iCloud Private Relay: information for Cloudflare customers

Relay privado de iCloud es un nuevo servicio de privacidad en Internet de Apple que permite a los usuarios con iOS 15, iPadOS 15 o macOS Monterey en sus dispositivos y una suscripción a iCloud+, conectarse a Internet y navegar con Safari de forma más segura y privada. Para Cloudflare es un privilegio colaborar con Apple gestionando varias áreas de la infraestructura de Relay privado.

En este articulo, explicaremos cómo los operadores de sitios web pueden garantizar la mejor experiencia posible para los usuarios finales utilizando Relay privado de iCloud. Para más información, Apple cuenta con material adicional en su página web, incluyendo “Configurar la función Relay privado de iCloud en todos sus dispositivos”, y la página en inglés “Prepare Your Network or Web Server for iCloud Private Relay” que abarca en detalle situaciones relevantes para operadores de red.

Cómo funciona la navegación con Relay privado de iCloud

El diseño del sistema Relay privado de iCloud garantiza que ningún componente que maneje los datos del usuario posea la información completa sobre quién es el usuario y a qué está intentando acceder.

Para ello, Relay privado utiliza modernos mecanismos de cifrado y transporte para retransmitir el tráfico de los dispositivos de los usuarios a través de la infraestructura de Apple y de sus socios antes de enviar el tráfico al sitio web de destino.

Este es un diagrama que muestra qué metadatos de conexión están disponibles cuando no se utiliza Relay privado para navegar por Internet:

Veamos qué ocurre cuando añadimos Relay privado al proceso:

Al añadir dos "servidores" (etiquetados “Proxy de entrada” y “Proxy de salida” en la imagen), los metadatos de la conexión se dividen:

  • La dirección IP original del usuario es visible para la red de acceso (por ejemplo, la cafetería en la que está sentado o su ISP doméstico) y el primer servidor (operado por Apple), pero el nombre del servidor o sitio web está cifrados y no es visible para ninguno de ellos.

    El primer servidor entrega los datos cifrados a un segundo servidor (por ejemplo, Cloudflare), pero no puede ver "dentro" del tráfico a Cloudflare.
  • Los servidores operados por Cloudflare solo saben que están recibiendo tráfico de un usuario de Relay privado, pero no específicamente quién o su dirección IP de cliente. Los servidores de Cloudflare reenvían entonces el tráfico al servidor de destino.

Dividir las conexiones de este modo impide que los sitios web vean las direcciones IP de los usuarios y minimiza la información que las entidades "en ruta" pueden recopilar sobre el comportamiento de los usuarios.

Hay mucha más información sobre el funcionamiento del sistema de retransmisión privada disponible en Apple, incluyendo el documento técnico “iCloud Private Relay Overview” (pdf en inglés).

El papel de Cloudflare como un "segundo servidor"

Como se ha mencionado anteriormente, Cloudflare funciona como un segundo servidor en el sistema Relay privado de iCloud. Cloudflare está bien preparado para la tarea: operamos una de las mayores y más rápidas redes del mundo. Nuestra infraestructura garantiza que el tráfico llegue a todas las redes del mundo de forma rápida y fiable, independientemente del lugar del mundo desde el que se conecte el usuario.

También somos expertos en construir y trabajar con protocolos modernos de encriptación y transporte, incluyendo TLS 1.3 y QUIC. QUIC y el estrechamente relacionado MASQUE son las tecnologías que permiten a Relay privado desplazar eficazmente los datos entre múltiples saltos de retransmisión sin incurrir en penalizaciones de rendimiento..

Los mismos cimientos que impulsan los productos de Cloudflare se utilizaron para crear la compatibilidad con Relay privado: nuestra red, 1.1.1.1, Cloudflare Workers y software como Quiche, nuestra biblioteca de manejo de protocolos de código abierto QUIC (y ahora MASQUE) que ahora incluye soporte para proxies.

Soy un operador de un sitio web. ¿Qué debo hacer para manejar adecuadamente el tráfico de Relay privado de iCloud?

Hemos hecho todo lo posible para garantizar que el uso del servicio de retransmisión privada de iCloud no tenga ningún impacto significativo en tus sitios web, API y otros contenidos que sirvas en la web.

Como garantizar una geolocalización precisa

Las direcciones IP suelen utilizarse por los operadores de sitios web para "geolocalizar" a los usuarios, utilzando dicha ubicación para mostrar contenidos específicos de determinadas ubicaciones (por ejemplo, resultados de búsqueda) o para personalizar de otro modo la experiencia del usuario. Relay privado está diseñado para preservar la precisión del mapeo de la dirección IP a la geolocalización, incluso evitando el rastreo y la toma de huellas digitales.

Preservar la capacidad de derivar la ubicación aproximada del usuario garantiza que los usuarios con el servicio Relay privado activado puedan:

  1. Ver la búsqueda de lugares y otros contenidos relevantes a nivel local al interactuar con contenidos específicos de la geografía sin tener que habilitar compartir la ubicación.
  2. Consumir contenidos sujetos a restricciones de licencia que limitan las regiones que tienen acceso a los mismos (por ejemplo, transmisiones deportivas en vivo y contenidos similares con derechos restringidos).

Una de las principales "pruebas de aceptación" al pensar en la geolocalización de los usuarios es la "prueba de la pizzeria local": con los servicios de localización desactivados, ¿son los resultados devueltos para el término de búsqueda "pizza cerca de mí" geográficamente relevantes? Gracias a los sistemas de preservación de la geografía y de gestión de las direcciones IP que manejamos, ¡ciertamente lo son!

A grandes rasgos, funciona de la siguiente manera:

  • Los servidores de Apple geolocalizan las direcciones IP de los usuarios y las traducen a un “geohash”. Los "geohashes" son representaciones compactas de latitud y longitud. El sistema incluye protecciones para garantizar que los clientes no puedan falsificar los "geohashes", y funciona con una precisión reducida para garantizar el respeto de la privacidad del usuario. Los servidores de Apple no envían las direcciones IP de los usuarios.
  • Los servidores de Cloudflare mantienen un grupo de direcciones IP para uso exclusivo de Private Relay. Estas direcciones IP han sido registradas con proveedores de bases de datos de geolocalización para que correspondan a ciudades específicas de todo el mundo. Cuando un usuario de Private Relay se conecta y presenta el "geohash" previamente determinado, se selecciona la dirección IP que más se aproxime.
  • Los servidores verán una dirección IP que corresponde a la ubicación de la dirección IP del usuario original, sin obtener información que pueda ser utilizada para identificar al usuario específico.

En la mayoría de regiones del mundo, Relay privado es compatible por defecto con la geolocalización en la ciudad más cercana. Si los usuarios prefieren ser localizados con una granularidad más gruesa, la opción de localización basada en el país y la franja horaria está disponible en la configuración del servicio de retransmisión privada.

Si tu sitio web depende de la geolocalización de las direcciones IP de los clientes para impulsar o modificar las experiencias de los usuarios, asegúrate de que tener actualizada tu base de datos de geolocalización. Apple y Cloudflare trabajan directamente con cada uno de los principales proveedores de IP a geolocalización para asegurarse de que tienen un mapeo preciso de las direcciones IP de salida de la retransmisión privada (que se presentan a su servidor como la dirección IP del cliente) a la geografía. Estos mapeos pueden cambiar de vez en cuando. Utilizar la versión más actualizada de la base de datos de tu proveedor garantizará los resultados de geolocalización más precisos para todos los usuarios, incluyendo los que utilizan Relay privado.

Además de asegurarte de que tus bases de datos de geolocalización estén actualizadas, para obtener una precisión y exactitud de localización aún mayor asegurándose de que tu origen es accesible a través de IPv6. Los nodos de salida de Relay privado prefieren IPv6 siempre que haya registros DNS AAAA disponibles, y utilizan direcciones IP de salida IPv6 que se geolocalizan con mayor precisión que sus equivalentes IPv4. Esto significa que puede geolocalizar a los usuarios en ubicaciones más específicas (sin comprometer la privacidad de los usuarios) y, como resultado, ofrecer contenidos más relevantes a dichos usuarios.

Si usted es un operador de sitios web que utiliza Cloudflare para proteger y acelerar su sitio, no es necesario que haga nada. Nuestros feeds de geolocalización utilizados para enriquecer las solicitudes de los clientes con metadatos de ubicación se mantienen actualizados e incluyen la información necesaria para geolocalizar a los usuarios que utilizan Relay privado de iCloud .

Una experiencia de usuario de alto rendimiento

Una de las cosas más contradictorias sobre el rendimiento en Internet es que la adición de "saltos" intermedios de red entre un usuario y un servidor a menudo puede acelerar el rendimiento general de la red, en lugar de reducirlo, si dichos saltos intermedios están bien conectados y configurados para ser rápidos.

Las redes que alimentan la iCloud están excepcionalmente bien conectadas con otras redes de todo el mundo, y dedicamos un esfuerzo considerable exprimiendo todos los días hasta el último gramo de rendimiento de nuestros sistemas. Incluso tenemos sistemas automatizados, como Argo Smart Routing, que toman los datos sobre el rendimiento de Internet y encuentran las mejores rutas a lo largo del mismo para garantizar un rendimiento constante, incluso en caso de congestión de Internet y otras "inclemencias".

El uso de Relay privado para alcanzar los sitios web en lugar de ir directamente al servidor de origen puede dar lugar a disminuciones significativas y medibles en el tiempo de carga de la página para los clientes que utilizan Relay privado frente a los que no lo utilizan. Esto es algo genial: el aumento de la privacidad no se produce a costa de reducir la carga de la página y de generar rendimiento al utilizar Relay privado.

Limitar la dependencia de las direcciones IP en los sistemas de gestión de fraudes y bots

Para garantizar que los usuarios de Relay privado de iCloud disfruten de una buena experiencia al interactuar con su sitio web, hay que asegurarse de que cualquier sistema que se base en la dirección IP como señal o forma de indexar a los usuarios se adapte adecuadamente a muchos usuarios procedentes de una o varias direcciones.

La concentración de usuarios de Relay privado detrás de una dirección IP determinada es similar a las pasarelas web empresariales habitualmente implementadas o a los sistemas de traducción de direcciones de red de grado de operador (CG-NAT).

Como se explica en la documentación técnica de Apple, "Relay privado está diseñado para garantizar que solamente los dispositivos válidos de Apple y las cuentas en regla puedan utilizar el servicio. Los sitios web que utilicen direcciones IP para aplicar medidas de prevención de fraude y antiabuso pueden confiar en que las conexiones a través del servicio de retransmisión privada han sido validadas por Apple a nivel de cuenta y de dispositivo". Debido a estas fases avanzadas de autorización de dispositivos y usuarios, le convendría tener en cuenta la posibilidad de permitir explícitamente las direcciones IP del servicio de retransmisión privada. Si desea hacerlo, las direcciones IP de salida de Relay privado están disponibles aquí en formato CSV.

Si usted, como operador de servidores, está interesado en gestionar el tráfico de los usuarios que utilizan sistemas como Relay privado de iCloud o infraestructuras NAT similares, debería considerar la posibilidad de construir reglas utilizando identificadores a nivel de usuario, como las cookies, y otros metadatos presentes, incluida la geografía.

Para los clientes de Cloudflare, nuestras capacidades de limitación de velocidad y gestión de bots son muy adecuadas para gestionar el tráfico de sistemas como Relay privado. Cloudflare detecta automáticamente cuándo es probable que las direcciones IP sean utilizadas por varios usuarios, ajustando nuestro aprendizaje automático y otras heurísticas de seguridad en consecuencia. Además, nuestro WAF incluye funcionalidad específicamente diseñado para gestionar el tráfico procedente de direcciones IP compartidas.

Flujos de tráfico

Como se ha comentado anteriormente, las direcciones IP utilizadas por Relay privado de iCloud son específicas del servicio. Sin embargo, es posible que los operadores de redes y servidores (incluyendo los clientes de Cloudflare) que estudian su tráfico y sus registros observen cantidades elevadas de tráfico de usuarios procedentes de la red de Cloudflare, AS13335. Estos flujos de tráfico que se originan en AS13335 incluyen el tráfico proxy de Relay privado de iCloud, nuestros productos de puerta de enlace web para empresas y otros productos incluyendo WARP, nuestra VPN para consumidores.

En el caso de los clientes de Cloudflare, el tráfico que atraviesa nuestra red para llegar a su propiedad proxy de Cloudflare se incluye en todas las métricas de uso y facturación, tal como lo haría el tráfico de cualquier usuario de Internet.

Opero una red corporativa o escolar y me gustaría saber más sobre Relay privado de iCloud

Es posible que los directores de informática y los administradores de redes tengan preguntas sobre cómo interactúa Relay privado de iCloud con sus redes corporativas, y cómo podrían utilizar tecnologías similares para hacer sus redes más seguras. El documento de Apple “Prepare su red o servidor web para Relay privado de iCloud ” abarca escenarios de operadores de red con todo detalle.

La mayoría de las redes empresariales no necesitar hacer nada para dar soporte al tráfico de Private Relay. Si la naturaleza cifrada completa del sistema crea problemas de conformidad, las redes locales pueden bloquear el uso de Relay privado para los dispositivos conectados a las mismas.

Los clientes corporativos de los servicios de Cloudflare One pueden establecer los bloqueos de resolución de nombres necesarios para deshabilitar la retransmisión privada a través de su panel de control de filtrado de DNS. Cloudflare One, la suite de seguridad de redes corporativas de Cloudflare, incluye Gateway, construida sobre la misma red y base de código que impulsa Relay privado de iCloud .

Relay privado de iCloud permite que navegar por Internet resulte más privado y seguro.

Relay privado de iCloud es un fascinante paso adelante para preservar la privacidad de los usuarios en Internet, sin forzar tener que comprometer el rendimiento.

Si eres subscriptor de iCloud+ puedes habilitar Relay Privado en entornos iCloud en su iPhone, iPad, o Mac en iOS15, iPadOS15, o macOS Monterey.