{"id":189736,"date":"2026-03-05T18:05:29","date_gmt":"2026-03-05T18:05:29","guid":{"rendered":"https:\/\/www.redeszone.net\/noticias\/seguridad\/protocolo-ech-oficial-rfc-9849-evitar-censura\/"},"modified":"2026-03-05T18:05:29","modified_gmt":"2026-03-05T18:05:29","slug":"internet-se-vuelve-mas-privado-el-protocolo-ech-ya-es-oficial-con-la-rfc-9849","status":"publish","type":"post","link":"http:\/\/cordobadirecto.com\/index.php\/2026\/03\/05\/internet-se-vuelve-mas-privado-el-protocolo-ech-ya-es-oficial-con-la-rfc-9849\/","title":{"rendered":"Internet se vuelve m\u00e1s privado: el protocolo ECH ya es oficial con la RFC 9849"},"content":{"rendered":"
\n

Si te preocupa la privacidad y la seguridad en Internet, est\u00e1s de enhorabuena, porque la extensi\u00f3n de seguridad Encrypted Client Hello (ECH)<\/strong><\/a> ya es oficial, y el RFC 9849 define en detalle su funcionamiento y todas las implicaciones que ello conlleva. Es compatible con el protocolo TLS 1.3 y posteriores, as\u00ed como DTLS 1.3 y posteriores. Esta extensi\u00f3n de seguridad mejora significativamente la privacidad a la hora de navegar por Internet, evitando que los operadores puedan interceptar las conexiones TLS y \u00ableer\u00bb qu\u00e9 dominio estamos solicitando. Esto es una clara victoria para Internet en general, ya que a\u00f1ade una capa de privacidad muy importante, y es una gran derrota para aquellos operadores que esp\u00edan a sus clientes, o para las empresas que les gusta atentar contra la privacidad en Internet.<\/p>\n<\/div>\n

<\/p>\n

Aunque las conexiones TLS cifran la mayor parte del protocolo de enlace, y todos los datos, incluyendo el certificado del servidor, lo cierto es que hay una extensi\u00f3n de texto plano llamada SNI (Server Name Indication) que est\u00e1 en texto claro, lo que filtra el dominio de destino de una conexi\u00f3n determinada. Esta es la informaci\u00f3n m\u00e1s delicada que el protocolo TLS 1.3 no cifraba, hasta que desarrollaron ECH. Ahora los operadores no podr\u00e1n \u00abver\u00bb qu\u00e9 web o dominio estamos solicitando. El SNI existe por una raz\u00f3n t\u00e9cnica, y es que los servidores web necesitan saber qu\u00e9 certificado SSL\/TLS presentar cuando hay varios sitios web en el mismo servidor, como lo que ocurre cuando una web usa un CDN (direcciones IP compartidas con cientos de webs).<\/p>\n

El RFC 9849 supone un antes y un despu\u00e9s<\/h2>\n

Que el Encrypted Client Hello (ECH) tenga el RFC 9849<\/strong><\/a> significa que es oficial, hasta ahora estaba en \u00abborrador\u00bb o tambi\u00e9n conocido como \u00abdraft\u00bb, es decir, podr\u00eda sufrir modificaciones a medida que se utilice. Este procedimiento es totalmente normal, a medida que se desarrolla un protocolo, se pueden encontrar problemas a la hora de implementarlo o en el propio funcionamiento, y es necesario meses e incluso a\u00f1os hasta que est\u00e1 totalmente terminado y listo para \u00abpasar a producci\u00f3n\u00bb. El documento del RFC publicado oficialmente por la IETF (Internet Engineering Task Force) el 5 de marzo de 2026, especifica formalmente esta extensi\u00f3n, que permitir\u00e1 a los clientes cifrar el \u00abClientHello\u00bb al servidor TLS, protegiendo el SNI y otros campos potencialmente confidenciales, como el ALPN (Application-Layer Protocol Negotiation). Todo esto est\u00e1 orientado a proporcionar la m\u00e1xima privacidad posible en todas las comunicaciones.<\/p>\n

\"Secuencia\n<\/picture><\/p>\n

<\/span><\/p>\n

El funcionamiento de ECH es como enviar una carta en dos sobres: el sobre exterior muestra el destino gen\u00e9rico (direcci\u00f3n IP), mientras que el dominio real permanece en el sobre interior y oculto, de tal forma que un operador solamente podr\u00e1 ver el sobre exterior, pero no revela nada sobre el destino real, ni tampoco su contenido. Esto elimina cualquier filtrado de SNI, en caso de querer filtrado, se tendr\u00e1 que hacer donde se descifra el tr\u00e1fico, como en los navegadores, sistemas operativos o en el servidor web, pero no en la comunicaci\u00f3n cifrada punto a punto.<\/p>\n

Esta extensi\u00f3n ECH que ya es oficial, por s\u00ed sola no es capaz de proteger la identidad del servidor. El dominio de destino puede ser visible a trav\u00e9s de las consultas DNS de los clientes, los cuales est\u00e1n en texto plano, e incluso si usamos direcciones IP de servidores visibles. Al usar DNS cifrado, se oculta las b\u00fasquedas DNS y ning\u00fan operador podr\u00e1 descifrar esta informaci\u00f3n, hay que tener en cuenta que muchos servidores alojan m\u00faltiples dominios bajo una misma direcci\u00f3n IP, como los principales CDN. Sin embargo, si utilizas los siguientes protocolos para proteger las consultas DNS, s\u00ed tendr\u00e1s privacidad:<\/p>\n