Hace tiempo que ya os hablé de SPDY, el protocolo que ha impulsado Google para eregirse en el "garante" de facto de la privacidad mundial del tráfico HTTP de los clientes sin que muchos de estos sean conscientes de esto. La idea, como ya os conté en el artículo es tan sencilla como que todo el tráfico que se genera en el cliente de navegación se cifra y se envía por defecto a uno de los servidores de Google para que este sea después el que lo encamine hacia el servidor web al que se quiere conectar un usuario.
 |
| Figura 1: Google se lleva tu tráfico HTTP a pasear por Suiza |
Para que podáis entenderlo fácilmente. Supongamos que yo estoy en mi ciudad de Móstoles y me quiero conectar vía HTTP a un servidor que se encuentra en Móstoles. Si lo hago desde un terminal Android con el cliente Chrome por defecto, todo mi tráfico se irá previamente a pasear por los servidores de Google y luego regresará otra vez a Móstoles vía HTTP.
 |
| Figura 2: Con SPDY el tráfico HTTP de tu navegador se va a Google sí o sí |
Si quieres probar este comportamiento en un terminal Android es muy sencillo. Basta con que navegues a cualquier servicio de comprobación de dirección IP que funcione vía HTTP y compruebes cuál es la dirección pública que estás utilizando. Como se puede ver en esta captura, la dirección IP que tenemos es una 66.249.81.159.
 |
| Figura 3: Chrome 46 en Android pasando el tráfico por la dirección 66.249.81.159 |
Si ahora vamos a ver en qué ubicación física se encuentra esta dirección, vemos que está en Suiza. Es allí donde Google ha puesto algunos de sus servidores SPDY para Europa. Ya sabéis que hay restricciones serias para llevarse el tráfico fuera de Europa a la ligera debido a las protecciones legales, así que Google los ha instalado en su centro de datos que tiene en el país suizo. Parece una metáfora. Igual que muchos se llevan a este país alpino su dinero, Google se lleva otra cosa muy valiosa, tus datos.
 |
| Figura 4: Salimos por una dirección IP sita en Suiza |
Por supuesto, esto se ha configurado por defecto en las últimas versiones de Android, por lo que si un usuario quiere dejar de enviarle sin saberlo todo su tráfico HTTP a Google, incluidos todos los datos que se envían en formularios, como datos personales, datos de navegación, e incluso las credenciales que se pudieran usar vía HTTP, debe entrar en una página de configuración de Chrome://flags y deshabilitar SPDY.
 |
| Figura 5: SPDY deshabilitado en Chrome 46 sobre Android |
Una vez que hayas deshabilitado el uso de SPDY, puedes repetir el experimento. Conéctate otra vez a comprobar tu dirección IP de navegación y obtendrás la dirección real de tu ISP. En este caso la dirección IP de una conexión en Telefónica.
 |
| Figura 6: El tráfico HTTP ya no pasa por los servidores de Google en Suiza |
Como se puede comprobar, ahora el tráfico sí que está saliendo de Madrid, que es la ubicación desde la que se ha hecho esta prueba, y por tanto todo el contenido HTTP generado desde el terminal Android con este navegador Chrome 46 no está siendo enviado a los servidores de Google en Suiza.
 |
| Figura 7: Tráfico enviado directamente de nuestra ubicación orginal |
Este cambio lo impone Google como Opt-out, es decir, que son los usuarios los que deben deshabilitarlo y si no está activado. Así que, igual que cuando decidió con el Google Car llevarse todo el tráfico WiFi sin cifrar que pudiera capturar haciendo WarDriving, ahora se lleva todo el tráfico HTTP sin cifrar a sus CPDs, sin haber hecho mucho ruido, sin que casi nadie se haya dado cuenta y, por ahora, por el momento, no piensa dejar que el usuario pueda elegir otro servidor SPDY Proxy al que entregar su confianza. Si has visto mucho tráfico en tus servidores web llegando desde Suiza, ya sabes el porqué.
¿Es este un comportamiento que se espera en un mundo de Neutralidad Digital o se podría ver como un abuso de posición dominante de la que misma que se quejaba Google hace no tantos años cuando decía eso de Don´t Be Evil?
Saludos Malignos!
No comments:
Post a Comment