Foro

Avatar de DanielGalánNevado
DanielGalánNevado
Más integrado que la RDSI
02-02-2025

Problema con web que usan Cloudflare

Hola, buenas tardes. Parece que Movistar está bloqueando las conexiones a webs (entre ellas la mía) que usan Cloudflare o está teniendo problemas de enrutamiento. Ocurre solo con fibra, desde redes m...
Cloudflare
enrutamiento
Avatar de odlfg
odlfg
Yo probé el VDSL
04-02-2025

Hola Theliel,

Gracias por tu interés. Entiendo tu escepticismo, pero las pruebas que he realizado muestran una diferencia clara en la ruta de conexión a mi web, creatia.app, dependiendo de si se accede a través de la red de Telefónica/O2 o no.

 

No estoy diciendo que haya una manipulación del contenido visible (al menos por ahora), sino una interceptación y redirección del tráfico. Esto puede estar ocurriendo a un nivel que no es detectable por un usuario sin conocimientos técnicos, por eso la importancia de las pruebas de traceroute.

 

Te explico cómo replicar las pruebas:

Prueba con una conexión que NO sea de Telefónica/O2 (por ejemplo, Yoigo o una VPN):

Ejecuta traceroute creatia.app en tu terminal.

Verás que la ruta pasa por los servidores de Cloudflare (identificables como cloudflare.alta.espanix.net en el traceroute). Esto es lo correcto y lo esperado, ya que mi web está alojada en Cloudflare.

Prueba con una conexión de Telefónica/O2:

Ejecuta traceroute creatia.app en tu terminal.

Verás que la ruta NO pasa por los servidores de Cloudflare, sino que se desvía por la infraestructura de Telefónica. Esto es lo anómalo.

 

Esta diferencia en el traceroute es la clave. Indica que Telefónica/O2 está interceptando las peticiones a mi web y resolviéndolas desde sus propios servidores, sin pasar por Cloudflare. Esto es a lo que me refiero con "middleman". No es un MITM clásico, ya que mi web usa HTTPS, pero sí es una intervención no autorizada en el tráfico.

 

¿Por qué me preocupa esto?

No he autorizado a Telefónica/O2 a hacer esto. No soy su cliente, y no existe ninguna relación contractual que justifique esta intervención.

Está causando problemas. Mi web ha estado dando errores Soft 404 en Google Search Console, solo al acceder desde la red de O2, perjudicando mi SEO.

Telefónica/O2 tiene ahora un control inusual sobre el tráfico a mi web. Si no pasan por Cloudflare, ¿dónde está alojada la versión de mi web que sirven? ¿Qué cambios podrían estar introduciendo sin mi conocimiento? ¿Podrian incluso estar utilizando sus propios sistemas? La capacidad de cachear el tráfico les da un poder enorme sobre la información que reciben sus usuarios.

 

Piénsalo: ¿qué información podrían estar recopilando? ¿Qué modificaciones podrían estar realizando, aunque sean sutiles? ¿Podrían estar priorizando o discriminando el tráfico a determinadas webs?

 

Vulnera la neutralidad de la red. Un operador no debería poder decidir unilateralmente cómo se enruta el tráfico hacia un determinado dominio.

El problema de Cloudflare el fin de semana pasado: Lo que reporta el articulo de Teknofilo, según mi experiencia, es una consecuencia directa de esta práctica. Al no pasar el tráfico por Cloudflare, cualquier cambio que haga Cloudflare no se refleja correctamente en la infraestructura de Telefónica/O2, provocando errores. Es más, podría haber errores o problemas de indexación incluso aunque Cloudflare funcione a la perfección. En mi caso, he tenido la web caída todo el fin de semana, y no he sido el único.

 

No se trata de un simple enrutamiento. Si fuera así, los traceroute mostrarían la ruta correcta hacia Cloudflare. Aquí hay una intervención activa y no autorizada por parte de Telefónica/O2.

 

Os animo a que hagáis la prueba con vuestras webs si usáis Cloudflare. ¿Veis los nodos de Cloudflare en el traceroute desde la red de O2/Movistar? ¿O veis una ruta que solo pasa por la infraestructura de Telefónica?

 

¿No os parece, como mínimo, preocupante?

 

 

Un saludo,
Oscar

Avatar de manueljben
manueljben
Yo probé el VDSL
04-02-2025

Por cierto, aparte de poner incidencias a Cloudflare... como realmente esto tiene pinta de Movistar, id a poner reclamaciones a https://usuariosteleco.digital.gob.es/

 

A ver si les ponen bien las pilas...

  • Avatar de odlfg
    odlfg
    Yo probé el VDSL
    04-02-2025

    Estimado Sr. de la Fuente:

    Debemos insistir en que, desde INCIBE-CERT, no apreciamos indicios de que exista un incidente de seguridad que esté comprendido en nuestras funciones, que puede consultar en el siguiente enlace:

    https://www.incibe.es/incibe-cert/incidentes/respuesta-incidentes

    Insistimos en que su traza no demuestra que Telefónica esté secuestrando su tráfico, sino que está realizando una traza desde un recurso que usa su infraestructura al ser realizada desde una conexión a Internet que presta esta compañía, motivo por el que estas rutas estáticas no aparecen si sale a Internet por otro proveedor o a través de una VPN.

     

    Además, y por la misma razón que exponíamos al principio, INCIBE-CERT no tiene capacidad de actuación directa sobre los recursos de las redes de telecomunicaciones ni tampoco la de actuar directamente contra una entidad pública o privada. Si cree que está siendo víctima de un [....] o delito, puede presentar una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado siguiendo las instrucciones de este enlace:

    https://www.incibe.es/ciudadania/ayuda/denuncia

    Recuerde que las denuncias presentadas de forma telefónica o electrónica deben firmarse presencialmente en un plazo máximo de 72 horas para que adquieran eficacia.

    Un cordial saludo.


    - --
    INCIBE-CERT - CSIRT del Instituto Nacional de Ciberseguridad de España
    https://www.incibe.es/incibe-cert

    Servicio gratuito ofrecido de forma ininterrumpida (24x7). Puede valorarlo en https://www.incibe.es/incibe-cert/encuesta-satisfaccion-servicio-gestion-incidentes
    Financiado por la Unión Europea - NextGenerationEU

    Claves PGP: https://www.incibe.es/incibe-cert/sobre-incibe-cert/claves-publicas-pgp

    ====================================================================

    INCIBE-CERT es el CSIRT Nacional de referencia en España para ciudadanos y entidades de derecho privado, así como proveedores de servicios digitales, operadores críticos y de servicios esenciales y otras entidades no incluidas en el ámbito subjetivo de aplicación de la Ley de Régimen Jurídico del Sector Público 40/2015; tal y como establece el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información que transpone la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión.

    ====================================================================

    En cumplimiento del Reglamento General de Protección de Datos de la UE (Reglamento UE 2016/679, de 27 de abril de 2016) le informamos que sus datos personales, corporativos (así como los incorporados a documentos adjuntos); y dirección de correo electrónico, podrán ser incorporados en nuestros registros con la finalidad derivada de obligaciones legales, contractuales o precontractuales o bien, para responder a sus consultas, pudiendo ejercitar sus derechos de acceso, rectificación, supresión, portabilidad, limitación del tratamiento y oposición en los términos establecidos en la legislación vigente y de manera gratuita mediante correo electrónico a dpd@incibe.es. Recordamos que los trabajadores tienen el derecho a la desconexión digital entendido como la libertad del trabajador a no tener que conectarse a ningún dispositivo digital o software corporativo, mientras esté en períodos de descanso o vacaciones, o fuera de horario laboral. El responsable del tratamiento es
     la S.M.E. Instituto Nacional de Ciberseguridad de España M.P., S.A. Más información en nuestra web: https://www.incibe.es/proteccion-datos-personales y https://www.incibe.es/registro-actividad.

    ====================================================================
    -----BEGIN PGP SIGNATURE-----

    iQIzBAEBCgAdFiEEsc0PA25fZ79t5mlGDr1alK9E0w4FAmeh2n0ACgkQDr1alK9E
    0w4c/g//XANTjn4e2ak6fZmO808uSY/jFAb3EsNBx5KT4i9gt4IL9gB55MTpbnOx
    R0N5XTDQXoeq7zZtvUJaWP6F/W/eTIuZAWzu6MQT+geOicl28FEK84+ItUKv450D
    BPcGcKvm7JdUxe7s0yMIXgQb6NXHPgoOTzslbfCOR3s6jPz0OMnX0/+sU1a9W8fF
    kf2aEcBHl/Wa/+5FJfPmvwjZfrhUzpof7c6jYDivvl2YSjn0MI5/fzBF5CdVd35u
    R4zGPRbpqTJYKn+khmGyrCzpSa84lXlnjJQIWYPMc0GZI0UYGn5xZiSSsOWPGTBB
    CuE5JaMOra9n/fUjhW0cTq+BiDQeUu7giEsBIi900qfRa5t9fFRCU/AwlZAdKX9C
    +xia5gjIbUkXcvLi3M9LkB75QWhUyxykJB8pRiNjBW/FWtxYFLjGKsiL8hP7HXIw
    5U6oO8r7CBaYwMfk+HsqQ2fIrvtiGhShfJm2V3dJ5vOjhc9HsGiFHiyoTh1KKf3p
    Umdzgbt7yLB7R58Me1NKGltNNojszNi5i6bSVtaYH9UPy9oInoYxgFjqxDrxU81e
    SODCGD/LpdaAVUviZ3qgX+YpprdqWXpYF6I+vK0S/Te8fFoTYQCtGx1W08YoTpGl
    JKGKnKe2xPjqdHfmPIXGvHh+WAbYYiYS1wxNXn7ggRf6szwc5xE=
    =9ZuQ
    -----END PGP SIGNATURE-----