Problema con web que usan Cloudflare
Hola, buenas tardes. Parece que Movistar está bloqueando las conexiones a webs (entre ellas la mía) que usan Cloudflare o está teniendo problemas de enrutamiento. Ocurre solo con fibra, desde redes m...
Foro
Quiero expresar mi rechazo a lo que percibo como una manipulación no autorizada del flujo de datos. No soy cliente de Telefónica, y por tanto, no he dado mi consentimiento para que mi tráfico web sea redirigido o manipulado por su infraestructura.
La implementación de este "man-in-the-middle" por parte de Telefónica, a través de su infraestructura de caché, afecta la integridad de la red, incluso si la configuración de un sitio web es óptima. Esta situación deja a los sitios vulnerables a posibles modificaciones que podrían perjudicar el SEO y la indexación en buscadores, independientemente de la calidad de la configuración del sitio.
Considero que es inaceptable que mi tráfico web sea servido por la caché de Telefónica sin mi autorización, afectando a todos los usuarios de sus redes (Movistar, Telefónica y O2). Esto crea una dependencia innecesaria y una incertidumbre sobre la estabilidad y la integridad del tráfico.
La situación actual sugiere que Telefónica podría estar abusando de su posición privilegiada, ya que no he solicitado sus servicios. Esta interferencia no autorizada genera una grave preocupación sobre el control que tienen sobre el tráfico web de quienes no son sus clientes.
Solicito la restauración inmediata de las rutas de conexión directas a Cloudflare. Hasta que esto no se resuelva, nuestros sitios web permanecerán expuestos a las manipulaciones de la infraestructura de Telefónica.
He presentado una queja formal a Cloudflare. Adjunto la confirmación de la recepción:
[313aa32740bb6975] Cloudflare: Abuse report confirmation
This email is to confirm that your abuse report to Cloudflare has been received and will be processed shortly.
This may be the only response you receive regarding your report. Due to the large volume of reports we receive, it is not possible for us to send a personal response to every report.
Please be aware Cloudflare offers network service solutions including pass-through security services, a content distribution network (CDN) and domain registrar services. Due to the pass-through nature of our services, our IP addresses appear in WHOIS and DNS records for websites using Cloudflare. Cloudflare is not generally a website hosting provider, and we cannot remove material from the Internet that is hosted by others.
To respond to this issue, please reply to abusereply@cloudflare.com.
Regards,
Cloudflare Trust & Safety
Agradezco su atención a esta situación urgente y espero una respuesta y solución pronta."
Buenas odlfg
No tengo claro que te refieres con que Movistar como dices cachea de forma intermedia el tráfico hacia un servidor tuyo. Llevo usando años y años servidores propios hospedados bajo conexiones de Movistar, y siempre han sido conexiones directas, jamás he visto manipulación alguna de datos o contenido proxeado o cacheado.
Si me dices como llegas a esa conclusión o que datos has mirado para ello, intento replicarlo sin ningún tipo de problema, sería algo bastante preocupante desde luego. Por otro lado no tendría el menor sentido que Movistar hiciese esto, pero eso sería ya otra cuestión diferente.
Saludos.
Hola Theliel,
Gracias por tu interés. Entiendo tu escepticismo, pero las pruebas que he realizado muestran una diferencia clara en la ruta de conexión a mi web, creatia.app, dependiendo de si se accede a través de la red de Telefónica/O2 o no.
No estoy diciendo que haya una manipulación del contenido visible (al menos por ahora), sino una interceptación y redirección del tráfico. Esto puede estar ocurriendo a un nivel que no es detectable por un usuario sin conocimientos técnicos, por eso la importancia de las pruebas de traceroute.
Te explico cómo replicar las pruebas:
Prueba con una conexión que NO sea de Telefónica/O2 (por ejemplo, Yoigo o una VPN):
Ejecuta traceroute creatia.app en tu terminal.
Verás que la ruta pasa por los servidores de Cloudflare (identificables como cloudflare.alta.espanix.net en el traceroute). Esto es lo correcto y lo esperado, ya que mi web está alojada en Cloudflare.
Prueba con una conexión de Telefónica/O2:
Ejecuta traceroute creatia.app en tu terminal.
Verás que la ruta NO pasa por los servidores de Cloudflare, sino que se desvía por la infraestructura de Telefónica. Esto es lo anómalo.
Esta diferencia en el traceroute es la clave. Indica que Telefónica/O2 está interceptando las peticiones a mi web y resolviéndolas desde sus propios servidores, sin pasar por Cloudflare. Esto es a lo que me refiero con "middleman". No es un MITM clásico, ya que mi web usa HTTPS, pero sí es una intervención no autorizada en el tráfico.
¿Por qué me preocupa esto?
No he autorizado a Telefónica/O2 a hacer esto. No soy su cliente, y no existe ninguna relación contractual que justifique esta intervención.
Está causando problemas. Mi web ha estado dando errores Soft 404 en Google Search Console, solo al acceder desde la red de O2, perjudicando mi SEO.
Telefónica/O2 tiene ahora un control inusual sobre el tráfico a mi web. Si no pasan por Cloudflare, ¿dónde está alojada la versión de mi web que sirven? ¿Qué cambios podrían estar introduciendo sin mi conocimiento? ¿Podrian incluso estar utilizando sus propios sistemas? La capacidad de cachear el tráfico les da un poder enorme sobre la información que reciben sus usuarios.
Piénsalo: ¿qué información podrían estar recopilando? ¿Qué modificaciones podrían estar realizando, aunque sean sutiles? ¿Podrían estar priorizando o discriminando el tráfico a determinadas webs?
Vulnera la neutralidad de la red. Un operador no debería poder decidir unilateralmente cómo se enruta el tráfico hacia un determinado dominio.
El problema de Cloudflare el fin de semana pasado: Lo que reporta el articulo de Teknofilo, según mi experiencia, es una consecuencia directa de esta práctica. Al no pasar el tráfico por Cloudflare, cualquier cambio que haga Cloudflare no se refleja correctamente en la infraestructura de Telefónica/O2, provocando errores. Es más, podría haber errores o problemas de indexación incluso aunque Cloudflare funcione a la perfección. En mi caso, he tenido la web caída todo el fin de semana, y no he sido el único.
No se trata de un simple enrutamiento. Si fuera así, los traceroute mostrarían la ruta correcta hacia Cloudflare. Aquí hay una intervención activa y no autorizada por parte de Telefónica/O2.
Os animo a que hagáis la prueba con vuestras webs si usáis Cloudflare. ¿Veis los nodos de Cloudflare en el traceroute desde la red de O2/Movistar? ¿O veis una ruta que solo pasa por la infraestructura de Telefónica?
¿No os parece, como mínimo, preocupante?
Un saludo,
OscarBuenas odlfg
No tengo nada claro el análisis que haces, no tiene mucho sentido.
Partamos por tu primer tracert que pusiste algo más arriba desde una conexión de O2. ¿Por qué está mal el tracert? Telefónica no está actuando como un MitM, Movistar está enrutando el tráfico por su red hacia le destino, sin más. Como cualquier otra conexión que uno haga, cuando su tráfico entra en la red del ISP que sea (sea red de origen, intermediaria o final), es dicha red la que va a enviar el tráfico por un lado o por otro según ese momento concreto, situación de la red, de sus peer... etc etc etc.
Esto es ni más ni menos como funciona Internet. El ISP te brinda la conexión, enviando el tráfico por su red hasta la siguiente red. Sin más. En el caso concreto de que el ISP tuviese un Peer con el destino final, nos ahorraríamos como es lógico redes intermedias. Una conexión VPN, por cierto, es una conexión indirecta donde todo el tráfico pasa igualmente por la red del ISP, la única diferencia es que el destino es diferente, en vez de ser la página X es la del servidor VPN, pero el tráfico enrutado por su red hacia el servidor VPN sigue las mismas normas que todos.
Decir o creer que Movistar/Telefónica actúa como MitM porque dependiendo del destino/horario/situación el tráfico se enrute por sus redes carece totalmente de lógica aquí. Máxime si tenemos en cuenta que la red de Telefónica es un Tier1 en Internet, es una red troncal, por la que pasa el tráfico de medio mundo. Como pueda serlo la de Level3, NTT, TATA... ver que el tráfico entra o sale de ellas es totalmente normal y habitual.
De echo, en tus propios tracert lo que se aprecia es que CloudFlare tiene un rendimiento bastante mejor cuando se está con Movistar, porque CloudFlare sí tiene un peer propio con Telefónica, mientras que con Orange tiene que pasar por un punto de intercambio, como es espanix, posiblemente porque desde sus conexiones es el camino más apropiado de ello. Por cierto, todo ello es información pública por supuesto
https://bgp.he.net/AS13335#_peers
Eso implica que lo más normal, rápido y eficiente para cualquier conexión desde la red de Movistar, es pasar el tráfico por lo general a la red troncal de Telefónica, y de esta a CloudFlare, pues tienen peer directo. No solo esto es un error, sino que es preferible, minimizando la latencia. Solo tienes que ver los resultados en tu tracert de una conexión a otra 🙂
Vamos, que me temo que es simplemente como funciona Internet, no existe ninguna anomalía en ello ni ningún problema de seguridad. Es como decir por ejemplo que espanix actúa de MitM porque el tráfico pasa por ellos. El 99% de las veces, a menos que el destino tenga un Peer directo con el propio ISP, el tráfico va a saltar por diferentes redes, a veces una red intermedia, a veces dos, a veces tres... y obviamente no es porque actúen como MitM, sino porque repito es como funciona Internet. Internet no es más que una red de redes, unas conectadas a otras conectadas a otras....
Saludos, y espero que quede algo más claro. En cualquier caso si te quedas con alguna duda que no te cuadre o lo que sea, lo comentamos igualmente.
Para que quede claro, las pruebas no fueron realizadas en igualdad de condiciones. La conexión de O2 es fibra óptica, mientras que la conexión de Yoigo se realizó mediante tethering 4G con un móvil antiguo y con cobertura media.
A priori, la conexión de O2 debería ser mucho más rápida y eficiente pero funciona y nadie nos llama vendiendo mas cosas.
Sin embargo, es precisamente en esa conexión donde se produce la anomalía en el traceroute y donde aparecen los errores Soft 404 reflejados en GSC. Esto demuestra que el problema no es la velocidad de la conexión, sino la forma en que Telefónica/O2 está gestionando el tráfico. Un traceroute debería mostrar la ruta de conexión independientemente de la velocidad. El hecho de que con O2 no se vea la ruta hacia Cloudflare es, cuanto menos, sospechoso. De hecho, si nos ponemos a pensar un poco... parece un "secuestro" de manual.
Me parece injusto que se intente desacreditar mis pruebas, realizadas con rigor, simplemente porque una conexión es más rápida que la otra. Lo que importa aquí es la ruta que sigue el tráfico, no la velocidad a la que lo hace. Y esa ruta, en el caso de O2, no es la correcta. No voy a permitir que se beneficien de mis resultados de investigación sin que se reconozca la gravedad del problema que he expuesto y sin que se me ofrezca una solución.
Ahora si mi ultimo post y me voy de aquí:
Hola Theliel,
Agradezco tu explicación, pero sigo sin estar de acuerdo con tu interpretación. Dices que es "normal" que el tráfico pase por la red de Telefónica, pero olvidas un detalle fundamental: no soy cliente de Telefónica/O2, ni he solicitado que intervengan en mi conexión.
Insistes en que "es simplemente como funciona Internet", pero el traceroute a creatia.app a través de O2 no muestra los nodos de Cloudflare que sí aparecen con otros operadores. Eso no es normal.
El problema no es que el tráfico pase por la red de Telefónica, sino que Telefónica/O2 parece estar resolviendo las peticiones a mi web desde su propia infraestructura, sin pasar por Cloudflare. Eso es lo que indica el traceroute y eso es lo que, a mi entender, se asemeja a un "middleman" no autorizado, aunque no sea el clásico.
Dices que "Movistar está enrutando el tráfico por su red hacia el destino, sin más". Pero, ¿por qué no enruta hacia Cloudflare, que es donde está alojada mi web? ¿Por qué los errores Soft 404 solo ocurren con O2? ¿Por qué, como tú mismo indicas, se ha caído estos días el acceso a webs en planes gratuitos de Cloudflare desde Movistar, y no desde otros operadores? ¿Qué tiene que ver la configuración gratuita de Cloudflare para que Telefónica se salte a Cloudflare y enrute a su antojo?
Tú mismo reconoces que Telefónica tiene un "peer propio" con Cloudflare. Entonces, ¿por qué no lo usa en este caso? ¿Por qué el tráfico se desvía por la infraestructura de Telefónica en lugar de seguir la ruta directa hacia Cloudflare?
Me preocupa que se normalice una situación en la que un operador, sin mi consentimiento, decide cómo y dónde se sirve mi web. Esto, a mi juicio, afecta a la neutralidad de la red y a la seguridad de las comunicaciones, y me deja en una situación de completa indefensión como titular del dominio.
Insisto en que no se trata de un problema de latencia o eficiencia, sino de una cuestión de principios y de control sobre mi propia web.
Si Telefónica/O2 no estuviera interceptando y cacheando el tráfico, los cambios realizados por Cloudflare no habrían provocado la caída de mi web ni los errores Soft 404.
Agradecería que, en lugar de justificar la actuación de Telefónica/O2, se investigara a fondo este problema y se diera una explicación clara y transparente. Los usuarios merecemos saber qué está pasando con nuestro tráfico en Internet.
Por cierto, la respuesta de INCIBE-CERT, borrada por moderación (curioso, ¿no?), aunque no clasificaba el incidente como de seguridad, sí reconocía problemas de conexión entre Telefónica y Cloudflare.
¡Hasta luego!(este ha sido mi último post)
Oscar
Por cierto, aparte de poner incidencias a Cloudflare... como realmente esto tiene pinta de Movistar, id a poner reclamaciones a https://usuariosteleco.digital.gob.es/
A ver si les ponen bien las pilas...
Estimado Sr. de la Fuente:
Debemos insistir en que, desde INCIBE-CERT, no apreciamos indicios de que exista un incidente de seguridad que esté comprendido en nuestras funciones, que puede consultar en el siguiente enlace:
https://www.incibe.es/incibe-cert/incidentes/respuesta-incidentes
Insistimos en que su traza no demuestra que Telefónica esté secuestrando su tráfico, sino que está realizando una traza desde un recurso que usa su infraestructura al ser realizada desde una conexión a Internet que presta esta compañía, motivo por el que estas rutas estáticas no aparecen si sale a Internet por otro proveedor o a través de una VPN.
Además, y por la misma razón que exponíamos al principio, INCIBE-CERT no tiene capacidad de actuación directa sobre los recursos de las redes de telecomunicaciones ni tampoco la de actuar directamente contra una entidad pública o privada. Si cree que está siendo víctima de un [....] o delito, puede presentar una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado siguiendo las instrucciones de este enlace:
https://www.incibe.es/ciudadania/ayuda/denuncia
Recuerde que las denuncias presentadas de forma telefónica o electrónica deben firmarse presencialmente en un plazo máximo de 72 horas para que adquieran eficacia.
Un cordial saludo.
- --
INCIBE-CERT - CSIRT del Instituto Nacional de Ciberseguridad de España
https://www.incibe.es/incibe-certServicio gratuito ofrecido de forma ininterrumpida (24x7). Puede valorarlo en https://www.incibe.es/incibe-cert/encuesta-satisfaccion-servicio-gestion-incidentes
Financiado por la Unión Europea - NextGenerationEUClaves PGP: https://www.incibe.es/incibe-cert/sobre-incibe-cert/claves-publicas-pgp
====================================================================
INCIBE-CERT es el CSIRT Nacional de referencia en España para ciudadanos y entidades de derecho privado, así como proveedores de servicios digitales, operadores críticos y de servicios esenciales y otras entidades no incluidas en el ámbito subjetivo de aplicación de la Ley de Régimen Jurídico del Sector Público 40/2015; tal y como establece el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información que transpone la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión.
====================================================================
En cumplimiento del Reglamento General de Protección de Datos de la UE (Reglamento UE 2016/679, de 27 de abril de 2016) le informamos que sus datos personales, corporativos (así como los incorporados a documentos adjuntos); y dirección de correo electrónico, podrán ser incorporados en nuestros registros con la finalidad derivada de obligaciones legales, contractuales o precontractuales o bien, para responder a sus consultas, pudiendo ejercitar sus derechos de acceso, rectificación, supresión, portabilidad, limitación del tratamiento y oposición en los términos establecidos en la legislación vigente y de manera gratuita mediante correo electrónico a dpd@incibe.es. Recordamos que los trabajadores tienen el derecho a la desconexión digital entendido como la libertad del trabajador a no tener que conectarse a ningún dispositivo digital o software corporativo, mientras esté en períodos de descanso o vacaciones, o fuera de horario laboral. El responsable del tratamiento es
la S.M.E. Instituto Nacional de Ciberseguridad de España M.P., S.A. Más información en nuestra web: https://www.incibe.es/proteccion-datos-personales y https://www.incibe.es/registro-actividad.====================================================================
-----BEGIN PGP SIGNATURE-----iQIzBAEBCgAdFiEEsc0PA25fZ79t5mlGDr1alK9E0w4FAmeh2n0ACgkQDr1alK9E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=9ZuQ
-----END PGP SIGNATURE-----
Pues nada... sigue la cosa igual de rota, eso sí , son unos champions ya que aparte de perder todos los canales de AMC han subido 4 euritos este año otra vez... para luego tener esta m**** de servicio.
