Cómo los ISP rastrean su actividad en línea

Lo que puede ver su ISP

Tráfico no cifrado (HTTP)

Cuando visita sitios web que utilizan HTTP (no HTTPS), su ISP puede ver todo:

• URL completas: Direcciones web completas, incluidos los parámetros de consulta
• Página contenido: Todo el texto, imágenes y datos de la página
• Envíos de formularios: Credenciales de inicio de sesión, consultas de búsqueda, información personal
• Cookies: Tokens de sesión y datos de seguimiento
• Encabezados: Navegador tipo, sistema operativo, información de referencia

Afortunadamente, más del 95% del tráfico web ahora utiliza cifrado HTTPS, lo que limita significativamente la visibilidad.

Tráfico cifrado (HTTPS)

Incluso con el cifrado HTTPS, su ISP aún ve información sustancial:

• Nombres de dominio (a través de DNS): Qué sitios web visita
• Direcciones IP: Servidores específicos se conecta a
• Metadatos de conexión: Tiempo, duración, volumen de datos
• Patrones de tráfico: Cuando está en línea, niveles de actividad
• SNI (indicación de nombre de servidor): Nombre de host en el protocolo de enlace TLS (a menos que use ESNI/ECH)

Lo que no pueden ver con HTTPS:

• URL de páginas específicas (solo el dominio)
• Contenido de la página o datos del formulario
• Consultas o mensajes de búsqueda
• Cookies o datos de sesión

Consultas DNS: el punto ciego de privacidad

El DNS (sistema de nombres de dominio) históricamente no está cifrado, y aquí es donde los ISP obtienen la mayor parte de su poder de seguimiento:

• Cada sitio web visitado: Navegación completa historial
• Tinformación de tiempo: Cuándo accedió a cada sitio
• Datos de frecuencia: Con qué frecuencia visita sitios específicos
• Subdominios: Servicios específicos dentro de los sitios (mail.google.com, drive.google.com)

De forma predeterminada, sus dispositivos utilizan los servidores DNS de su ISP y les envían un registro de cada dominio que busca. Esto crea un mapa completo de su actividad en Internet.

Metadatos de conexión

Más allá del contenido, los ISP recopilan metadatos extensos:

Tipo de metadatos	Qué ve el ISP	Privacidad Impacto
Temporal	Tiempos de conexión, duración, frecuencia	Revela rutinas diarias, horario de sueño
Volumétrico	Datos cargados/descargados por conexión	Identifica streaming, transferencias de archivos grandes
Geográfico	Su dirección IP, ubicación	Seguimiento de ubicación física
Dispositivo	Dirección MAC, firmas de dispositivos	Huellas digitales del dispositivo, identificación
Red	Protocolos utilizados, números de puerto	Identifica P2P, uso de VPN, servicios

Tecnologías de seguimiento utilizadas por los ISP

Inspección profunda de paquetes (DPI)

La tecnología DPI examina la parte de datos de los paquetes de red en tiempo real:

Capacidad:

• Analiza el contenido del paquete más allá de la información del encabezado
• Identifica protocolos y aplicaciones
• Detectar tipos de archivos que se transfieren
• Clasificar el tráfico para la administración de red
• Filtrar contenido según reglas

Usos oficiales:

• Optimización de red y QoS (calidad de servicio)
• Detección de malware y amenazas
• Cumplimiento de derechos de autor (avisos DMCA)
• Gestión y limitación de ancho de banda

Preocupaciones de privacidad:

• Crea perfiles de usuario detallados
• Permite la censura basada en contenido
• Potencial para vigilancia masiva
• Se puede utilizar para obtener una ventaja competitiva (limitación) competidores)

Inyección de encabezado HTTP

Algunos ISP modifican el tráfico HTTP inyectando encabezados de seguimiento:

• Encabezados de identificador único (UIDH): "Supercookies" que no se pueden eliminar
• X-UIDH o X-ACRAID: Seguimiento persistente de usuarios en sitios web
• Escándalo UIDH de Verizon: Usuarios rastreados durante años sin consent

Estos encabezados inyectados permiten a los ISP y sus socios rastrear a los usuarios incluso cuando las cookies están bloqueadas o borradas.

Monitoreo y registro de DNS

Los ISP normalmente ejecutan solucionadores de DNS que registran todas las consultas:

• Marca de tiempo de cada consulta
• Dirección IP de origen (usted)
• Dominio solicitado
• Query tipo (A, AAAA, MX, etc.)
• Resultado de la resolución

Esto crea una base de datos con capacidad de búsqueda de cada dominio al que ha accedido cada cliente.

Recopilación de datos de flujo (NetFlow/IPFIX)

Metadatos de conexión agregados de protocolos de flujo de red:

• Direcciones IP de origen y destino
• Puertos de origen y destino
• Tipo de protocolo (TCP, UDP, etc.)
• Recuento de paquetes y bytes
• Duración y temporización del flujo

Aunque son menos detallados que los DPI, los datos de flujo aún revelan información importante sobre el comportamiento del usuario y pueden identificar patrones.

Por qué los ISP lo rastrean

1. Generación de ingresos

Publicidad y ventas de datos:

• Vender datos de navegación anónimos (o no identificados) a anunciantes
• Crear segmentos de usuario detallados para publicidad dirigida
• Asociarse con redes publicitarias para compartir ingresos
• Ofrecer servicios "gratuitos" subsidiados por la recopilación de datos

Después de la derogación de la regla de privacidad de EE. UU. de 2017, los ISP obtuvieron permiso explícito para monetizar los datos de los clientes sin el consentimiento voluntario.

2. Gestión de red

Necesidades operativas legítimas:

• Asignación de ancho de banda y calidad de servicio (QoS)
• Identificación y prevención del abuso de red
• Planificación de capacidad e inversión en infraestructura
• Tolución de problemas problemas de conexión

3. Cumplimiento legal

Mandatos gubernamentales:

• Leyes de retención de datos (varían según la jurisdicción)
• LSolicitudes y citaciones para hacer cumplir la ley
• Cumplimiento de derechos de autor (DMCA, etc.)
• Cartas de seguridad nacional (NSL) en EE.UU.

4. Seguridad y prevención de abuso

Medidas de protección:

• Detección de malware y botnets
• Mitigación de DDoS
• Filtrado de spam
• Bloqueo de sitios de phishing

Leyes globales de retención de datos

Estados Unidos

Ninguna ley federal exige que los ISP retengan datos con fines comerciales, pero:

• 18 USC § 2703(f): Requiere conservación de datos a petición de las autoridades
• Ley Patriota: Capacidades de vigilancia ampliadas
• Enmiendas FISA: Permite vigilancia sin orden judicial
• Leyes estatales: Varían, algunos estados tienen protecciones de privacidad más estrictas

Los ISP generalmente retienen datos durante 6 a 18 meses para fines comerciales, incluso sin requisitos legales.

Unión Europea

Paisaje complejo con fuertes protecciones de privacidad:

• GDPR: Estrictos requisitos de protección de datos, consentimiento del usuario
• ePrivacy Directiva: Reglas específicas para proveedores de telecomunicaciones
• Directiva de retención de datos: Invalidada por el tribunal de la UE, pero algunos estados miembros aún implementan variaciones
• Leyes de los estados miembros: Los períodos de retención suelen ser de 6 a 24 meses

Otras jurisdicciones

• Australia: Retención obligatoria de metadatos durante 2 años (Ley de Telecomunicaciones de 2015)
• Canadá: No hay retención obligatoria, pero las autoridades pueden solicitar la preservación
• UK: La Ley de poderes de investigación (2016) requiere 12 meses de retención
• Rusia: Amplia retención de datos y requisitos de vigilancia en tiempo real
• China: Retención integral de datos y acceso gubernamental requisitos

Casos de seguimiento de ISP del mundo real

Escándalo de "supercookie" de Verizon UIDH (2014-2016)

Verizon inyectó encabezados de seguimiento únicos en el tráfico de clientes durante dos años antes de ser detectado:

• Más de 100 millones de clientes afectados
• El encabezado de seguimiento persistió incluso cuando los usuarios borraron las cookies
• Terceras empresas utilizaron encabezados para el seguimiento entre sitios
• FCC multó a Verizon con 1,35 millones de dólares (mínimo en comparación con los ingresos)
• Mecanismo de exclusión requerido (no opt-in)

Programa de preferencias de Internet de AT&T

AT&T ofreció Internet con descuento a cambio de seguimiento:

• $29 de descuento mensual por aceptar el seguimiento
• Historial de navegación recopilado para publicidad
• Hecho opción sin seguimiento significativamente más cara
• Se plantearon preguntas sobre el consentimiento "voluntario" bajo presión económica

Escándalo Phorm del ISP del Reino Unido (2006-2008)

• BT, Virgin Media, Talk Talk probó en secreto publicidad conductual
• Comunicaciones interceptadas con clientes sin consentimiento
• Perfiles detallados creados para publicidad dirigida
• LLlevado a investigaciones penales y procedimientos de infracción de la UE

Cómo proteger su privacidad del seguimiento de ISP

1. Utilice una VPN (red privada virtual)

La protección más eficaz: cifra todo el tráfico desde su dispositivo al servidor VPN:

Qué VPN ocultan a su ISP:

• Consultas DNS (si la VPN usa su propio DNS)
• Sitios web y servicios al que accedes
• Contenido de tus comunicaciones
• Tus patrones de actividad y sincronización

Lo que las VPN no ocultan:

• Que estás usando una VPN (obvio por los patrones de tráfico)
• Cantidad de datos transferidos
• Tiempos y duración de la conexión

Elija una VPN confiable con una estricta política de no registros. VPN Master Pro proporciona protección verificada sin registros con prevención de fugas de DNS.

2. DNS cifrado (DoH/DoT)

Evita que el ISP vea consultas de DNS:

DNS sobre HTTPS (DoH):

• Encripta DNS dentro de HTTPS
• Integrado en Firefox, Chrome, Edge, Safari
Proveedores
• : Cloudflare (1.1.1.1), Google (8.8.8.8), Quad9 (9.9.9.9)

DNS sobre TLS (DoT):

• Cifrado TLS dedicado para DNS
• Compatible de forma nativa con Android 9+
• Más transparente para monitoreo de red

Ejemplo de configuración (Firefox DoH):

Configuración → Privacidad y seguridad → DNS sobre HTTPS → Habilitar con Cloudflare

3. HTTPS en todas partes

• Use extensiones de navegador que apliquen HTTPS
• Los navegadores modernos ahora advierten sobre sitios que no son HTTPS
• Evita que el ISP vea el contenido de la página y las URL
• Solo los nombres de dominio permanecen visibles (a través de DNS y SNI)

4. Navegador Tor

Máximo anonimato pero con compensaciones:

Ventajas:

• Cifrado multicapa a través de red de voluntarios
• Oculta el destino de ISP
• Anonimiza su identidad

Desventajas:

• Velocidades significativamente más lentas
• Algunos sitios bloquean los nodos de salida Tor
• Requiere un uso cuidadoso para mantener el anonimato

5. ISP centrados en la privacidad

Algunos ISP priorizan la privacidad del cliente:

• Sonic.net: ISP de EE. UU. con una sólida postura de privacidad
• Njalla: VPN y hosting
• Lproveedores locales: Algunos ISP regionales tienen mejores políticas de privacidad que los principales operadores

Lea las políticas de privacidad detenidamente y elija ISP que se comprometan a una recopilación mínima de datos.

6. Protección a nivel de enrutador

• Configurar VPN a nivel de enrutador (protege todos los dispositivos)
• Utilizar DNS que respete la privacidad en el enrutador (Cloudflare, Quad9)
• Implementar reglas de firewall que bloqueen la telemetría
• Utilizar firmware de enrutador de código abierto (DD-WRT, OpenWRT)

Preguntas frecuentes

Conclusión

El seguimiento de ISP representa una de las formas más generalizadas de vigilancia en la vida digital moderna. A diferencia de las cookies que se pueden bloquear o los historiales de búsqueda que se pueden borrar, el seguimiento a nivel de ISP se produce a nivel de infraestructura de red, más allá del control de los usuarios individuales sin medidas de privacidad proactivas.

El alcance del seguimiento del ISP varía significativamente según:

• Jurisdicción: Leyes y regulaciones locales
• Políticas del ISP: Compromiso corporativo con la privacidad
• Adopción de cifrado: Cuánto el tráfico es HTTPS frente a HTTP
• Medidas de protección del usuario: VPN, DNS cifrado, etc.

Si bien no puede eliminar por completo la visibilidad del ISP (siempre verán que los datos fluyen a través de su red), puede reducir drásticamente lo que pueden aprender sobre sus actividades a través del cifrado, VPN y herramientas centradas en la privacidad.

Los pasos más importantes:

1. Utilice una VPN confiable para todas las actividades sensibles
2. Habilite DNS cifrado (DoH/DoT) en todos los dispositivos
3. Verificar HTTPS en todos los sitios web que visita
4. Lea la política de privacidad de su ISP para comprender lo que recopilan
5. Manténgase informado sobre las leyes de privacidad locales y las prácticas de su ISP

La privacidad no se trata de tener algo que ocultar, se trata de controlar quién tiene acceso a información sobre su vida, pensamientos y actividades. Su ISP no necesita saber lo que hace en línea.