En los últimos días, miles de empresas españolas se han visto afectadas por una medida adoptada por Movistar, a instancias de LaLiga, para combatir las retransmisiones ilegales de partidos de fútbol. La teleco ha comenzado a bloquear direcciones IP de Cloudflare, un servicio fundamental que proporciona seguridad y optimización a una gran cantidad de webs.

El problema es que esas IPs son compartidas por muchos servicios totalmente legales y legítimos, lo cual provoca que el bloqueo afecte indiscriminadamente a negocios que nada tienen que ver con el streaming ilegal de fútbol.

No solo tiendas online

“No damos crédito. Parece que no fuera España. Es una locura”, dice Nelson Domínguez, CEO de Docastix, una pequeña empresa de desarrollo de aplicaciones móviles. Docastix se vio directamente afectada durante el fin de semana cuando uno de sus clientes, en pleno lanzamiento de producto con una importante campaña publicitaria, descubrió que los usuarios de Movistar no podían acceder a su tienda online.

La empresa estaba invirtiendo en publicidad, pagando por cada click que llevaba a potenciales clientes a su web, pero esos clicks se traducían en páginas de error para los usuarios de Movistar. “El lanzamiento fue un desastre”, explica Domínguez. “No hemos podido contabilizar ese impacto específico todavía, pero ha sido alto. Las campañas se perdieron, los clicks y compras potenciales se perdieron. Y luego nuestro trabajo para poner solución”.

Panel de Cloudflare con los datos de la tienda online de la que habla Docastix. Se aprecia cómo el 8 (día señalado en la gráfica) comienza la caída y no se empieza a remontar hasta el 11. La campaña publicitaria había comenzado el día 7 (el pico de tráfico). Imagen cedida.

La respuesta de Movistar al problema ha sido confusa. Cuando Domínguez contactó con la operadora, le pidieron su DNI y una relación de todas las webs a las que había intentado acceder sin éxito. Luego aseguraron que el problema estaba resuelto. “Volvimos a perder cuatro horas de trabajo”, relata. “A día de hoy, lo que han hecho es implementar bloqueos cada 15 minutos. Eso no es una solución: quizás un cliente puede entrar a comprar, pero cuando va a pagar ya le ha dejado de funcionar”.

Cloudflare remitió un duro comunicado a Xataka en el que acusaba a LaLiga de actuar de forma deliberada, conociendo las consecuencias de su bloqueo:

«Aunque LaLiga entendía perfectamente que bloquear direcciones IP compartidas afectaría los derechos de millones de consumidores a acceder a cientos de miles de sitios web que no infringen la ley, LaLiga siguió adelante con dicho bloqueo. Esto parece reflejar la creencia errónea de que sus intereses comerciales deben prevalecer sobre los derechos de millones de consumidores a acceder a un Internet abierto».

LaLiga, por su parte, respondió a Xataka con otro comunicado en el que atribuía a Cloudflare la responsabilidad de usar a sus clientes legales como “escudo digital”:

«Ante las declaraciones de Cloudflare a Xataka, LaLiga quiere aclarar que la tecnológica estadounidense se lucra con conocimiento de causa de las actividades ilegales relacionadas con la piratería de deportes en directo y otros delitos, como la estafa o fraude, ya que usa a sus clientes legales como escudo digital para proteger a organizaciones criminales y mafias».

«LaLiga ha requerido en repetidas ocasiones a Cloudflare que detuviera esta actividad cómplice con organizaciones criminales, que atentan contra la propiedad intelectual e incurren en múltiples actividades criminales como la violación de la propiedad intelectual, todo tipo de estafas y pornografía, sin respuesta favorable».

«Así, LaLiga no se posiciona en contra del acceso libre a internet, sino que solicita medidas y lleva a cabo acciones controladas contra compañías u organizaciones que se lucran de actos ilegales y delictivos utilizando a empresas legales como escudo digital».

Fuentes de LaLiga añaden que es clave entender el rol de Cloudflare no solo en el proceso de la retransmisión ilegal de partidos, sino también del proceso que siguen para alojar dominios. Explican que son empresas que confían en Cloudflare, y merecen saber, según su versión, que son usadas como escudo digital mientras esta se lucra a sabiendas, alojando y protegiendo actividades ilegales y mafiosas junto a las empresas legales que ahora se ven afectadas. Hablan de complicidad intencional.

Y el impacto va mucho más allá de las tiendas online. Manuel Márquez, técnico de sistemas de Cloudata, relata casos graves que ilustran la amplitud del problema: “Tuve un estudio de arquitectura dos días parado. No son solo webs y tiendas, sino aplicaciones empresariales críticas para el funcionamiento diario de las empresas”. Entre sus 412 clientes empresariales, ha visto afectados desde bufetes de abogados que no podían acceder a Lexnet hasta estudios de fotografía que dependen de servicios en la nube para compartir archivos con sus clientes.

Y él también incide en la solución de los quince minutos: “El estudio de arquitectura ya nos ha dicho que va a denunciar, porque les han dejado dos días parados”, señala. “Vimos que las IPs se iban bloqueando cada quince minutos clavados. No solo lo hacen mal, sino que lo hacen mal y están intentando enmascararlo”.

La situación ha obligado a muchas empresas a tomar medidas drásticas. Docastix, con solo siete empleados, ha tenido que dedicar recursos vitales a mover clientes fuera de Cloudflare. “De esos siete no todos pueden atacar el problema por tema de conocimiento, y de los que sí, igual solo puedo yo en ese momento”, explica Domínguez. “Somos una pequeña empresa bastante reciente, hay clientes que no entienden esto del todo y les suena un poco a excusa. Parece que le echas la culpa a Movistar de un error tuyo”.

El riesgo de desactivar Cloudflare sin un plan previo

El problema técnico de fondo es complejo. Cloudflare actúa como intermediario de seguridad para una gran parte de Internet, protegiendo a las empresas contra ataques informáticos. Como nos explica Jaume Pons, ingeniero de sistemas en una multinacional de automoción, “para una empresa pequeña es inasumible otra cosa. Al final, si expones tu web directamente te la tumban si se lo proponen. Tienes que usar proveedores mastodónticos como Cloudflare, que proveerá esa primera barrera de entrada de ciberseguridad”.

La paradoja es que algunas empresas, desesperadas por mantener sus servicios operativos, están optando por desactivar la protección de Cloudflare, exponiéndose a riesgos de seguridad. “Son acciones que ya no terminan en que alguien no puede acceder a un servicio”, advierte Pons, “sino que las empresas que se han visto obligadas a desactivar protecciones han estado mucho más expuestas a ataques sin un plan adecuado”.

El daño económico se multiplica de formas inesperadas. Las empresas no solo pierden ventas directas cuando los clientes no pueden acceder a sus sitios web, sino que siguen pagando por campañas de marketing digital que no dan resultados. “Si contratas una campaña de marketing y pagas a Google asegurando clicks a tu web, Google te cobrará por el click, el problema es que luego el proveedor impide el acceso… pero Google ya te cobra el click”, explica Pons. “Como no dan datos para explicar lo que hacen y lo hacen de forma torticera, no te enteras hasta que un cliente te avisa”.

La base legal para estos bloqueos proviene de una sentencia judicial de 2022 que autoriza a LaLiga y Movistar a tomar medidas contra la piratería. Sin embargo, como señala Márquez, “la sentencia dice claramente que sin perjudicar a terceros. Esa pequeña frase hace que lo que está haciendo Telefónica sea extralimitarse”.

Y usa un símil: “Imagina una urbanización con una garita de seguridad. Hay 300 casas y una casa vende droga. Pues Telefónica y LaLiga ponen un coche patrulla y ya no entra ningún paquete. Los otros 299 vecinos que piden cualquier paquete a Amazon no pueden recibirlo”.

La situación podría sentar un precedente preocupante. “Hoy es Cloudflare pero mañana será otro y pasado mañana será otro”, advierte Pons. “No puede ser que LaLiga o quien sea pueda decidir que bloquea una IP de esta forma. Se tiene que hacer de otra forma, aunque no vaya tan rápido“. Como resume un abogado citado por Márquez: “Tu derecho a ganar dinero no está por encima de mi derecho a ganar dinero”.

Mientras tanto, las pequeñas empresas españolas se encuentran atrapadas en medio de una batalla entre gigantes. Cloudata, que gestiona servicios para más de 400 empresas, está recomendando a sus clientes que cambien de proveedor de Internet.

“Nosotros solemos recomendar Movistar porque es más cara pero es la más estable”, explica Márquez. “Pero esto es inaceptable. Ya no es que bloquees la web de Cloudflare, sino que al menos en los primeros ‘incidentes’, vimos que nuestros clientes de Telefónica había webs donde no podían entrar”.

Y en esas estamos. LaLiga persigue un objetivo legítimo y comprensible, y Telefónica ejecuta la orden, pero el proceder se traduce en miles de negocios legales que nada tienen que ver con el fútbol pagando los platos rotos.

En Xataka | El Gobierno quiere acabar con las llamadas comerciales indeseadas. La pregunta es si dejarán de llamarnos “de Indeed”

Imagen destacada | Cedida por Docastix, Xataka con Mockuuups Studio