Categoría Ciberseguridad Seguridad TIC
Categoría Ciberseguridad / Seguridad / TIC

ECH (Encrypted Client Hello)

Cómo activar ECH (Encrypted Client Hello) para mejorar la privacidad en internet

La privacidad en internet se ha convertido en una preocupación cada vez mayor debido al seguimiento de actividad, la inspección del tráfico y la recopilación de datos por parte de terceros.

Uno de los avances más recientes en la protección de las conexiones seguras es ECH (Encrypted Client Hello), una tecnología diseñada para ocultar parte de la información que se transmite al iniciar una conexión HTTPS. Esta función forma parte de la evolución del protocolo TLS y tiene como objetivo evitar que intermediarios puedan identificar a qué sitio web se está conectando un usuario. En esta guía aprenderás qué es ECH, cómo funciona y cómo activarlo en los principales navegadores y sistemas.

Qué es ECH (Encrypted Client Hello)

ECH significa Encrypted Client Hello, que en español podría traducirse como saludo inicial del cliente cifrado.

Para entender su función primero hay que comprender cómo funciona una conexión HTTPS.

Cuando un navegador se conecta a un servidor seguro ocurre un proceso llamado handshake TLS.

Durante este proceso el navegador envía información inicial conocida como: Client Hello

Este mensaje contiene datos como:

  • Versión de TLS utilizada
  • Algoritmos criptográficos soportados
  • Extensiones de conexión
  • Nombre del servidor solicitado

Este último dato se envía mediante un mecanismo llamado SNI (Server Name Indication).

El problema del SNI tradicional

El campo SNI indica al servidor qué dominio se desea visitar.

Por ejemplo:

www.ejemplo.com

El problema es que este dato se envía sin cifrar en el proceso inicial de conexión.

Esto significa que:

  • Proveedores de internet
  • Redes corporativas
  • Sistemas de inspección de tráfico

pueden ver qué dominio está visitando el usuario, incluso si la conexión usa HTTPS.

Qué soluciona ECH

ECH cifra esa información inicial para que terceros no puedan verla.

Esto permite que:

  • El dominio solicitado quede oculto
  • La conexión sea más privada
  • Se reduzca la inspección de tráfico

Con ECH, el nombre del servidor se cifra antes de enviarse.

Esto impide que intermediarios identifiquen el sitio web al que te conectas.

Requisitos para usar ECH

Para que ECH funcione correctamente deben cumplirse varios requisitos.

El soporte debe existir en:

  • Navegador web
  • Servidor del sitio web
  • Infraestructura DNS

Además, muchos servicios utilizan proveedores de red compatibles con ECH.

Por ejemplo redes de distribución de contenido modernas.

Actualmente varios navegadores han comenzado a implementar soporte para ECH.

Entre los más conocidos se encuentran:

  • Mozilla Firefox
  • Google Chrome
  • Microsoft Edge

El soporte todavía se encuentra en evolución y puede depender de la versión del navegador.

Cómo activar ECH en Mozilla Firefox

Mozilla Firefox es uno de los navegadores que ofrece mejor soporte experimental para esta tecnología.

Paso 1: Abrir la configuración avanzada

Escribe en la barra de direcciones:

about:config

Pulsa Enter.

Acepta el mensaje de advertencia si aparece.

Paso 2: Buscar la opción ECH

En el buscador escribe:

network.dns.echconfig.enabled

Paso 3: Activar la función

Cambia el valor a:

true

Esto habilita la recepción de configuraciones ECH desde DNS.

Paso 4: Verificar DNS seguro

ECH funciona mejor cuando se utiliza DNS sobre HTTPS (DoH).

En Firefox puedes activarlo en:

Configuración → Privacidad y seguridad → DNS sobre HTTPS.

Cómo activar ECH en Google Chrome

Google Chrome también está implementando soporte para esta función.

Sin embargo, suele depender de configuraciones experimentales.

Paso 1: Abrir las flags experimentales

Escribe en la barra de direcciones:

chrome://flags

Paso 2: Buscar ECH

En el buscador escribe:

Encrypted Client Hello

Paso 3: Activar la opción

Selecciona Enabled.

Después reinicia el navegador.

Cómo activar ECH en Microsoft Edge

El proceso en Microsoft Edge es similar al de Chrome.

Paso 1: Acceder a las flags

Escribe:

edge://flags

Paso 2: Buscar ECH

Busca la opción:

Encrypted Client Hello

Paso 3: Activarla

Cambia la configuración a Enabled y reinicia el navegador.

Cómo comprobar si ECH está funcionando

Una vez activado, puedes comprobar si tu navegador está usando ECH.

Algunos servicios de diagnóstico de red permiten verificar si la conexión utiliza esta tecnología.

Estas pruebas analizan:

  • Soporte TLS
  • Configuración DNS
  • Compatibilidad del servidor

Si todo está correctamente configurado, la conexión utilizará ECH automáticamente.

Limitaciones actuales de ECH

Aunque ECH representa un gran avance en privacidad, todavía tiene algunas limitaciones.

Entre ellas:

  • No todos los servidores lo soportan
  • Algunos navegadores lo mantienen como función experimental
  • Algunas redes pueden bloquearlo
  • Depende de DNS compatible

A medida que más servicios lo adopten, su uso será más común.

Relación entre ECH y DNS sobre HTTPS

ECH suele funcionar en conjunto con DNS sobre HTTPS (DoH) o DNS sobre TLS (DoT).

Estas tecnologías cifran las consultas DNS.

Esto evita que terceros puedan ver:

  • Qué dominios consultas
  • Qué servidores utilizas

Cuando se combinan con ECH, la privacidad de navegación aumenta considerablemente.

Ventajas de utilizar ECH

Activar ECH aporta varios beneficios en materia de privacidad.

Entre ellos:

  • Oculta el dominio solicitado en el handshake TLS
  • Reduce la inspección de tráfico
  • Mejora la privacidad de navegación
  • Protege contra análisis de red

Es una evolución natural de las conexiones HTTPS.

Cuándo puede ser útil ECH

ECH puede resultar especialmente útil en entornos donde se monitoriza el tráfico de red.

Por ejemplo:

  • Redes públicas
  • Redes corporativas
  • Conexiones compartidas
  • Redes WiFi abiertas

En estos casos ayuda a ocultar qué sitios web se visitan.

El futuro de ECH

ECH forma parte de la evolución del estándar TLS 1.3 y de las nuevas tecnologías orientadas a mejorar la privacidad en internet.

Se espera que en los próximos años:

  • Más navegadores lo habiliten por defecto
  • Más servidores lo soporten
  • Se convierta en un estándar común

Esto permitirá que las conexiones HTTPS sean aún más privadas.

Conclusión

ECH (Encrypted Client Hello) representa un avance importante en la protección de la privacidad en internet. Al cifrar el nombre del servidor durante el inicio de la conexión TLS, evita que terceros puedan identificar a qué sitio web se está accediendo, incluso cuando se utilizan conexiones HTTPS. Aunque su implementación todavía está en desarrollo y depende del soporte del navegador, del servidor y de la infraestructura DNS, cada vez más servicios están adoptando esta tecnología. Activar ECH en navegadores compatibles es una forma sencilla de mejorar la privacidad de navegación y prepararse para una internet más segura y protegida frente a la inspección del tráfico.

Ciberseguridad Internet