Buenas GioTrap
Realmente, es totalmente comprensible lo que dices, y entiendo perfectamente tu punto de vista. El problema de base aquí es como funciona la tecnología, Internet en general en este caso, y el motivo y razón por lo que como te digo no es factible. Te explico las diferencias entre unos y otros, e intento usar un lenguaje más.... llano, para ver si entiendes la problemática del asunto.
Internet a pesar de que muchos lo ven como algo un poco abstracto es "simple". Posiblemente los dos protocolos más importantes que usa internet son IP y DNS. Una IP es una dirección, como pudiese ser una dirección postal de una casa, y es ese número que ves alguna vez como 172.217.20.227. Si tu pones esa dirección en cualquier navegador, lo que haces es acceder a google.es. google.es no es una dirección realmente, es un dominio, puedes verlo como un... "marcador", que apunta a su dirección real: 172.217.20.227. Parece redundante, pero lo cierto es que sería totalmente inviable para cualquiera aprenderse como comprenderás direcciones IPs. El 99.99 del tiempo no usamos directamente direcciones IPs, porque además de que pueden cambiar, nuestro cerebro se lleva muy mal para recordar esos números. En cambio no tenemos problemas en recordar google.es. Para que esa magia sea posible hacemos uso del protocolo DNS.
DNS es por así decirlo una guía de teléfono. Todos los equipos tienen configurados servidores DNS, lugares que en esencia le preguntan por un dominio y les devuelve una IP. Un PC no puede acceder a google.es sin conocer su IP. Lo que hace es enviar una solicitud al servidor DNS configurado (a la IP del servidor DNS configurado) preguntado por la IP de ese dominio. Es decir, tu PC pregunta por cada página que visita al servidor DNS especificado: Oye, cual es la IP del dominio google.es? El servidor DNS te responte: Pues su IP es 72.217.20.227. Y ahora el navegador como conoce la IP, pues puede mostrarte la página.
Así es a grandes rasgos como funciona Internet. Y es increíble!! Pero hay un gran problema. Todo esto data de una época donde la verdad la privacidad o seguridad era inexistente, el sistema funcionaba que era lo más importante. El problema es que el protocolo DNS va todo en texto plano. CUALQUIERA puede interceptar esa petición!! Y eso implica muchas cosas: Saber que dominio estás accediendo, devolverte una IP diferente un actor malicioso, o simplemente bloquearla.
Todo eso tiene pros y contras. Históricamente se ha aprovechado esto para, por ejemplo, bloquear contenido lícito o no. Dado que estas peticiones pueden "verse", tu puedes configurar un Router para decirle: Oye, cuando veas una petición DNS de google.es la bloqueas, o devuelves tú mismo una IP de error, por ejemplo 0.0.0.0. Pero esto mismo puede hacerlo el ISP (Como Movistar o quien sea), porque ellos también ven esas peticiones!! Da igual al servidor DNS que las mandes, por cualquier red que pasen esas peticiones se ven!! Así que Movistar puede ver que quieres saber el dominio de vertvdepagogratis.es y directamente bloquear dicha petición DNS, devolverte él un 0.0.0.0 o darte una IP que vaya a otra página que ponga contenido bloqueado.
Todo esto es posible porque el sistema DNS no es cifrado, no tiene seguridad alguna. Es más, si te conecta a una red WIFI, sea de tu casa o pública, cualquiera que esté en esa misma red, puede "ver" si tienes las herramientas, esas peticiones DNS que hace cualquier equipo!! Y esto entenderás se considera un problema de privacidad ENORME!! Sí, usado para "el bien" te permite hacer filtros de páginas de forma sencilla. Pero el uso maligno es con mucho más preocupante.
----------------
¿Que ha pasado en los últimos años? Pues que por suerte ha evolucionado. Sí, se sigue usando de forma masiva el sistema DNS tradicional antes citado, pero ya casi cualquier dispositivo, navegador, sistema operativo... viene por defecto configurado para usar una, si quieres llamarlo así, "capa de protección" rente a esto. En esencia se trata de no usar DNS, sino otros protocolos como DoT (DNS Over TLS) ó DoH (DNS Over HTTPS), que sigue siendo DNS a fin de cuenta pero se hace de forma cifrada, desde el dispositivo que lanza la petición, hasta el servidor DNS. En este esquema NADIE puede ver la solicitud DNS. En este esquema cuando el navegador quiere saber la IP de google.es en vez de lanzar una petición DNS que todos pueden leer en tu red, que el Router puede leer, que el ISP puede leer, que los gobiernos pueden leer... lo que hace tu navegador es cifrar esa petición para que NADIE pueda saber su contenido. Sí, eso pasa por tu red, pasa por tu Router, por la red de Movistar... pero ahora no pueden ver que hay dentro, ni siquiera pueden saber por regla general que es una petición DNS cifrada!! Para ellos son datos sin sentido... Cuando llegan al servidor DNS destino para el cual fue cifrado, mira la petición DNS, cifra la respuesta para tu equipo y camino contrario. Esto evita que cualquiera que esté en medio pueda interceptarlo!!
Entenderás ahora el problema. De nada sirve decirle al Router que bloquee google.es si cuando un navegador, aplicación, sistema... quiere acceder a google.es el paquete DNS es "invisible" para el Router. No es que el Router no pueda bloquearlo, es que no sabe siquiera que has accedido a esa página.
--------
Dices que parece paradógico que un ISP si tenga herramientas de ese tipo y un usuario a nivel doméstico no las tenga. Si y no. Los ISP han tenido desde siempre 2 herramientas fundamentales para aplicar bloqueos: Bloqueos DNS y bloqueos IPs. Los Bloqueos DNS ya los hemos explicado, y la aparición hace años de DoH/DoT ha sido un golpe durísimo para ellos, porque al igual que para un Router ese tráfico pasa invisible, pasa también invisible para el propio ISP. La otra opción es realizar bloqueos por IP. Esto ha sido siempre extremadamente polémico, pero técnicamente es prácticamente imposible de evitar. La IP es siempre visible o no te puedes comunicar por Internet, con lo que el ISP o tu Router siempre van a ver la IP de origen y destino, y por ende pueden bloquear si quieren la conexión. Es más, tu propio Router casi con seguridad puede hacer esto sin problema ninguno, no requiere a penas recursos de nada, es rápido y efectivo.
¿Por qué no se usan estos filtros? Por muchas razones. A nivel de Router doméstico porque las IPs a día de hoy cambian constantemente, dependen de muchos factores. Por ejemplo, he puesto que 72.217.20.227 es la IP de google.es.... pero no es del todo cierto. Es una de las muchas IPs que ahora mismo es google.es. Google tiene montones de servidores repartidos por todo el mundo, réplicas por todos lados!! No tienen digamos 1 IP, tienen montones!! y que además cambian constantemente. Aunque te explicase como bloquear una IP en el Router, no te valdría con ello, tendrías que estar bloqueando diariamente montones de ellas y a la vez desbloqueando otras. Eso desde el punto de vista del usuario normal no es viable de ningún modo.
¿Y el ISP? Históricamente estos bloqueos IPs no se han hecho efectivos en los ISP por que generan muchos problemas. Y lo vemos a diario con lo de CloudFlare. Igual que Google puede tener google.es bajo diferentes IPs totalmente diferentes, pasa también lo contrario, una sola IP puede ser compartida por cientos o miles de páginas webs diferentes. Si bloqueas una IP, bloqueas automáticamente el acceso a TODAS ellas. Por eso históricamente los filtros que se han aplicado siempre han sido por DNS, porque esos si bloquean la conexión específicamente a un destino concreto.
De ahí nace la polémica que tenemos a día de hoy con el futbol y los bloqueos de CloudFlare, porque hace poco LaLiga logró que la justicia permitiese bloqueos IPs, lo que ocasiona que muchas webs dejen de funcionar cuando los ponen en marcha, muchas webs que nada tienen que ver con el futbol.
¿Por qué se ha llegado a este punto? Bueno, porque como digo los bloqueos a nivel DNS dejaron de ser efectivos hace mucho mucho mucho tiempo. Es cierto que hasta hace relativamente poco los ISP tenían un "truco" para poder bloquear las páginas sin necesidad de DNS ni IP, en esencia interceptaban las conexiones seguras HTTPs y miraban el dominio que había dentro del certificado, porque este certificado no se transmitía de forma segura. Pero esto a día de hoy también se ha protegido, haciendo que literalmente ni siquiera Movistar con todos sus super equipos y miles de millones pueda tener la más mínima idea de que web quieres acceder... con lo que lo único que puede hacer es realizar bloqueos indiscriminados IPs. Si tienes una lista de 1000 páginas que quieres bloquear, ahora bloqueas sus IPs, los monitorizas y añades cualquier otra IP que cambien, o página nueva que aparezca... y si eso afecta a 100.000 páginas legítimas... pues que se fastidien. Aun con todo, existen modos de sortear tb estos bloqueos, por ejemplo haciendo uso de redes VPN y otras historias.
Eso es como funciona ahora mismo Internet.
Entenderás ahora el problema. Cualquier filtro DNS que pusieses en el Router, aun cuando el Router tuviese esa opción, muchos de los dispositivos de tu casa directamente se lo saltarían sin hacer nada, porque usan de facto DoT/DoH. Simplemente para el Router no sabría que estás intentando acceder a esa página filtrada. Tendrías que configurar manualmente cada uno de los dispositivos de la casa para obligar:
1º. Deshabilitar DoT/DoH a nivel de sistema operativo (Windows, Android...) y a nivel del propio navegador Web (Chrome, Firefox, Edge...)
2º. Forzar a usar todos ellos el servidor DNS del Router
3º. E impedir de algún modo que el chaval pueda (dependiendo de la edad esto es indiferente) volver a activar DoT/DoH.
Todo eso hace que querer aplicar filtros tipo DNS en cualquier Router, aplicación, ISP... no tenga a día de hoy ningún sentido. No es que no valgan, si valer valen!! El problema es que si el dispositivo hace uso de DoT/DoH a nivel del navegador web o sistema operativo, da exactamente igual el filtro que tengas, simplemente no puedes impedirlo. Y DoT/DoH se encuentra implementado a día de hoy en TODOS los sistemas operativos de forma general, y paralelamente también en los navegadores Webs. Conque cualquiera de ellos esté habilitado por defecto, no hay filtro que valga.
Y repito que esto no es un empeoramiento, esto hay que dar gracias a dios de que existe!! No sé si eres consciente de lo que he dicho anteriormente. Sin DoT/DoH cualquiera que esté en tu red, o cualquiera de Movistar, o cualquier gobierno puede saber perfectamente todos y cada uno de los dominios que estás accediendo, a que hora, cuantas veces... si has accedido 10 veces a OnlyFan en este mes, a que hora y fecha ha sido!! No se puede saber la página exacta, es decir, no puedes saber si ha sido google.es/pepigogomez/loquesea... pero si saber que has accedido a google.es. Y repito, no solo Movistar, cualquiera agente intermedio puede verlo y saberlo, sin que tú te des cuenta jamás de ello. Entenderás por ende la enorme importancia de DoT/DoH!! Sí, tiene ese "efecto colateral", que por la misma razón los filtros basados en DNS dejan de tener cualquier efecto
-----
¿Existen opciones a esto y usar lo mejor de los dos mundos? Si y no. Técnicamente podrías configurar todos los dispositivos de tu red para forzar a tener deshabilitado DoT/DoH, y por otro lado tener un servidor DNS propio donde dirigir todo el tráfico como por ejemplo PiHole, y ahí hacer los filtrados que quieras. Luego podrías mandar el tráfico DNS de PiHole a un servidor DNS propio que haga DoT/DoH al salir de tu red. Yo tengo algo así en mi red por monitorización y efiiciencia, pero como entenderás esto es algo que no está al alcance de muchos.
Además, como digo hay soluciones mucho más robustas y diseñadas específicamente para ello, como te decía con Google Family Link. Puedes hacer que estimes, repito, Movistar no obliga a usar sus equipos, puedes comprar un Router que en principio te de las prestaciones que quieras, configurarlo perfectamente y listo. Ahora bien, como ya te he dicho, aun así no vas a poder garantizar nunca que realmente se estén o no saltando esos filtros... simplemente no lo vas a saber, si cualquiera usa DoH/DoT el Router ni se va a enterar de ello.
Saludos
