Titikey
InicioTitikeyAdGuard 7.5 ya está aquí: Todo sobre el cifrado ECH para tu privacidad

AdGuard 7.5 ya está aquí: Todo sobre el cifrado ECH para tu privacidad

7/7/2026
Justo cuando muchos pensaban que HTTPS era infalible, AdGuard ha dado un paso más con su actualización de la serie 7.5 (confirmada como versión 7.17 en Windows, con actualizaciones simultáneas de CoreLibs en Android y Mac) que completa el rompecabezas de la privacidad: el soporte experimental de **Encrypted ClientHello (ECH)** ha avanzado considerablemente, y además lleva el filtrado instantáneo de DNS-over-HTTPS a todos los dispositivos. Si te preocupa que tu operador pueda ver qué sitios visitas, esta actualización merece cinco minutos de tu atención.

¿Qué es exactamente ECH y por qué se le llama la última pieza de la privacidad?

Cada vez que abres un sitio HTTPS, tu navegador envía un saludo al servidor: el mensaje ClientHello del protocolo de enlace TLS. El problema es que, aunque el contenido de la página esté cifrado, ese saludo inicial **revela claramente el nombre de dominio** al que te diriges (Server Name Indication, o SNI). Tu operador, el administrador del WiFi del aeropuerto, o incluso un dispositivo espía en el pasillo pueden ver al instante que estás visitando `example.com`. Aunque no sepan lo que haces dentro, el "a dónde vas" no es ningún secreto. ECH viene a resolver esta situación incómoda. Cifra todo el ClientHello, de modo que solo tú y el servidor de destino pueden descifrarlo. Los intermediarios solo ven que te conectas a un nodo CDN compatible con ECH, pero el sitio concreto... que lo adivinen. En otras palabras, ECH permite que HTTPS logre un cifrado completo de extremo a extremo, desde el primer paquete hasta el último.

¿Cómo lo hace AdGuard 7.5? ECH global, sin importar el navegador

Antes, ECH solo podía funcionar a nivel del navegador, por ejemplo activando opciones experimentales en Chrome o Firefox, y dependía de la compatibilidad del sitio. El enfoque de AdGuard es completamente diferente: gestiona el tráfico directamente a nivel del sistema. En el registro de cambios de la versión para Android, los desarrolladores incluso bromean: "El primer paso para admitir ECH fue aprender a 'suprimirlo'". Esto se debe a que AdGuard tiene un interruptor interno `pref.dns.block.ech` que, combinado con `pref.https.redirect.doh`, primero intercepta las solicitudes ECH nativas y luego AdGuard inicia una nueva conexión que sí es compatible con ECH. De esta manera, **cualquier aplicación o navegador en tu teléfono, siempre que el tráfico pase por AdGuard, disfruta de los beneficios de privacidad de ECH**, sin esperar a que los desarrolladores de apps lo adapten. Las versiones de Windows 7.17 y Mac 2.10 también incluyen esta función experimental. Además, para que ECH funcione correctamente, AdGuard ha activado por primera vez el filtrado DNS de forma predeterminada. La razón es simple: los parámetros de cifrado que necesita ECH se obtienen a través de los registros HTTPS del DNS. Si no se usa el módulo de protección DNS propio de AdGuard, no es posible obtener estos parámetros localmente para lograr un cifrado global.

Tres pasos para comprobar si tu ECH está realmente activo

AdGuard ofrece un método de verificación extremadamente sencillo:
  1. En la configuración avanzada, asegúrate de que Block ECH esté desactivado y que la Protección DNS esté habilitada.
  2. Activa la opción experimental Use Encrypted ClientHello (en Windows/Android está en "Configuración avanzada"; en Mac, en la configuración de "Red").
  3. Visita crypto.cloudflare.com/cdn-cgi/trace. Si ves sni=encrypted, o ve a www.cloudflare.com/ssl/encrypted-sni/ y ves SSL_ECH_STATUS: success, significa que ECH está funcionando correctamente.
Si la prueba falla, no te preocupes. Por ahora, ECH requiere que el servidor también lo admita (la mayoría de los sitios de Cloudflare ya lo tienen activado). Además, al ser una función experimental, puede afectar ligeramente la velocidad de navegación; el equipo oficial ya está optimizando el rendimiento.

Más allá de ECH: Filtrado instantáneo de DoH y una gran actualización del motor subyacente

La serie AdGuard 7.5 trae mejoras de privacidad que van mucho más allá de ECH. El motor de filtrado CoreLibs se ha actualizado de la versión v1.12.80 a v1.14.59, incorporando varias mejoras de alto nivel:
  • Filtrado instantáneo de DNS-over-HTTPS (DoH): Antes, el filtrado de solicitudes DoH era más pasivo. Con esta actualización, AdGuard puede interceptar y redirigir en tiempo real las solicitudes DNS seguras a un proxy local, evitando que DoH eluda el filtrado. Esto significa que cualquier aplicación que intente escapar por DNS cifrado será detectada.
  • ECH GREASE y extracción de parámetros: Ahora se extraen las configuraciones ECH de las consultas DNS HTTPS interceptadas y se inyectan valores GREASE en el tráfico, evitando que los intermediarios que no admiten ECH causen problemas, y permitiendo que las conexiones compatibles con ECH se establezcan sin inconvenientes.
InicioTiendaPedidos