La denuncia a Digi lleva los bloqueos de LaLiga ante la AEPD

Los bloqueos contra emisiones pirata de fútbol han dejado de ser solo una batalla entre LaLiga, operadores y plataformas de internet. El conflicto acaba de entrar en un terreno más delicado: la privacidad de las comunicaciones. La Asociación de Usuarios y Consumidores de Información, ASUI, ha pedido a la Agencia Española de Protección de Datos que investigue a Digi por el supuesto uso de técnicas de interceptación y modificación de tráfico durante los bloqueos aplicados bajo las órdenes promovidas por LaLiga.

La denuncia no equivale a una sanción ni prueba por sí sola una infracción, pero sí obliga a mirar el problema desde otro ángulo. Hasta ahora, buena parte del debate se había centrado en el daño colateral de bloquear direcciones IP compartidas: webs legítimas que dejan de funcionar durante los partidos, tiendas online inaccesibles, servicios alojados en CDN y usuarios que no saben si una página se ha caído o si su operador la ha bloqueado. La novedad es que, en el caso de Digi, la discusión se desplaza hacia cómo se informa al usuario del bloqueo y si esa técnica puede comprometer derechos básicos.

De bloquear una IP a interponerse en una conexión

El origen inmediato está en un informe del Open Observatory of Network Interference, OONI, que analiza los bloqueos de IP vinculados a partidos de LaLiga en España. El estudio sostiene que, entre enero y junio de 2026, el bloqueo de un número reducido de direcciones IP durante ventanas de emisión provocó un impacto muy amplio sobre dominios legítimos alojados en infraestructura compartida. Según OONI, de 9,2 millones de dominios analizados, 554.507 se vieron afectados en algún momento durante retransmisiones de LaLiga. También identificó 7.441 direcciones IP únicas bloqueadas en 36 proveedores de infraestructura y alojamiento.

El dato técnico más sensible aparece en Digi. OONI afirma haber observado ataques TLS Man-in-the-Middle en la red Digi Mobil, con 7.334 IP únicas en 14 sistemas autónomos y 10.759 dominios afectados. En términos sencillos, un escenario Man-in-the-Middle se produce cuando un tercero se coloca entre el usuario y el servidor al que intenta acceder. En conexiones HTTPS, eso suele traducirse en que el navegador detecta un certificado no válido o autofirmado, porque quien responde ya no es el servidor original, sino otro elemento intermedio.

Según la información publicada por BandaAncha, Digi utiliza este sistema para mostrar al cliente un aviso de que el acceso está bloqueado por orden de LaLiga y Telefónica. Esa explicación tiene una lógica de transparencia: el usuario no se queda ante una página que simplemente no carga, sino que recibe una indicación del motivo. Pero el método elegido es el que ahora genera dudas. Para mostrar ese aviso en una conexión cifrada, el operador debe suplantar de algún modo la respuesta esperada por el navegador, y eso puede hacer que una web legítima parezca peligrosa o comprometida.

La alternativa más opaca es el bloqueo tipo blackhole, que directamente descarta el tráfico hacia una IP. El usuario no ve cartel, no sabe qué ocurre y puede pensar que el sitio está caído. Desde el punto de vista del diagnóstico, es peor. Desde el punto de vista de la privacidad, la pregunta es si resulta menos invasiva. Ese es justo el tipo de dilema que la AEPD podría tener que analizar si abre investigación.

El problema de fondo: IP compartidas y daño a terceros

La lucha contra la piratería deportiva tiene respaldo judicial en distintos procedimientos, pero su ejecución técnica está generando un efecto secundario difícil de ignorar. El bloqueo por IP funciona de forma relativamente simple: si una dirección se asocia a una emisión ilegal, el operador impide el acceso. El problema es que en internet una misma IP puede alojar cientos, miles o incluso muchos más dominios legítimos cuando se usa infraestructura compartida de proveedores como Cloudflare, Amazon, Akamai, Microsoft o Meta.

Ahí nace el daño colateral. Una medida diseñada para cortar una retransmisión ilícita puede afectar a webs que no tienen ninguna relación con el fútbol. OONI cita ejemplos de sitios de derechos humanos, organizaciones ambientales, medios, plataformas de mensajería, instituciones públicas y servicios humanitarios. En el caso de empresas pequeñas, una caída durante unas horas puede significar ventas perdidas, formularios inaccesibles o clientes que abandonan por desconfianza.

Este efecto ya había alimentado el enfrentamiento entre LaLiga y Cloudflare. La compañía estadounidense ha defendido que los bloqueos indiscriminados de IP afectan a servicios legítimos y perjudican el interés público. LaLiga, por su parte, sostiene que actúa contra emisiones ilegales que dañan el valor de los derechos audiovisuales y que las medidas están amparadas por resoluciones judiciales.

La denuncia de ASUI no resuelve esa disputa, pero añade una capa nueva. Ya no se pregunta solo si el bloqueo es proporcionado o si afecta a terceros. También se pregunta si, para aplicarlo o para informar al usuario, los operadores pueden estar utilizando técnicas de análisis, interceptación o modificación de tráfico incompatibles con la confidencialidad de las comunicaciones.

Qué pide ASUI y por qué puede afectar a más operadores

ASUI ha solicitado a la AEPD que investigue de oficio si Digi ha utilizado técnicas Man-in-the-Middle que puedan vulnerar la privacidad de los usuarios. También pide extender la investigación al resto de operadores que aplican bloqueos impulsados por LaLiga para comprobar si han usado inspección profunda de paquetes, DPI, u otras tecnologías equivalentes.

La diferencia entre técnicas importa. Leer o inferir información del destino mediante campos visibles de la conexión no es lo mismo que modificar el flujo o presentar certificados que sustituyen al servidor original. Además, con HTTPS moderno, cada intervención en la conexión plantea preguntas sobre integridad, autenticidad, aviso al usuario, proporcionalidad y base legal.

Para los operadores, el caso es incómodo. Si no informan, se les puede acusar de opacidad. Si informan mediante una técnica que altera la conexión cifrada, se exponen a dudas sobre privacidad y secreto de las comunicaciones. Y si bloquean direcciones IP compartidas, pueden causar daño a webs ajenas al objetivo perseguido.

Para LaLiga, el asunto también es relevante. La defensa de los derechos audiovisuales es legítima, pero la ejecución técnica de las medidas antipiratería empieza a tener costes reputacionales, económicos y regulatorios. Cada bloqueo erróneo amplía la presión para revisar el modelo, limitar su alcance o exigir más precisión.

Para los usuarios, la conclusión práctica es más sencilla: cuando una web no carga durante un partido, ya no siempre se trata de una caída del sitio. Puede ser un bloqueo temporal aplicado por el operador. Y si aparece un aviso con certificado no válido, la cuestión deja de ser solo de acceso y entra en el terreno de la confianza en la conexión.

El caso Digi puede terminar archivado, matizado o convertido en expediente. Todavía no hay una resolución pública de la AEPD que fije criterio. Pero la denuncia señala un problema mayor: internet se ha construido sobre infraestructuras compartidas, cifrado extremo a extremo y confianza en certificados. Cuando se introducen bloqueos dinámicos en ese entorno, cada atajo técnico puede romper algo más que una retransmisión pirata.

Preguntas frecuentes

¿Qué se ha denunciado exactamente?
ASUI ha pedido a la AEPD que investigue si Digi utilizó técnicas de interceptación o modificación de tráfico, tipo Man-in-the-Middle, al aplicar bloqueos relacionados con LaLiga.

¿Digi ya ha sido sancionada?
No. Por ahora se habla de una solicitud de investigación. Una denuncia o petición ante la AEPD no implica que exista infracción probada.

¿Por qué se bloquean webs que no tienen relación con el fútbol?
Porque muchas medidas se aplican sobre direcciones IP compartidas. Si en una misma IP conviven servicios ilegales y webs legítimas, el bloqueo puede afectar a todas.

¿Qué es un ataque Man-in-the-Middle?
Es una técnica en la que un tercero se sitúa entre el usuario y el servidor al que intenta acceder. En HTTPS suele generar alertas de certificado porque la conexión ya no llega de forma normal al servidor original.

Fuente: bandaancha.eu

Scroll al inicio