regulación para el bloqueo de sitios: dirección IP, dominio y URL.
Una dirección IP identifica de manera única un dispositivo en una red, un dominio es un nombre legible por humanos que se asocia con una dirección IP, y una URL es una dirección completa que incluye el dominio y la ruta específica para acceder a un recurso en Internet.
Una dirección IP identifica un dispositivo en una red mediante una serie de números, mientras que un dominio es un nombre legible por humanos que se asocia con una dirección IP para facilitar la navegación. Por otro lado, una URL es la dirección dentro de un sitio web a un recurso mucho más específico, casi siempre a página web.
Podemos visualizar mejor de qué hablamos en cada caso mediante algunos ejemplos:
- Dirección IP: 190.210.32.126
- Dominio: ejemplo.com
- URL: https://ejemplo.com/secciones/política/proyecto-de-ley-de-bloqueos.html
¿Qué implica el bloqueo mediante URL?
Con anterioridad nos hemos referido a los riesgos del bloqueo de sitios mediante dominios y direcciones IP, que pueden ser desde la desconexión involuntaria de algún sitio de terceros hasta la inhabilitación total de redes de operadores de algún territorio, pudiéndose extender a toda una nación.
En los últimos años en varios de los proyectos de ley y regulación en la región nos encontramos con la utilización del término “URL” como sinónimo de “dominio”, cuando son dos términos técnicamente diferentes como explicamos más arriba y conllevan también medidas técnicas diferentes para su bloqueo.
El bloqueo de sitios de Internet a través de una URL permite una mayor precisión en comparación con el bloqueo de dominios o direcciones IP, ya que puede dirigirse a una página dentro de un sitio web sin afectar el acceso al resto del contenido del mismo sitio. Sin embargo, para realizar un bloqueo mediante URL, se deben utilizar técnicas de inspección profunda de paquetes (DPI o Deep Packet Inspection en inglés) y otros métodos de monitoreo.
La inspección profunda de paquetes o DPI es el acto de inspección del contenido de estos paquetes realizado de manera automatizada por algún equipo de la red previo al reensamblaje que realiza el dispositivo utilizado por el usuario final. Sería el equivalente a revisar cada una de las cartas que una oficina de correos postales recibe, abriendo su sobre y revisando el contenido en busca de elementos específicos para después, volver a cerrar el sobre para entregar al destinatario final.
Esta técnica posibilita a quien la implementa tanto funciones avanzadas de seguridad como la minería de datos, las “escuchas” ocultas y la censura. Permite a los proveedores de servicios de Internet (ISP) y a las autoridades no solo identificar y bloquear URL específicas ante la presunción de algún delito, sino también permite de manera ilegal el monitorear y registrar la actividad en línea de los usuarios de manera detallada.
Además, exigir o permitir la inspección profunda de paquetes genera motivaciones tanto a actores legítimos como a maliciosos para debilitar o romper el cifrado de extremo a extremo, esencial para la confianza del usuario final en las comunicaciones digitales.
Riesgos para la privacidad
Es evidente que la mala utilización de inspección profunda de paquetes o DPI puede tener consecuencias no deseadas o abrir la puerta a grandes riesgos para la privacidad de los usuarios de Internet. A continuación destacamos algunos de ellos;
- Monitoreo extensivo de la actividad en línea. La implementación de bloqueos de URL requiere que los Proveedores de Servicios de Internet (ISP) inspeccionen el contenido de los paquetes de datos que circulan por sus redes. Esto significa que cada solicitud web realizada por un usuario puede ser analizada para determinar si coincide con una URL bloqueada. Este nivel de inspección puede llevar a un monitoreo extensivo y constante de la actividad en línea de los usuarios, lo cual es una invasión significativa a la privacidad.
- Uso indebido de los registro de actividades de los usuarios. Para llevar a cabo el bloqueo de URL, los ISP pueden argumentar la necesidad de mantener registros detallados de las actividades de los usuarios. Estos registros pueden incluir información sobre los sitios web visitados, las URL específicas solicitadas, y el contenido de las comunicaciones en línea. La acumulación de estos datos crea un riesgo significativo de abusos, ya sea por parte de actores gubernamentales, empresas privadas o cibercriminales que logren acceder a esta información.
- Posible abuso y exceso de vigilancia. Las capacidades de monitoreo y bloqueo de URL pueden ser utilizadas para fines más allá de los inicialmente previstos. Por ejemplo, gobiernos con tendencias autoritarias pueden emplear estas herramientas para censurar contenido político, vigilar a disidentes o suprimir la libertad de expresión. Incluso en democracias establecidas, la tentación de utilizar estas herramientas para fines de vigilancia masiva puede ser grande, especialmente en contextos de seguridad nacional.
- Falsa sensación de seguridad. Los bloqueos de URL pueden crear una falsa sensación de seguridad tanto para los gobiernos como para los ciudadanos. Los usuarios pueden creer que están protegidos de contenidos peligrosos o ilegales, mientras que los actores realmente malintencionados siempre pueden encontrar formas de eludir estos bloqueos mediante la simple modificación de las URLs o registrando múltiples dominios diferentes al originalmente bloqueado.
- Riesgos adicionales. La debilitación o eliminación del cifrado extremo a extremo de las comunicaciones expone a los usuarios a riesgos adicionales de privacidad y de seguridad, con lo cual no solo se rompe la privacidad de las comunicaciones de un presunto infractor o delincuente sino de todas las comunicaciones y transacciones de usuario finales legítimos: empresas, gobiernos, asociaciones de la sociedad civil, etc.
Conclusión
En LACNIC consideramos que el bloqueo de sitios de Internet mediante URL representa una herramienta poderosa y controversial en la gestión del acceso a la información en la red. A pesar de que puede ser efectivo para combatir ciertos tipos de contenido nocivo a nivel del proveedor de contenido o de acceso, también plantea serias preocupaciones sobre la privacidad y la libertad de los usuarios, sobre todo cuando su implementación es obligada a partir de una regulación.
Es esencial que cualquier medida de este tipo se implemente como última opción, y en caso de implementarse, se haga con transparencia, supervisión y salvaguardas adecuadas para proteger los derechos y la privacidad de los individuos. En última instancia, el equilibrio entre seguridad y libertad debe ser cuidadosamente gestionado para preservar la naturaleza abierta y libre de Internet que al final del día habilita los derechos humanos y civiles de nuestra sociedad.
Las opiniones expresadas por los autores de este blog son propias y no necesariamente reflejan las opiniones de LACNIC.