Cómo se bloquean sitios web: métodos técnicos explicados
Last updated: abril 9, 2026
Aprende cómo funcionan los bloqueos de internet: filtrado DNS, bloqueo de IP, inspección SNI, DPI y más. Guía técnica para principiantes.
Imagina que intentas enviar una carta a un amigo en otro país. El censor podría interceptarla de varias formas: puede rechazar cualquier sobre dirigido a esa ciudad, puede abrir cada sobre y leer su contenido, o puede simplemente cerrar la oficina postal completa. Los bloqueos de sitios web funcionan de manera similar, pero en lugar de cartas, los censores interceptan datos digitales. Aunque parece un proceso opaco y misterioso, en realidad usa métodos técnicos predecibles que podemos entender y analizar.
Filtrado de DNS: el directorio telefónico interceptado
DNS es como el directorio telefónico de internet. Cuando escribes google.com en tu navegador, tu dispositivo pregunta al servidor DNS: "¿Cuál es la dirección numérica de google.com?" El servidor responde con una dirección IP, que es un número único que identifica ese servidor en internet (similar a una dirección de casa, pero para máquinas). El filtrado DNS funciona interceptando esa pregunta. En lugar de recibir la dirección correcta, recibes una dirección falsa o ninguna respuesta.
Este método es muy barato de implementar. Un censor simplemente configura un servidor DNS que devuelve información falsa para ciertos sitios. Por eso es el más común en censura ligera a moderada. Sin embargo, es fácil de evadir: si usas un servidor DNS diferente (uno que no esté controlado por el censor), las preguntas reciben respuestas correctas. Muchas personas simplemente cambian su servidor DNS a uno público y el bloqueo desaparece.
Bloqueo de direcciones IP: rechazar la casa, no el nombre
Cada sitio web vive en una computadora (llamada servidor) que tiene una dirección IP única. El bloqueo de IP detiene cualquier tráfico que intente conectarse a esa dirección. Es como si alguien dijera: "Nadie puede entrar a este edificio", sin importar qué quieras hacer adentro.
Este método es más costoso que el filtrado DNS porque requiere inspeccionar cada paquete de datos que fluye a través de la red para ver si va hacia una dirección bloqueada. También causa daño colateral: si miles de sitios comparten el mismo servidor (algo común en hosting compartido), todos ellos se bloquean juntos. Algunos gobiernos han bloqueado servicios de almacenamiento en la nube completos porque un sitio específico estaba hospedado allí. El bloqueo de IP es más difícil de evadir que DNS, pero técnicas como VPN o proxy pueden saltarlo porque redirigen tu tráfico a través de otra dirección IP.
Inspección SNI: leyendo la dirección en el sobre
Cuando te conectas a un sitio HTTPS (la conexión segura que ves cuando hay un candado en tu navegador), tu navegador envía el nombre del sitio sin cifrar en un mensaje llamado ClientHello. Esto es una característica del protocolo TLS, y el campo se llama SNI (Indicación del Nombre del Servidor). Es como si escribieras el nombre del destinatario en el exterior del sobre, pero dejases el contenido de la carta cifrado adentro.
La inspección SNI permite bloquear sitios específicos sin bloquear toda la dirección IP. Un censor puede ver que estás intentando conectarte a bbc.com y rechazar esa conexión, incluso si bbc.com comparte una dirección IP con otros sitios legítimos. Este método es más sofisticado que IP, pero requiere inspección activa del tráfico. Se puede evadir cifrado la SNI (llamado ECH o TLS 1.3 con protección SNI), aunque esto aún no está ampliamente implementado.
Inspección Profunda de Paquetes (DPI): leer la carta completa
La Inspección Profunda de Paquetes (DPI, por sus siglas en inglés) examina el contenido real de los datos que transmites, no solo las direcciones. Analiza patrones en tu tráfico para identificar qué sitio estás visitando incluso si usas un proxy. Es caro y requiere hardware sofisticado, pero detecta técnicas de evasión más avanzadas.
Algunos gobiernos usan DPI para bloquear conexiones a redes privadas virtuales (VPN) enteras identificando las huellas digitales del tráfico de VPN. Sin embargo, DPI tiene límites: con HTTPS, el censor solo ve destino y volumen, no el contenido específico. Además, si el tráfico se cifra adecuadamente, incluso DPI no puede determinar qué páginas específicas estás visitando.
Bloqueos a nivel de BGP y apagones completos
En los casos más extremos, los gobiernos pueden desconectar internet completamente o bloquear regiones enteras usando BGP (Border Gateway Protocol), que es el sistema que dirige el tráfico entre redes diferentes en internet. Esto requiere control directo de la infraestructura de internet y es devastador: no hay evasión posible cuando internet simplemente no funciona.
Algunos gobiernos también reducen intencionalmente la velocidad (throttling) de ciertos servicios, haciendo que sean tan lentos que sean inutilizables sin bloquearlos completamente. Esto es más sutil pero afecta la experiencia del usuario de manera similar.
La defensa depende del método
No existe una solución única contra todos los bloqueos. El filtrado DNS se elude con servidores DNS alternativos. El bloqueo de IP requiere técnicas de redirección. La inspección SNI necesita cifrado de SNI. La DPI sofisticada requiere herramientas más complejas. Los bloqueos a nivel BGP no tienen solución técnica: solo el censor puede levantarlos.
Comprender estos métodos es importante porque cada uno tiene implicaciones diferentes para la privacidad, la seguridad y el acceso a la información. Ninguno es perfecto, y todos tienen costos para quien los implementa: energía, dinero, riesgo de daño colateral. Este conocimiento te permite entender no solo cómo funciona la censura, sino también por qué ciertos métodos se usan en ciertos contextos. Para profundizar, investiga cómo funcionan las redes privadas virtuales, los proxies y el cifrado de extremo a extremo.
Filtrado de DNS: el directorio telefónico interceptado
DNS es como el directorio telefónico de internet. Cuando escribes google.com en tu navegador, tu dispositivo pregunta al servidor DNS: "¿Cuál es la dirección numérica de google.com?" El servidor responde con una dirección IP, que es un número único que identifica ese servidor en internet (similar a una dirección de casa, pero para máquinas). El filtrado DNS funciona interceptando esa pregunta. En lugar de recibir la dirección correcta, recibes una dirección falsa o ninguna respuesta.
Este método es muy barato de implementar. Un censor simplemente configura un servidor DNS que devuelve información falsa para ciertos sitios. Por eso es el más común en censura ligera a moderada. Sin embargo, es fácil de evadir: si usas un servidor DNS diferente (uno que no esté controlado por el censor), las preguntas reciben respuestas correctas. Muchas personas simplemente cambian su servidor DNS a uno público y el bloqueo desaparece.
Bloqueo de direcciones IP: rechazar la casa, no el nombre
Cada sitio web vive en una computadora (llamada servidor) que tiene una dirección IP única. El bloqueo de IP detiene cualquier tráfico que intente conectarse a esa dirección. Es como si alguien dijera: "Nadie puede entrar a este edificio", sin importar qué quieras hacer adentro.
Este método es más costoso que el filtrado DNS porque requiere inspeccionar cada paquete de datos que fluye a través de la red para ver si va hacia una dirección bloqueada. También causa daño colateral: si miles de sitios comparten el mismo servidor (algo común en hosting compartido), todos ellos se bloquean juntos. Algunos gobiernos han bloqueado servicios de almacenamiento en la nube completos porque un sitio específico estaba hospedado allí. El bloqueo de IP es más difícil de evadir que DNS, pero técnicas como VPN o proxy pueden saltarlo porque redirigen tu tráfico a través de otra dirección IP.
Inspección SNI: leyendo la dirección en el sobre
Cuando te conectas a un sitio HTTPS (la conexión segura que ves cuando hay un candado en tu navegador), tu navegador envía el nombre del sitio sin cifrar en un mensaje llamado ClientHello. Esto es una característica del protocolo TLS, y el campo se llama SNI (Indicación del Nombre del Servidor). Es como si escribieras el nombre del destinatario en el exterior del sobre, pero dejases el contenido de la carta cifrado adentro.
La inspección SNI permite bloquear sitios específicos sin bloquear toda la dirección IP. Un censor puede ver que estás intentando conectarte a bbc.com y rechazar esa conexión, incluso si bbc.com comparte una dirección IP con otros sitios legítimos. Este método es más sofisticado que IP, pero requiere inspección activa del tráfico. Se puede evadir cifrado la SNI (llamado ECH o TLS 1.3 con protección SNI), aunque esto aún no está ampliamente implementado.
Inspección Profunda de Paquetes (DPI): leer la carta completa
La Inspección Profunda de Paquetes (DPI, por sus siglas en inglés) examina el contenido real de los datos que transmites, no solo las direcciones. Analiza patrones en tu tráfico para identificar qué sitio estás visitando incluso si usas un proxy. Es caro y requiere hardware sofisticado, pero detecta técnicas de evasión más avanzadas.
Algunos gobiernos usan DPI para bloquear conexiones a redes privadas virtuales (VPN) enteras identificando las huellas digitales del tráfico de VPN. Sin embargo, DPI tiene límites: con HTTPS, el censor solo ve destino y volumen, no el contenido específico. Además, si el tráfico se cifra adecuadamente, incluso DPI no puede determinar qué páginas específicas estás visitando.
Bloqueos a nivel de BGP y apagones completos
En los casos más extremos, los gobiernos pueden desconectar internet completamente o bloquear regiones enteras usando BGP (Border Gateway Protocol), que es el sistema que dirige el tráfico entre redes diferentes en internet. Esto requiere control directo de la infraestructura de internet y es devastador: no hay evasión posible cuando internet simplemente no funciona.
Algunos gobiernos también reducen intencionalmente la velocidad (throttling) de ciertos servicios, haciendo que sean tan lentos que sean inutilizables sin bloquearlos completamente. Esto es más sutil pero afecta la experiencia del usuario de manera similar.
La defensa depende del método
No existe una solución única contra todos los bloqueos. El filtrado DNS se elude con servidores DNS alternativos. El bloqueo de IP requiere técnicas de redirección. La inspección SNI necesita cifrado de SNI. La DPI sofisticada requiere herramientas más complejas. Los bloqueos a nivel BGP no tienen solución técnica: solo el censor puede levantarlos.
Comprender estos métodos es importante porque cada uno tiene implicaciones diferentes para la privacidad, la seguridad y el acceso a la información. Ninguno es perfecto, y todos tienen costos para quien los implementa: energía, dinero, riesgo de daño colateral. Este conocimiento te permite entender no solo cómo funciona la censura, sino también por qué ciertos métodos se usan en ciertos contextos. Para profundizar, investiga cómo funcionan las redes privadas virtuales, los proxies y el cifrado de extremo a extremo.
🛡️
Recommended VPN Services
Top-rated VPNs trusted by millions
N
NordVPN
⭐ ELECCIÓN DEL EDITOR
★★★★★ 9.5/10 · 6,000+ servers · Funciona en China
$3.39/mo
View Deal →
S
Surfshark
BEST VALUE
★★★★★ 9.6/10 · Unlimited devices
$2.49/mo
View Deal →
E
ExpressVPN
PREMIUM
★★★★★ 9.4/10 · 94 countries
$6.67/mo
View Deal →
Disclosure: SaveClip may earn a commission when you sign up through our links. This helps us keep our tools free for everyone.