Comunicado de @NICChile sobre “Ley Uber” y bloqueo de DNS

Santiago, 10 de agosto de 2017 – Respecto al proyecto de ley conocido como “Ley Uber”,  en donde en uno de sus artículos, se entrega la facultad al Ministerio de Transporte y Telecomunicaciones el bloqueo de DNS, NIC Chile, emitió el siguiente comunicado:

Comentario de NIC Chile sobre artículo del proyecto de ley de transporte de pasajeros

El proyecto de ley ingresado a trámite en la Cámara de Diputados (Boletín 10937-15), conocido como “Ley Uber”, incluye en su artículo 12 una disposición que le otorga al Ministerio de Transportes y Telecomunicaciones la facultad de: “…ordenar a los operadores de servicios de telecomunicaciones el bloqueo del “Domain Name System”, DNS, de la plataforma infractora”.

Por las razones que explicamos a continuación, nos parece que esa disposición es perjudicial e ineficaz,por lo cual recomendamos que debiera ser eliminada del proyecto de ley.

Lo anterior es coherente con la posición de la Internet Society (ISOC), que publicó en marzo de 2017 un estudio titulado “Perspectivas de Internet Society (ISOC) sobre el bloqueo de contenido en Internet: Visión general”, el cual concluye con una recomendación en contra de utilizar técnicas de bloqueo para impedir el acceso a contenidos en Internet, porque “(1) No resuelven el problema, y (2) Ocasionan daños colaterales”.

El DNS es uno de los protocolos básicos de Internet, que tiene la finalidad de permitir la traducción automática de los nombres de dominio a las respectivas direcciones IP. Estas últimas son las que realmente identifican a los nodos de la red y permiten la comunicación entre ellos. En el DNS existen servidores autoritativos que son los que proveen la información que permite hacer esa traducción, y resolvers, que son los programas que a nombre del usuario formulan las consultas a los servidores autoritativos.

Un bloqueo como el propuesto significa en la práctica que los operadores de telecomunicaciones se verían forzados a buscar maneras de interferir en el funcionamiento del DNS para entregar respuestas falsas del tipo “dominio inexistente”, en lugar de las respuestas correctas que debiera entrega el sistema.

Dado que los servidores autoritativos de las empresas internacionales que motivan esta regulación probablemente se encuentren en el extranjero, fuera de la jurisdicción chilena, la manera más simple en que este bloqueo se puede implementar es haciendo que los resolvers operados por los proveedores de Internet (ISPs) sean quienes entreguen estas respuestas alteradas. Esta medida puede dar la apariencia de funcionar, pero resultará muy simple para los usuarios cambiar su configuración para usar resolvers públicos en lugar de los de su ISP, haciendo que esta medida se vuelva totalmente ineficaz. De hecho, las aplicaciones mismas podrían venir programadas para usar este mecanismo.

En el documento de ISOC antes citado, se relata lo ocurrido cuando en Turquía intentó bloquear el DNS: “Por ejemplo, cuando Turquía bloqueó algunas consultas de DNS en 2012, los usuarios cambiaron sus sistemas para utilizar los populares servidores de DNS públicos de Google y, de este modo, evitar el bloqueo. Las autoridades turcas respondieron secuestrando todo el tráfico hacia el servicio DNS de Google, lo que ocasionó importantes daños colaterales“.

Es posible también considerar formas más complejas de tratar de bloquear la resolución de algunos nombres de dominio, posiblemente utilizando lo que se llama “deep packet inspection” en los ISPs. Sin embargo, dicha medida es muy costosa de implementar, junto con ser de muy discutible aplicación por el impacto que tiene en la privacidad de las comunicaciones y porque en la práctica no ha sido raro que medidas de bloqueo mal implementadas hayan tenido efectos que van mucho más allá de lo buscado y que pueden llegar a tener consecuencias catastróficas.

La complejidad y los peligros inherentes a tratar de manipular el DNS para impedir el acceso a un servicio contrastan, por otra parte, con el hecho de que las empresas tendrían una alternativa muy sencilla para evadir el bloqueo, que es que sus aplicaciones eviten usar el DNS y tengan acceso a esos servicios por dirección IP.

La prudencia aconseja no intervenir en protocolos esenciales para el buen funcionamiento de la red, más aún cuando dichas intervenciones encierran grandes peligros y son finalmente ineficaces. Por estas razones, esperamos que esta facultad contenida en el artículo 12 no llegue a aprobarse como parte de la ley.

A continuación mostramos algunos ejemplos de cómo en otros países este tipo de bloqueos han fracasado cuando se han intentado:

  • Así funciona el bloqueo a Twitter en Turquía y así se lo están saltando
    https://www.genbeta.com/actualidad/asi-funciona-el-bloqueo-a-twitter-en-turquia-y-asi-se-lo-estan-saltando
  • Cómo cambiar las DNS para evitar el bloqueo de webs
    http://omicrono.elespanol.com/2014/05/como-cambiar-las-dns-para-evitar-el-bloqueo-de-webs/
  • ¿Bloqueo por DNS? Nuevo ridículo en la lucha contra la piratería
    https://www.adslzone.net/2016/12/20/bloqueo-dns-nuevo-ridiculo-la-lucha-la-pirateria/

Finalmente, expresamos que como responsables de una componente importante de la infraestructura de internet en nuestro país estamos disponibles para exponer directamente nuestra opinión como expertos cuando se estime conveniente.

Este comentario se ha hecho llegar a la Sra. Ministra de Transportes y Telecomunicaciones, al Sr. Subsecretario de Telecomunicaciones y a la Comisión de Obras Públicas, Transportes y Telecomunicaciones de la Cámara de Diputados.

Share this post

No comments

Add yours