Buenas esales AlvaroSantana
Es un problema conocido y ya lo expliqué en otro hilo, el cual por cierto no tengo ni idea por donde andará... pero lo explico de nuevo.
Para quien se conforme con la versión corta y simple, el software de Apple para variar hace aguas, llevan un par de años más o menos implementando todo tipo de mensajes pro-privacidad para vender "seguridad" a sus clientes. Esto funciona de un modo simple, si el terminal te dice que la red X no es segura, uno piensa que está en peligro y que su dispositivo le ha avisado a tiempo. Este tipo de prácticas no me parecen demasiado malas siempre que no se sea alarmista. Aquí el problema es que además de ser alarmistas, sus sistemas de "detección" y/o "interpretación", fallan más que una escopetilla de feria.
La versión larga y técnica para quien esté aburrido.
El sistema DNS es esencial en Internet, traduce dominios a IP, pero siempre ha tenido un problema enorme... todo iba en texto plano, así que interceptar e incluso manipular las peticiones DNS ha sido y es un juego de niños. Dicho de otro modo, cualquiera que esté conectado a tu red, y por supuesto el ISP (Movistar en este caso) puede saber sin ningún esfuerzo todos los dominios visitados, y con malas artes, también se podrían manipular para que uno creyese que accede a A, pero realmente accede a B.
Esto se solucionó hace ya algunos años, no es nuevo ojo, y sencillamente lo que se hizo fue "modificar" DNS para que se pudiese cifrar de punto a punto. Es decir, el cliente cifra la petición DNS, la envía al servidor DNS remoto, el servidor DNS remoto la desencripta, responde al cliente de forma cifrada igualmente, el cliente recibe la respuesta DNS cifrada. Y de este modo NADIE en medio puede saber (en principio) que dominio se ha accedido por DNS. Hay dos técnicas fundamentales para hacer esto, DNS Over TLS (DoT) y DNS Over HTTPS (DoH). En esencia ambos mecanismos son prácticamente iguales, la diferencia de base es que DoH usa como puerto de servicio el 443 (El que usa HTTPS), y DoT usa 853, que es un puerto propio para ello.
Desde el punto de vista de la privacidad, DoH es más seguro privado, porque las peticiones DNS no pueden distinguirse del tráfico HTTPS ordinario, mientras que aunque no se puede conocer los dominios que se acceden por DoT, como usa un puerto concreto/dedicado, sabemos que dicho tráfico encubre DNS. Por otro lado en una red empresarial o que tiene que estar muy controlada, no queda más remedio que usar DoT en todo caso, ya que DoH repito no habría forma humana de detectarlo.
---------
Bien, pues eso es en esencia todo el pastel. Cuando iOS te dice (en teoría claro, ya he dicho que no es real el 99% de las veces) que tu red está bloqueando el tráfico DNS encriptado, lo que te quiere decir es que el Router o el ISP bloquea de forma premeditada dicho tráfico para obligarte a que no puedas usar DoT/DoH.
Como digo eso es la teoría detrás de dicha advertencia. El único problema es que dicha advertencia no es real (el 99% de las veces), por dos motivos fundamentales y muy muy simples.
-El primero, si el dispositivo usase DoH, como ya he dicho anteriormente el tráfico sería totalmente indistinguible de una petición HTTPS normal. Así que si el ISP o el Router quisiese bloquear DoH, sería un buen problema, ya que en esencia bloquearía que pudiésemos acceder a cualquier web segura... en esencia a día de hoy más del 90% de toda Internet. Y sabemos que esto no pasa.
-El segundo, y por el primer pretexto, eso implicaría inexorablemente que la única forma que un Router o ISP bloquease la encriptación de tráfico DNS es en un escenario donde el dispositivo usase DoT, (y no DoH), puesto que se usa un puerto concreto distinguible. (Esto automáticamente genera una paradoja cuanto menos graciosa, si Apple realmente quisiese que los dispositivos fuesen más privados y no se pudiese bloquear el tráfico encriptado DNS, jamás habría apostado en sus dispositivos por DoT, usaría únicamente DoH). DoT si puede bloquearse, porque un Router o un ISP puede ver que se está enviando tráfico a un puerto 853 remoto, y podría (todo esto en teoría) cortar la conexión, haciendo que posiblemente el dispositivo que originó la petición DNS hiciese un fallback sobre DNS normal. Y digo todo esto en teoría porque en Europa hay leyes que impiden a un ISP bloquear cualquier tipo de tráfico, y por otro no existe ningún Router de Movistar que pueda ni de lejos estar filtrando el tráfico hacia el exterior al puerto 853.
---------------
Así que, y siento esta parrafada enorme, es un mensaje totalmente alarmista sin razón de ser. En primer lugar porque si realmente importa que el tráfico DNS no se pueda interceptar (que no poder conocer su contenido), se usa DoH. Y en segundo lugar porque a menos que te vayas a redes empresariales muy miradas o usuarios muy geek, no vas a encontrar dispositivos de monitorización que intercepten o bloqueen el tráfico DoT, que sería el único escenario donde dicho mensaje podría aparecer con cierto sentido.
Solo Dios sabe que tipo de variables u omnisapiencia usa el software de Apple para llegar a la conclusión de que en la red algún dispositivo pueda estar filtrando o bloqueando el tráfico, me esperaría cualquier cosa la verdad. Pero en cualquier caso a la vista está que, desde luego, la implementación de dicha "detección" deja enormemente que desear.
Saludos.
