VPN en Cuba: Marco legal, aplicación práctica y realidad técnica

Cuba mantiene una de las posiciones más restrictivas del mundo respecto al acceso a internet y las tecnologías de cifrado, aunque la regulación específica de redes privadas virtuales permanece dispersa en un marco legal que combina decretos históricos, normas sectoriales y prácticas de enforcement que no siempre corresponden con la letra escrita. El fundamento legal para la restricción de tecnologías de comunicación cifrada en Cuba se remonta a décadas anteriores. El Decreto Ley 195 de 1999 regula el uso de criptografía, estableciendo que cualquier sistema de cifrado de datos debe ser autorizado por el Ministerio de Comunicaciones (ahora Ministerio de Tecnologías de la Información y las Comunicaciones). Aunque este decreto no menciona específicamente las VPN, se ha invocado como base legal para la restricción de tecnologías que cifran el tráfico de datos. La Resolución 5 de 2017 del Ministerio de Comunicaciones reforzó estas restricciones, imponiendo requisitos adicionales para los proveedores de servicios de telecomunicaciones. Dentro de este marco, el acceso a internet en Cuba está centralizado a través de ETECSA (Empresa de Telecomunicaciones de Cuba), que actúa simultáneamente como proveedor único de servicios, regulador de facto y ejecutor de políticas de bloqueo. La distinción entre la regulación escrita y la aplicación práctica es crucial. Las penalidades estatutarias incluyen multas y, teóricamente, penas de prisión para quienes utilicen criptografía sin autorización, pero no existe registro público de enjuiciamientos penales específicamente por el uso de VPN entre ciudadanos ordinarios. El enforcement en Cuba opera más a través del control técnico de la infraestructura que mediante persecución legal de usuarios individuales. Desde el punto de vista técnico, el bloqueo de VPN en Cuba se implementa mediante múltiples capas. Los reportes de medios especializados y observaciones de investigadores en acceso a internet indican que ETECSA utiliza inspección profunda de paquetes (DPI) para identificar el tráfico cifrado que no coincide con patrones de tráfico legítimo. Además, se ha documentado el uso de inspección de indicador de nombre de servidor (SNI) para bloquear conexiones hacia servidores de VPN conocidos. La organización de monitoreo OONI ha recolectado datos limitados desde Cuba debido a las restricciones técnicas, pero los reportes disponibles sugieren que los bloqueos varían en intensidad según el protocolo y el proveedor de servicios. El filtrado a nivel de DNS también se implementa, bloqueando dominios asociados con tecnologías de circumvención. Sin embargo, según reportes públicos de investigadores de seguridad, estos bloqueos no son consistentemente efectivos contra todos los protocolos de VPN y métodos de obfuscación. Access Now y KeepItOn han documentado la restricción de acceso a internet en Cuba en contextos políticos específicos, particularmente durante períodos de movilización social, pero estos reportes se enfocan más en throttling generalizado y desconexiones de redes móviles que en el bloqueo selectivo de VPN. Respecto a las tecnologías de circumvención, el panorama técnico es complejo. OpenVPN y WireGuard presentan diferentes características que afectan su viabilidad en entornos con DPI agresivo. OpenVPN en modo TCP puede ser más susceptible a inspección de patrones de tráfico, mientras que su modo UDP puede ser detectado mediante análisis de comportamiento de red. WireGuard, con su huella de paquete más pequeña y su protocolo más conciso, presenta desafíos diferentes para la detección, pero no es inmune a métodos de bloqueo estadísticos. Los transportes pluggables como obfs4 y los más recientes WebTunnel (parte del proyecto Tor) están diseñados específicamente para evadir DPI mediante la obfuscación del tráfico cifrado como si fuera HTTPS ordinario o tráfico web legítimo. Estos mecanismos requieren que el usuario tenga acceso a un puente (bridge) confiable que no esté bloqueado, lo cual presenta desafíos logísticos en entornos con restricciones severas. Protocolos emergentes como MASQUE (Multiplexed Application Substrate over QUIC Encryption) ofrecen tunelización sobre HTTP/3, permitiendo que el tráfico de circumvención sea indistinguible del tráfico web legítimo a nivel de inspección superficial. Sin embargo, estas tecnologías requieren infraestructura específica y no están ampliamente disponibles. La realidad práctica en Cuba es que mientras el marco legal existe y los mecanismos técnicos de bloqueo están desplegados, la aplicación no es monolítica. La variabilidad en la efectividad del bloqueo según la geografía, el proveedor y el protocolo específico sugiere que el enforcement sigue siendo parcial más que total. Esto no implica tolerancia: refleja la naturaleza técnicamente compleja y costosa de mantener un bloqueo universal efectivo contra todas las formas de tráfico cifrado.