1 puntos por GN⁺ 2025-08-25 | 1 comentarios | Compartir por WhatsApp
  • Un gran proveedor de servicios de internet (ISP) de Alemania cambió la forma en que funciona el DNS poco después de que se hiciera pública su organización interna, CUII
  • CUII no publica su lista de sitios web bloqueados, así que el autor creó un sitio para verificar si un dominio está bloqueado
  • Los ISP empezaron a ocultar el bloqueo haciendo que, en el DNS, los sitios bloqueados parezcan no existir
  • Recientemente, Telefonica bloqueó su propio dominio de prueba y luego visitó el sitio del autor para comprobar si podía detectarlo
  • Como resultado, Telefonica ocultó la señal de bloqueo, debilitando la transparencia y la supervisión

ISP alemanes: trasfondo de la manipulación de DNS relacionada con la lista de bloqueo de CUII

Uno de los principales ISP de Alemania cambió el comportamiento del DNS justo después de que se revelara la existencia de su organización interna, CUII
CUII (Centro de Compensación de Derechos de Autor en Internet) decide qué sitios web se bloquean y es una organización privada en la que grandes ISP y titulares de derechos gestionan la lista de forma arbitraria, sin revisión legal ni transparencia
Como CUII mantiene su lista de bloqueo en privado, el autor desarrolló un sitio donde cualquiera puede consultar qué dominios están bloqueados (cuiiliste.de)
Los cuatro ISP más grandes de Alemania —Telekom, Vodafone, 1&1 y Telefonica (o2)— forman parte de CUII

Errores repetidos de CUII y cambio en la forma de bloqueo por DNS

Recientemente, Netzpolitik.org informó, con base en información proporcionada por el autor, sobre errores de CUII al bloquear incluso dominios que ya estaban cerrados
Antes, cuando se solicitaba desde el DNS del ISP un sitio bloqueado, este redirigía a notice.cuii.info, por lo que era fácil confirmar el bloqueo
Sin embargo, CUII empezó a desactivar ese método de verificación para mantener en secreto su lista de bloqueo
Algunos ISP comenzaron a disfrazar los sitios bloqueados en el DNS como si simplemente no existieran
Como excepción, Telefonica (o2) seguía respondiendo mediante notice.cuii.info

Se genera tráfico de verificación de bloqueo desde el sitio del blog

En cuiiliste.de, cualquiera puede consultar, según el ISP, si el dominio que ingresa está bloqueado por CUII
Después de bloquear el dominio de prueba blau-sicherheit.info, propiedad de Telefonica, la empresa visitó el sitio del autor desde su propia red para probar si el bloqueo podía detectarse
La herramienta del autor detectó correctamente que ese dominio estaba bloqueado por CUII

  • El DNS de Telefonica respondió que el dominio de prueba estaba bloqueado
  • Desde la red de Telefonica se accedió al sitio web del autor
  • La detección del bloqueo fue exitosa

Cambio en el método de bloqueo de Telefonica y sospechas de interferencia con el sitio del autor

Aproximadamente dos horas después, Telefonica cambió su método de bloqueo por DNS de la redirección a notice.cuii.info a responder que el dominio consultado no existe
Esto hizo que el sistema del autor detectara erróneamente cientos de desbloqueos, lo que obligó a realizar una corrección urgente
Incluso después del parche, detectar los bloqueos se volvió más difícil
Ahora, para distinguirlos de casos bloqueados por otras razones distintas de CUII (por ejemplo, terrorismo), se está realizando una validación cruzada con una lista de dominios bloqueados fuera de CUII

Contexto y problema de debilitamiento de la transparencia

Este cambio puede interpretarse, en un momento en que CUII recibe críticas por bloqueos inexactos, como un intento de evadir la supervisión y la transparencia
Al final, esto debilita el derecho del público a saber y los mecanismos de supervisión, y crea una estructura que solo beneficia a CUII y a los ISP

Artículos relacionados y enlaces de referencia

1 comentarios

 
GN⁺ 2025-08-25
Comentarios en Hacker News
  • En Alemania existe una organización llamada Clearingstelle Urheberrecht im Internet (CUII), un organismo privado relacionado con derechos de autor en internet que decide bloquear sitios web; es una estructura en la que los ISP y los principales titulares de derechos deciden qué se puede ver, sin jueces ni transparencia. Sin embargo, según su página oficial (cuii.info/en/about-us/), afirma que “coordina la implementación de procedimientos judiciales de bloqueo y la ejecución de órdenes judiciales”, lo que da a entender que solo sigue órdenes judiciales, aunque esa redacción por sí sola no excluye el bloqueo de otros sitios
    • Esa entrada del blog fue escrita antes de que cambiara la página. En la versión de Web Archive se explica que CUII era un organismo independiente en Alemania que revisaba de forma imparcial si era legal bloquear sitios con infracción clara de derechos de autor. Cuando había una solicitud, el comité revisor recomendaba por unanimidad el bloqueo DNS solo si se trataba de una “infracción evidente de derechos de autor”; esa recomendación se enviaba a la Agencia Federal de Redes de Alemania (BNetzA). Tras la revisión de BNetzA, si no había problemas, se instruía a los ISP a bloquearlo. Y en una nueva entrada del blog del mismo autor sobre la versión reciente, se afirma que ahora solo coordinan bloqueos después de una orden judicial: “Ya no hay votaciones secretas ni censura corporativa; la nueva versión del sitio explica que solo implementan órdenes legales de bloqueo”
    • La entrada del blog fue escrita en febrero, y después de eso CUII cambió de un sistema en el que su grupo interno bloqueaba arbitrariamente hasta recibir una orden judicial, a uno en el que bloquea estrictamente solo los dominios incluidos en la orden judicial. Antes bloqueaban incluso sin orden judicial alegando “casos previos similares”, pero tras observaciones del regulador ahora dejaron de hacer bloqueos arbitrarios sin orden judicial
    • Es como decir: “Antes había mucha corrupción en la política; todavía la hay, pero antes era peor”
    • El título es engañoso: en realidad no bloquearon el DNS del sitio del autor; CUII bloqueó el DNS de su propio sitio para experimentar cómo el autor detectaba listas negras de DNS, y luego cambió de estrategia
  • Conviene tener en cuenta que el procedimiento de bloqueo de CUII ahora pasó de ser una decisión corporativa arbitraria a uno basado en órdenes judiciales blog relacionado
    • Lo lamentable es que los dominios bloqueados anteriormente siguen ahí
    • Según el artículo enlazado arriba, la lista problemática o maliciosa de bloqueos sigue existiendo; simplemente ya no se agregan nuevos casos
    • Me pregunto cómo se puede saber si CUII realmente se rindió, o si solo aparenta haberlo hecho después de encontrar una forma de ocultar los bloqueos y evadir la vigilancia
  • En Occidente tradicionalmente se ha censurado a través del copyright; si se hace en nombre del dinero o los negocios, no se percibe como censura. Pero hoy en día Estados Unidos impone la autocensura mediante poder y exclusión (por ejemplo, castigos si te desvías en cargos públicos, restricciones de entrada al país, etc.), y Europa encuentra otra vía. Como todos quieren seguridad y control al mismo tiempo, ya pareciera que la única respuesta son las soluciones técnicas; los caminos legales y políticos no funcionan. La libertad se volvió una “moda vacía”, y hasta quienes la defienden al final solo quieren libertad para sí mismos. Es irónico ver a gente que dice que hay que llevar a la humanidad al espacio posando con personas detenidas en la Tierra por “viajar sin permiso”. Por eso, para quienes se interesan por esta clase de censura, hacen falta herramientas nuevas en lugar de los sitios web de siempre; lo mainstream inevitablemente terminará controlado como quieran las élites de poder
    • Antes quería que esto se resolviera por la vía legal, pero ahora simpatizo con las soluciones técnicas. En los 90 y 2000, cuando la libertad se reducía en el mundo físico, la generación joven encontraba una salida en internet. Construir una casa o emprender era difícil, pero hubo una época en la que crear un sitio web era relativamente libre. Ahora los gobiernos y grupos de interés también intervienen en internet, y esa libertad de antes se está perdiendo. Con contenido de IA, bots, dificultad para buscar y verificaciones de humanidad, internet se vuelve cada vez más sofocante. Por eso siento que hay que crear nuevos espacios de red como freenet, yggdrasil, alfis, gemini, reticulum y B.A.T.M.A.N; además, esos espacios también son divertidos. Y a los gobiernos les tomará tiempo llegar hasta allá
    • Vivo en Estados Unidos y no estoy de acuerdo con la dirección actual de la libertad. Yo apoyo los principios a los que Estados Unidos aspiraba, o al menos los que tenían una buena intención. Defiendo a las personas individuales, como policías o militares, pero no apoyo las órdenes autoritarias que se les exige ejecutar. Mucha gente se alistó por la ley, el orden y la protección de todos, no porque quisiera hacer cosas malas, pero se siente como si la estructura los obligara. Ya se aprobó la ley de gerrymandering de Texas, y no basta con esperar una autocorrección. Creo que expandirse al espacio vale la pena siempre que no se dañe la vida ni otros entornos; toda forma de vida tarde o temprano necesita moverse por alguna razón
    • Sobre la idea de que “este mismo sitio web también trata sobre la censura; la gente interesada no debería usar sitios web; hacen falta herramientas nuevas; lo mainstream al final será controlado por las élites”, me cuesta imaginar cómo se vería eso en la práctica. Incluso siento que ya es demasiado tarde. La attestation de dispositivos se está volviendo cada vez más obligatoria, y las passkeys también se están adoptando rápidamente. Se pueden crear alternativas de protocolo, pero eso depende de que los grupos de poder lo toleren. Incluso Signal, VPN, BitTorrent y Tor podrían bloquearse algún día. Al final, si la mayoría usa dispositivos controlados por big tech como Apple y Google, puede que ningún protocolo sirva de nada
    • Es interesante pensar que la censura comercial está ampliamente aceptada, pero la censura “por el bien público” quizá no sea tan distinta en esencia; al final siempre existe el riesgo de que la libertad sea vulnerada en exceso
    • Sobre la frase “en Occidente la censura se hacía mediante derechos de autor; si era por dinero y negocios no se consideraba censura”, me parece que las dos oraciones se contradicen. La censura mediante copyright y la defensa de derechos con fines comerciales me parecen, en el fondo, lo mismo. Decir que tradicionalmente solo una de ellas no se consideraba censura suena como una contradicción lógica
  • Cuanta más censura haya, más incentivo habrá para construir protocolos realmente imposibles de censurar y que los ISP no puedan tocar
    • Esos protocolos o revisiones ya existen, por ejemplo DNSSEC por sitio, DoT/DoH del lado del usuario, lo que puede impedir la manipulación maliciosa de respuestas por parte del ISP. Pero en la práctica no están ampliamente adoptados, y los ISP podrían introducir formas de censura más difíciles de esquivar, como inspección de SNI o bloqueo por IP
    • Al final todo depende de la capa física de red; quien controla esa capa puede bloquear las comunicaciones en cualquier momento. El único protocolo verdaderamente inmune a la intervención de los ISP requeriría un ejército enorme, y además habría que motivar a ese ejército para que no interfiera por su cuenta
    • Como ejemplos de protocolos ya existentes: montar una darknet con routers I2P, construir una internet privada distribuida de nueva generación con Yggdrasil, o simplemente usar DNS cifrado (Njalla DNS, Mullvad DNS), o un buen VPN (como Mullvad). Al mismo tiempo, también hay que votar por políticas que protejan la privacidad y escribirles a los legisladores
    • También existe el problema de que los protocolos alternativos son difíciles de masificar en condiciones reales. En tiempos normales, usar estas herramientas puede convertirte en un “objetivo”. Por lo general solo se adoptan masivamente después de desastres o grandes catástrofes
    • Más censura es precisamente una razón para elegir gobiernos mejores, no solo para buscar cómo esquivarla. Aceptar una dictadura mientras uno se dedica únicamente a encontrar bypasses es un problema
  • Las soluciones alternativas en esta página recomiendan sobre todo usar resolvers públicos grandes. (Si el autor llegara a ver HN), estaría bien saber qué dominios bloquean 9.9.9.9, 1.1.1.1 y sobre todo el servicio DNS4EU
    • Alguien responde que es la primera vez que oye hablar de DNS4EU y comparte el enlace joindns4.eu/about
    • Me da curiosidad saber qué software de servidor DNS usan proveedores como dns4eu o nextdns (nsD, bind, etc.), o si desarrollaron uno propio
  • Con el endurecimiento reciente de la persecución de copyright o la caza de torrents, me intriga la decisión de Proton de mudarse de Suiza a Alemania por razones del sistema suizo. Entiendo que operar se vuelve difícil por temas de privacidad, pero me pregunto por qué eligieron Alemania. No he revisado en detalle cuál es exactamente la nueva ley suiza, pero si es más severa que la regulación alemana, me pregunto en qué aspecto lo es. (Por cierto, Mullvad tiene base en Suecia)
    • Como suizo, no he mirado el tema en detalle, pero entiendo que la nueva ley obligará a conservar datos de usuarios durante 6 meses. Obviamente no me entusiasma, pero la UE insiste constantemente en pedir puertas traseras en el cifrado, lo cual es todavía peor. Al final, la interpretación es que la decisión de Proton se debe más a reducción de costos, y la ley suiza es una excusa
  • Si un dominio es “incautado”, me pregunto si el nuevo “propietario” paga la renovación del registro. Si la paga: surge la idea de registrar sitios espejo de dominios bloqueados en vanity TLDs con renovaciones muy caras, lograr que llamen la atención y así generar ingresos
    • Aquí no se incauta el dominio, solo se bloquea; lo que hacen es manipular la respuesta del nameserver en los servidores DNS predeterminados del ISP. Aunque la policía incautara un dominio, no pagarían por su uso, igual que cuando incautan un auto rentado
    • Incautar un dominio puede implicar más costos de procedimiento, y normalmente el bloqueo de sitios no tiene relación con ICANN; el operador del sitio conserva la propiedad del dominio. Como el método consiste en manipular los resultados de las consultas DNS del ISP, es fácil esquivarlo
    • No creo que los gobiernos realmente paguen cuando incautan dominios
    • Después del paso 1 (crear el TLD), la idea se siente un poco como “dibujar el resto del búho”
  • Alemania es muy atrasada en este tipo de temas; los ingenieros con talento deberían mudarse a países más libres
    • Alguien responde pidiendo que definan cuál sería un país libre
    • Eso ya está ocurriendo
    • También está la opinión de que Estados Unidos en la era Trump tampoco es un mundo libre
  • Preguntan si este tipo de censura se puede esquivar fácilmente solo usando un DNS público como 8.8.8.8
    • Otra alternativa es operar tu propio resolvedor DNS, como unbound