Inspección SNI: cómo los censores ven tu destino incluso con HTTPS
Last updated: abril 9, 2026
Explicación técnica de cómo la censura funciona en el nivel SNI. Por qué HTTPS no oculta el dominio que visitas y cómo Encrypted Client Hello intenta solucionarlo.
Imagina que envías una carta en un sobre cerrado y sellado. El sobre protege el contenido, pero el destinatario está escrito en la parte frontal en letra clara. Cualquiera que vea el sobre sabe exactamente a dónde va, aunque no pueda leer lo que hay adentro. Así funciona HTTPS en internet en este momento: el contenido de tu comunicación está encriptado, pero el nombre del sitio web que visitas sigue siendo visible en una parte del proceso de conexión llamada SNI. Los censores pueden leer ese nombre y bloquear el acceso, incluso aunque no puedan ver ninguno de tus datos personales.
Este artículo explica por qué sucede esto, por qué es difícil de solucionar y qué se está haciendo para remediarlo.
Qué es SNI y por qué existe
SNI significa "Server Name Indication" (Indicación del Nombre del Servidor). Es un pequeño trozo de información que tu navegador envía sin encriptar al comienzo de la conexión HTTPS, antes de que se establezca la encriptación completa.
Para entender por qué esto es necesario, imagina un edificio de apartamentos. Muchas personas viven en el mismo edificio (la misma dirección postal), pero cada una recibe correo en su propio apartamento. En internet, algo similar sucede con las direcciones IP. Una dirección IP es como la dirección del edificio: es el número que identifica una computadora en la red. Muchos sitios web diferentes pueden estar alojados en la misma dirección IP, compartiendo el mismo servidor físico. Cuando tu navegador se conecta a esa dirección IP, el servidor necesita saber cuál de los muchos sitios web alojados en esa dirección quieres visitar. Por eso envías el nombre del dominio (por ejemplo, "ejemplo.com") sin encriptar: el servidor lo necesita para saber cuál certificado de seguridad usar y cuál sitio web servirte.
Esta información va en el campo SNI durante lo que se llama el "TLS handshake" (apretón de manos TLS), que es la negociación inicial donde tu navegador y el servidor acuerdan cómo encriptar la comunicación.
Cómo los censores usan SNI para bloquear sitios
Los gobiernos y proveedores de internet que quieren censurar pueden instalar equipos especiales en la red nacional que inspeccionen ese campo SNI sin encriptar. El proceso es simple: leen el nombre del dominio, lo comparan con una lista de sitios prohibidos, y si coincide, rompen la conexión.
Esto ocurre a nivel de red, antes de que tu dispositivo haya completado la conexión segura. Es como si un censor estuviera parado en la puerta del edificio de correos, leyendo las direcciones en los sobres antes de entregarlos. No puede leer el contenido de la carta, pero puede rechazar el sobre basándose únicamente en a dónde va.
Países como China, Irán, Rusia y Turquía utilizan técnicas de inspección SNI como parte de su infraestructura de censura. También se ha documentado su uso en otros lugares. Esto significa que incluso aunque uses HTTPS, tu proveedor de internet o el gobierno puede saber qué sitios web intentas visitar, simplemente observando ese campo SNI sin encriptar.
Por qué no es fácil de solucionar
La solución evidente sería encriptar el SNI para que nadie excepto el servidor pueda leerlo. Pero esto crea un problema circular: el servidor necesita saber qué dominio solicitaste para saber cuál certificado de seguridad usar. Y para decirle cuál certificado necesitas, debes enviar el nombre del dominio sin encriptar. Es como intentar enviar un sobre con dirección cifrada, pero alguien en el correo necesita leer la dirección para saber dónde enviarlo.
Además, millones de servidores web están configurados de cierta manera. Cambiar esta configuración requiere actualizar toda la infraestructura de internet, lo cual toma años.
Encrypted Client Hello: la solución emergente
La comunidad de internet ha estado trabajando en una solución llamada Encrypted Client Hello (ECH), también conocida anteriormente como Encrypted SNI (ESNI). Esta tecnología encripta no solo el SNI, sino toda la información inicial que envías, usando un método inteligente:
1. El servidor publica una clave pública (información que puede ser pública) que dice: "usa esta clave para encriptar tu solicitud inicial".
2. Tu navegador encripta el nombre del dominio y otra información usando esa clave pública.
3. El servidor, que tiene la clave privada correspondiente, puede desencriptar y leer el nombre del dominio.
Los censores que inspeccionen tu tráfico solo ven datos encriptados aleatorios. Ya no pueden leer el nombre del dominio.
Sin embargo, ECH aún está siendo adoptado. No todos los navegadores lo soportan, no todos los servidores web lo tienen habilitado, y los censores pueden detectar que se está usando ECH y bloquear de todas formas (aunque no puedan ver qué sitio específico intentas visitar).
Qué significa esto para ti
En resumen: HTTPS encripta el contenido de tu comunicación, pero no oculta qué sitio web estás visitando. Los censores pueden ver el dominio a través del SNI sin encriptar. Esto no significa que HTTPS sea inútil—sigue protegiendo tu contenido—pero tampoco es suficiente si tu objetivo es ocultar completamente qué sitios visitas.
Encrypted Client Hello es un paso importante hacia una solución, pero está en desarrollo y aún no es universal. En el futuro, cuando ECH esté ampliamente adoptado, este problema debería mejorar, aunque los censores sofisticados probablemente encontrarán otras formas de limitar el acceso.
Para entender mejor cómo protegerte en un entorno censurado, te recomendamos que explores cómo funcionan los servidores VPN y por qué ocultan tanto el dominio que visitas como el contenido de tu tráfico.
Este artículo explica por qué sucede esto, por qué es difícil de solucionar y qué se está haciendo para remediarlo.
Qué es SNI y por qué existe
SNI significa "Server Name Indication" (Indicación del Nombre del Servidor). Es un pequeño trozo de información que tu navegador envía sin encriptar al comienzo de la conexión HTTPS, antes de que se establezca la encriptación completa.
Para entender por qué esto es necesario, imagina un edificio de apartamentos. Muchas personas viven en el mismo edificio (la misma dirección postal), pero cada una recibe correo en su propio apartamento. En internet, algo similar sucede con las direcciones IP. Una dirección IP es como la dirección del edificio: es el número que identifica una computadora en la red. Muchos sitios web diferentes pueden estar alojados en la misma dirección IP, compartiendo el mismo servidor físico. Cuando tu navegador se conecta a esa dirección IP, el servidor necesita saber cuál de los muchos sitios web alojados en esa dirección quieres visitar. Por eso envías el nombre del dominio (por ejemplo, "ejemplo.com") sin encriptar: el servidor lo necesita para saber cuál certificado de seguridad usar y cuál sitio web servirte.
Esta información va en el campo SNI durante lo que se llama el "TLS handshake" (apretón de manos TLS), que es la negociación inicial donde tu navegador y el servidor acuerdan cómo encriptar la comunicación.
Cómo los censores usan SNI para bloquear sitios
Los gobiernos y proveedores de internet que quieren censurar pueden instalar equipos especiales en la red nacional que inspeccionen ese campo SNI sin encriptar. El proceso es simple: leen el nombre del dominio, lo comparan con una lista de sitios prohibidos, y si coincide, rompen la conexión.
Esto ocurre a nivel de red, antes de que tu dispositivo haya completado la conexión segura. Es como si un censor estuviera parado en la puerta del edificio de correos, leyendo las direcciones en los sobres antes de entregarlos. No puede leer el contenido de la carta, pero puede rechazar el sobre basándose únicamente en a dónde va.
Países como China, Irán, Rusia y Turquía utilizan técnicas de inspección SNI como parte de su infraestructura de censura. También se ha documentado su uso en otros lugares. Esto significa que incluso aunque uses HTTPS, tu proveedor de internet o el gobierno puede saber qué sitios web intentas visitar, simplemente observando ese campo SNI sin encriptar.
Por qué no es fácil de solucionar
La solución evidente sería encriptar el SNI para que nadie excepto el servidor pueda leerlo. Pero esto crea un problema circular: el servidor necesita saber qué dominio solicitaste para saber cuál certificado de seguridad usar. Y para decirle cuál certificado necesitas, debes enviar el nombre del dominio sin encriptar. Es como intentar enviar un sobre con dirección cifrada, pero alguien en el correo necesita leer la dirección para saber dónde enviarlo.
Además, millones de servidores web están configurados de cierta manera. Cambiar esta configuración requiere actualizar toda la infraestructura de internet, lo cual toma años.
Encrypted Client Hello: la solución emergente
La comunidad de internet ha estado trabajando en una solución llamada Encrypted Client Hello (ECH), también conocida anteriormente como Encrypted SNI (ESNI). Esta tecnología encripta no solo el SNI, sino toda la información inicial que envías, usando un método inteligente:
1. El servidor publica una clave pública (información que puede ser pública) que dice: "usa esta clave para encriptar tu solicitud inicial".
2. Tu navegador encripta el nombre del dominio y otra información usando esa clave pública.
3. El servidor, que tiene la clave privada correspondiente, puede desencriptar y leer el nombre del dominio.
Los censores que inspeccionen tu tráfico solo ven datos encriptados aleatorios. Ya no pueden leer el nombre del dominio.
Sin embargo, ECH aún está siendo adoptado. No todos los navegadores lo soportan, no todos los servidores web lo tienen habilitado, y los censores pueden detectar que se está usando ECH y bloquear de todas formas (aunque no puedan ver qué sitio específico intentas visitar).
Qué significa esto para ti
En resumen: HTTPS encripta el contenido de tu comunicación, pero no oculta qué sitio web estás visitando. Los censores pueden ver el dominio a través del SNI sin encriptar. Esto no significa que HTTPS sea inútil—sigue protegiendo tu contenido—pero tampoco es suficiente si tu objetivo es ocultar completamente qué sitios visitas.
Encrypted Client Hello es un paso importante hacia una solución, pero está en desarrollo y aún no es universal. En el futuro, cuando ECH esté ampliamente adoptado, este problema debería mejorar, aunque los censores sofisticados probablemente encontrarán otras formas de limitar el acceso.
Para entender mejor cómo protegerte en un entorno censurado, te recomendamos que explores cómo funcionan los servidores VPN y por qué ocultan tanto el dominio que visitas como el contenido de tu tráfico.
🛡️
Recommended VPN Services
Top-rated VPNs trusted by millions
N
NordVPN
⭐ ELECCIÓN DEL EDITOR
★★★★★ 9.5/10 · 6,000+ servers · Funciona en China
$3.39/mo
View Deal →
S
Surfshark
BEST VALUE
★★★★★ 9.6/10 · Unlimited devices
$2.49/mo
View Deal →
E
ExpressVPN
PREMIUM
★★★★★ 9.4/10 · 94 countries
$6.67/mo
View Deal →
Disclosure: SaveClip may earn a commission when you sign up through our links. This helps us keep our tools free for everyone.