¿Qué es la Clasificación de Tráfico Cifrado (ETC)?
ETC es una tecnología que identifica tipos de tráfico (YouTube, VPN, Steam, Teams, etc.) sin descifrado. Se utiliza para:
-
Detección de intentos de eludir el filtrado
-
Priorización de tráfico de vídeo o VoIP
-
Mejorar la eficiencia del DPI
¿Cómo funciona ETC?
Principio de funcionamiento
ETC analiza:
-
Comportamiento de sesión: tamaño de los paquetes, intervalos, dirección
-
Metadatos: huellas digitales TLS, SNI, JA3, identificadores QUIC
-
Modelo ML: clasifica según patrones de comportamiento, no el contenido
Ejemplo: el tráfico de Netflix puede identificarse por los patrones de entrega segmentada y las sesiones largas de keep-alive, incluso con QUIC + TLS 1.3
Etapas de clasificación
-
El motor DPI intercepta y agrega metadatos
-
La inferencia ML analiza el flujo
-
El sistema asigna una etiqueta (por ejemplo,
EncryptedVideooVPN-Tunnel) -
Se aplican políticas de QoS o bloqueo basadas en la etiqueta
Guía: Cómo comprobar ETC en DPI
-
Abre la interfaz DPI
-
Ubica la sección “Aplicaciones Cifradas”
- Busca categorías: TLS Video, QUIC, VPN
-
Compara el tráfico con métricas en tiempo real (por ejemplo, NetFlow, sFlow)
¿En qué se diferencia del filtrado SNI?
| Método | Eficacia | Vulnerabilidad de evasión | Compatibilidad TLS 1.3 / QUIC |
|---|---|---|---|
| Filtrado SNI | Moderada | Alta | Limitada |
| ETC | Alta | Baja | Total |
FAQ
¿Es necesario descifrar TLS?
No. Ese es el propósito de ETC: el tráfico permanece cifrado, pero el comportamiento se identifica igualmente.
¿En qué puertos funciona?
ETC es independiente del puerto — analiza flujos independientemente del destino (TCP/UDP 443, 80, 853 e incluso puertos no estándar).
Conclusión
ETC es una herramienta clave en la era del cifrado total del tráfico. Permite una visibilidad profunda sin descifrado, lo que lo hace indispensable para DPI, CGNAT, BNG y soluciones de borde de proveedor. Es especialmente relevante en regiones donde el uso de VPN es común y cotidiano.
