16. Shapers ( nuevo 2026)

16.1. DPI

La expresión **“DPI parcial”** aparece mucho hoy en redes porque **el cifrado masivo (HTTPS, TLS 1.3, QUIC)** impide que los sistemas puedan hacer *Deep Packet Inspection* completo como antes.

¿Qué es DPI completo?

En su definición clásica, Deep Packet Inspection (DPI) implica:

  • Inspeccionar:
  • Cabeceras de Capa 3 (IP)
  • Cabeceras de Capa 4 (TCP/UDP)
  • Contenido de la carga útil (payload)** → todo el interior del paquete
  • Firmas, patrones, comandos
  • Cadena HTTP, URLs, Host, User-Agent, cookies
  • Voces/texto en ciertos protocolos VoIP
  • Datos en claro como contraseñas, mensajes, peticiones completas

Esto era posible con protocolos viejos o sin cifrar!!

  • HTTP 1.1 sin HTTPS
  • FTP
  • Telnet
  • Protocolos en texto claro

Esto ya no es aplicable porque  hoy la carga o  payload va cifrado!.

  • HTTPS (TLS 1.2 / 1.3)
  • QUIC/HTTP3 (en UDP)
  • DoH / DoT (DNS cifrado)
  • Mensajería cifrada end-to-end (WhatsApp, Signal)

Es por eso que el  DPI ya no puede ver el contenido, ni URLs, ni comandos, ni recursos solicitados.Por eso aparece el concepto DPI parcial.

¿Qué es DPI parcial?

Es la capacidad de un dispositivo de inspección (firewall, packet shaper, UTM, etc.) de **leer únicamente la parte que NO está cifrada** del tráfico, sin romper ni descifrar el TLS.

En otras palabras:

DPI parcial = leer *lo poco que todavía no está cifrado* + patrones estadísticos.

¿Qué puede ver el DPI parcial?

Aunque el contenido esté cifrado, hay metadatos que permanecen en claro y aquí está el punto importante que permite implementar DPI Parcial!!

1) Cabeceras de red (IP, TCP, UDP)

  • IP origen/destino
  • Puerto origen/destino
  • Flags TCP
  • Tamaño del paquete

2) Primeros paquetes del Handshake TLS

Aún visibles:

  • SNI (Server Name Indication)**
  • Versión de TLS**
  • Lista de cipher suites**
  • Certificado del servidor (CN, Issuer)**
  • Extensiones no cifradas (ClientHello)

Con el SNI se puede saber el dominio sin ver la URL completa.

Ej.: `googlevideo.com` ⇒ YouTube.

3)Patrones (fingerprints) del tráfico

Incluso cifrado:

Tamaño promedio de paquetes

Frecuencia

  • Dirección (download vs upload)
  • Ráfagas (bursty vs constante)
  • Latencia / jitter
  • Conexiones paralelas
  • Duración típica

4) Protocolo QUIC (HTTP/3)

QUIC es un protocolo de transporte moderno creado originalmente por Google y hoy estandarizado por la IETF como HTTP/3.

Aunque QUIC cifra casi todo:

  • El *primer paquete* tiene información útil
  • Los TID (Connection IDs) pueden ayudar a distinguir Apps
  • Se reconoce fácilmente como tráfico Google/YouTube

5)DNS sin cifrar

Si no usan DoH/DoT:

DoH y DoT son protocolos modernos diseñados para cifrar las consultas DNS, aumentando la privacidad y evitando que terceros puedan leer o manipular qué dominios consulta un usuario.

  • Registrar consultas
  • Asociarlas a conexiones posteriores

¿Qué NO puede ver un DPI parcial?

Esto es fundamental:

❌ URLs completas

❌ Parámetros de búsqueda

❌ Contenidos de formularios

❌ Mensajes internos (WhatsApp, Gmail, etc.)

❌ Cookies, sesiones

❌ Cargas de archivos

❌ Videos, imágenes, texto

❌ Comandos HTTP (GET/POST)


¿Por qué se le llama “parcial”?

Porque el dispositivo:

Sí puede 

  1. clasificar
  2. priorizar
  3. limitar
  4. bloquear
Pero NO puede leer ni interpretar el contenido profundo

Es una inspección superficial pero basada en:

  • Metadatos útiles
  • Observación estadística
  • Fields no cifrados
  • Firmas de comportamiento
  • Rangos IP actualizados