Proveedor de DNS Quad9 califica órdenes de bloqueo por piratería como una “amenaza existencial”

 (torrentfreak.com)
4 puntos por GN⁺ 2025-11-12 | 1 comentarios | Compartir por WhatsApp
  • El resolvedor DNS suizo sin fines de lucro Quad9 advirtió que una orden de un tribunal francés para bloquear sitios de streaming ilegal pone en riesgo la propia continuidad de su servicio
  • Señaló que grandes empresas como Google, Cloudflare y Cisco pueden absorber los costos legales y técnicos, pero que las organizaciones pequeñas sin fines de lucro difícilmente pueden soportar la misma carga
  • Quad9 explicó que, por falta de recursos, recientemente decidió no comparecer directamente en un litigio ante un tribunal francés, por lo que no le quedó más remedio que aplicar la orden de bloqueo a nivel global
  • A medida que los titulares de derechos trasladan la responsabilidad a proveedores de infraestructura neutral (ISP, VPN y DNS), se está dañando la estructura básica (plumbing) de Internet
  • Esto plantea el riesgo de que esta presión legal debilite la apertura, privacidad y descentralización de Internet, y termine llevando a una centralización en torno a unas pocas grandes corporaciones

Órdenes de bloqueo por piratería y la crisis de Quad9

  • Quad9, un resolvedor DNS suizo sin fines de lucro, anunció recientemente en su blog que las órdenes para bloquear sitios de piratería representan una “amenaza existencial” para su servicio
    • Mencionó que, mientras las grandes empresas tecnológicas pueden absorber los costos legales y de ingeniería como parte de sus gastos operativos, las pequeñas organizaciones sin fines de lucro no pueden defenderse al mismo nivel
  • Quad9 renunció a representarse por sí misma debido a limitaciones financieras en el litigio ante un tribunal francés, lo que la dejó en la situación de tener que aplicar la orden de bloqueo a escala global
  • El origen del caso fue una orden emitida en mayo de 2024 por el Tribunal Judicial de París contra Google, Cloudflare y Cisco para bloquear el acceso a varios sitios de streaming deportivo ilegal
    • Después, otros titulares de derechos como DAZN y beIN presentaron solicitudes similares, y más proveedores de DNS como Quad9 y Vercel fueron incluidos como objetivo

“Romper la tubería de Internet”

  • Quad9 señaló que los titulares de derechos no están apuntando directamente a los infractores, sino que están trasladando la responsabilidad a operadores de infraestructura neutral como proveedores ISP, VPN y DNS
    • Estas medidas afectan directamente a los proveedores de infraestructura central de Internet
  • Quad9 lo describió así: no están siendo atacadas las plataformas que se benefician de la infracción, sino los proveedores de infraestructura neutral que hacen funcionar Internet
  • Tras las medidas de bloqueo en Francia, Cisco decidió retirarse del mercado francés, lo que muestra que ya hay efectos concretos
  • Google y Cloudflare pueden limitar técnicamente el bloqueo solo dentro de Francia, pero Quad9 no pudo implementarlo de esa manera y tuvo que aplicar el bloqueo globalmente

La postura del tribunal francés y los cuestionamientos de Quad9

  • El tribunal francés consideró legítimas estas órdenes de bloqueo, y aunque hay algunas apelaciones en curso, no hay señales de que vayan a revertirse
  • Frente a esto, Quad9 sostiene que hace falta un debate de fondo sobre los principios básicos de Internet y el alcance de la responsabilidad, y plantea varias preguntas
    • “¿Debe la infraestructura tecnológica neutral ser responsable por los actos de otros?”
    • “¿Hasta dónde puede un tribunal nacional aplicar su legislación a una red global?”
    • “¿Puede una pequeña organización sin fines de lucro asumir obligaciones legales pensadas para empresas globales?”
    • “¿Qué pasa con la privacidad y la resiliencia cuando solo unas pocas grandes corporaciones pueden cumplir con esas obligaciones legales?”
    • “¿En qué momento el cumplimiento legal se convierte en censura de facto?”

Una amenaza reactivada tras el litigio en Alemania

  • Aunque Quad9 ya había ganado en el pasado un litigio de varios años en Alemania contra Sony, este caso en Francia vuelve a plantear una amenaza existencial para su continuidad
  • Quad9 advirtió que este tipo de demandas para imponer bloqueos debilitan la apertura, la privacidad y la descentralización de Internet, y pueden terminar llevando a un Internet centralizado en torno a unas pocas grandes empresas capaces de asumir los costos legales

Lecturas relacionadas

1 comentarios

 
GN⁺ 2025-11-12
Comentarios en Hacker News

  • Vi el aviso de que OpenDNS de Cisco fue bloqueado por orden judicial en Francia y Portugal, y después volvió a estar disponible en Portugal
    Está muy bien que Quad9 quiera pelear contra la censura, pero parece que ellos también van a terminar obligados a bloquear las solicitudes de Francia
    Me pregunto si no sería mejor enviar a los usuarios a una página de redirección que explique la situación y muestre los datos de contacto de los responsables del gobierno

    • Según el artículo, Google y Cloudflare tienen tecnología de geofencing que les permite aplicar el bloqueo solo dentro de Francia, pero Quad9 no puede hacerlo y por eso aplicó el bloqueo a nivel global
      Me da curiosidad cuánto costo y complejidad implica para un resolvedor DNS público implementar ese geofencing
    • Creo que bloquear un país completo al final puede convertirse en una amenaza existencial

  • Mientras depuraba un problema de inicio de sesión en el sitio web de un banco, descubrí que el DNS de Quad9, a diferencia de Google o Cloudflare, solo devuelve parte de los registros A
    Al probar con el comando dig, Google y Cloudflare entregan 6 IP, pero Quad9 solo devuelve 1
    Me pregunto si es solo una diferencia de enrutamiento geográfico o si hay alguna otra razón

    • Yo también usaba Quad9 como DNS predeterminado en casa, pero desde hace unos 11 días las consultas dejaron de salir por completo, así que sospeché de un bloqueo por IP. Ahora estoy usando Quad1
    • Yo vi que los tres DNS devolvían una sola IP. Google usa EDNS0 client subnet para hacer geotargeting según la IP del cliente
      Se puede comprobar con el comando dig -t txt o-o.myaddr.l.google.com @8.8.8.8
    • Quise que me gustara Quad9, pero en la zona noreste tenía demasiados errores SERVFAIL, así que regresé a Cloudflare
    • Google usa EDNS y balanceo de carga, así que no sirve mucho para hacer pruebas. Conviene volver a probar con un dominio que tenga varias IP fijas
    • Curiosamente, yo también recibí una sola IP distinta en cada uno de los tres DNS

  • Varios ISP de Alemania ya se rindieron y empezaron a aplicar censura directamente en DNS
    Se puede ver más información en el sitio de CUII

    • En Japón también, en 2018, la Oficina del Primer Ministro evaluó el bloqueo DNS de sitios pirata, pero la idea fracasó por la oposición de la comunidad técnica
      Ahora están discutiendo el bloqueo de sitios de casinos en línea
      Material relacionado: acta de la reunión del gobierno, comunicado del NIC
    • En una situación así, creo que es importante operar tu propio resolvedor personal con Unbound. No hace falta depender de DNS centralizados
    • En realidad, esta clase de autocensura existe desde hace mucho. Ya pasaba en la época de The Pirate Bay

  • Espero que Suiza no firme el próximo año el acuerdo que quiere cerrar con la UE
    El texto del acuerdo supera las 8 mil páginas e incluye la obligación de cumplir regulaciones de la UE sobre derechos de autor, así que el entorno actual de descargas libres podría desaparecer
    Sin importar la postura política, me parece un mal trato para todos

  • Yo uso Mullvad DNS y estoy bastante satisfecho
    Especificaciones de Mullvad DNS

    • No sabía que Mullvad DNS era público. Gracias, ahora ya lo sé
      Últimamente también estoy probando DNS4EU
    • Yo también lo uso como respaldo, pero es muy lento
      Por cierto, Wikimedia DNS también funciona como servicio público: Wikimedia DNS
    • En mi caso da una latencia promedio de 350 ms. Captura de pantalla de la medición de velocidad
    • Mullvad DNS tuvo caídas frecuentes. Había fallas casi todos los días, aunque el VPN en sí es excelente

  • Atacar a los resolvedores DNS parece una victoria fácil
    Si de verdad se trata de sitios ilegales, deberían intentar el secuestro del dominio a través de ICANN. Pero como eso es difícil de demostrar, parece que prefieren presionar a los resolvedores DNS

    • El secuestro de dominios mediante ICANN tendría que aplicarse globalmente, así que es difícil reflejar las diferencias entre las leyes de cada país
      Hace falta una estructura en la que cada país pueda mantener listas de bloqueo distintas
    • Pero ICANN no tiene la autoridad ni el mecanismo para secuestrar dominios directamente
      Solo puede revocar acreditaciones cuando hay violaciones del contrato del registrador

  • Irónicamente, la actual tendencia hacia un internet descentralizado no está ocurriendo por razones ideales, sino como reacción a la censura autoritaria

    • Es irónico, pero una de las virtudes originales de la descentralización era precisamente la resistencia a la censura
    • Yo creo que la resistencia a la censura es el valor central de la descentralización
    • Razón, libertad y resistencia a la censura son precisamente las virtudes que debemos defender

  • Me pregunto si Quad9 opera un resolvedor que mantenga DNSSEC pero sin bloqueo de malware
    Ya pasó varias veces que dominios legítimos quedaron bloqueados temporalmente

    • Lamentablemente no existe esa combinación. 9.9.9.10 es la versión sin DNSSEC y sin bloqueo de malware

  • Me pregunto si existe la posibilidad de que los servidores DNS raíz sean censurados o modificados por orden judicial
    Siempre pensé que los servidores raíz eran intocables, pero no sé cómo sea en la práctica

    • A menos que Estados Unidos intente censurarlos directamente, creo que habría una fuerte resistencia a una orden así
      En cambio, sería mejor desarrollar alternativas como DNS-over-Tor o DNS-over-DHT, y generalizar los servicios onion de Tor
    • Los servidores raíz no son completamente seguros, pero si falla la validación DNSSEC se responde con SERVFAIL y se reintenta con otro servidor raíz
      Por eso no sirve de mucho a menos que todos los servidores raíz sean modificados al mismo tiempo
      Referencia: estadísticas de DNSSEC
    • Los servidores raíz no almacenan registros reales de dominios, solo indican la ubicación del registro
      Por eso, para que exista censura, el bloqueo tendría que ocurrir en el nivel del registro
    • Como en el caso de Suecia, si el registro recibe una orden judicial, puede transferir el dominio a la policía
      Pero como no existe el concepto de “destruir permanentemente un dominio”, la definición de bloqueo es ambigua

  • Yo opero mis propios servidores de nombres
    Mientras no tomen control de los servidores raíz, el bloqueo DNS no es un problema
    Si dejas precargados los 5000 dominios principales, la velocidad de respuesta también mejora

    • En la práctica, más que los servidores raíz, el punto clave del bloqueo son los registros TLD/2LD
      Si operas un servidor DNS de contenido raíz propio, quedas casi inmune a este tipo de ataques
    • Claro, en algunas redes domésticas este intento podría frenarse porque bloquean el puerto 53