Cómo evadir el Gran Cortafuegos de China en 2026
El Gran Cortafuegos de China es el sistema de censura de internet más antiguo y estudiado del mundo. Para 2026 también es el más técnicamente sofisticado. La escalada del GFW de abril de 2026 — cuando las autoridades físicamente desconectaron miles de servidores de relay y agregaron análisis de entropía a la capa de detección — fue el último recordatorio de que los protocolos que funcionaron el año pasado no siempre funcionan este año.
Esto es lo que el GFW hace en 2026, qué protocolos lo sobreviven, y qué hacer si viajas o vives en China continental y necesitas acceso al internet abierto.
Una nota antes de empezar: esta es una guía técnica para evasión. No vamos a decirte que el uso de VPN es libre de riesgo en China. Las VPN extranjeras son técnicamente ilegales bajo la ley de ciberseguridad de 2017. El procesamiento individual es raro y casi siempre ligado a la actividad subyacente (publicar contenido crítico, organizar protestas). El uso rutinario de VPN — revisar noticias extranjeras, acceder a Google o Gmail, usar WhatsApp — está extendido y tolerado para extranjeros y la mayoría de los ciudadanos chinos. La tolerancia cambia; el comportamiento y el contexto importan. No recomendamos ignorar el panorama legal, y no recomendamos pretender que no existe.
Qué hace realmente el Gran Cortafuegos
El GFW no es un solo sistema. Es un conjunto coordinado de técnicas operadas en las puertas de enlace internacionales de China y en puntos de filtrado a nivel provincial. Seis capas de capacidad trabajan juntas:
1. Envenenamiento de DNS. Las consultas para dominios bloqueados retornan direcciones IP equivocadas o se enrutan a null. Esta es la técnica más barata y más desplegada. La mayoría de las VPN la evaden trivialmente porque el cliente VPN usa sus propios resolvers, no los del ISP local.
2. Blackholing de IP. Los rangos IP conocidos de servicios bloqueados (Google, Facebook, Twitter, OpenAI, GitHub) son enrutados a null en la puerta de enlace. Las conexiones directas a esas IP no se establecen. Una VPN sale a una IP no bloqueada, lo cual evita esto.
3. Fingerprinting de protocolo. El GFW mantiene una biblioteca de firmas de protocolo. La iniciación de handshake de 148 bytes de WireGuard. El timing del handshake TLS de OpenVPN. El patrón de flujo de alta entropía de Shadowsocks. La biblioteca de fingerprints se actualiza continuamente. Los nuevos protocolos típicamente se agregan dentro de meses del despliegue público.
4. Análisis de entropía y estadístico. Los flujos que tienen alta entropía desde el paquete uno y ningún handshake TLS precedente se destacan del tráfico HTTPS real. Incluso las variantes AEAD de Shadowsocks ahora son atrapadas por este análisis con 30-60% de precisión según pruebas comunitarias.
5. Sondeo activo. Cuando el GFW ve una conexión sospechosa, despacha su propio sondeo al mismo destino, a menudo dentro de minutos. Los servidores que responden diferente a servicios legítimos se agregan a la lista de bloqueo. Así es como los despliegues de Trojan eventualmente son atrapados — sus certificados no coinciden con lo que Certificate Transparency dice sobre el dominio reclamado.
6. Clasificación de tráfico por aprendizaje automático. La capa más nueva, desplegada a escala desde 2023. Modelos ML entrenados en tráfico etiquetado VPN-vs-legítimo identifican patrones conductuales sutiles — timing de paquetes, duraciones de flujo, secuencias de bytes durante el primer segundo de una conexión. La clasificación es probabilística, no certera, pero produce suficiente señal para señalar conexiones sospechosas para sondeo activo.
El efecto combinado: una conexión que habría funcionado en 2018 (Shadowsocks básico), 2020 (Shadowsocks AEAD) o 2022 (Trojan con un certificado real) es cada vez más probable que falle en 2026. Los protocolos que sobreviven al GFW hoy son los que realizan un handshake TLS 1.3 real a un sitio público real, con un certificado real de tercero, y patrones conductuales que coinciden con navegación real.
Evaluación protocolo por protocolo para 2026
WireGuard
Muerto. El paquete de iniciación de handshake de 148 bytes es demasiado rígido. El GFW lo detecta en el primer paquete con precisión cercana al 100%. El establecimiento de conexión falla dentro de 1-3 segundos. NordLynx y las configuraciones estándar de Mullvad son detectadas de la misma manera. Los puertos personalizados de WireGuard no ayudan; el fingerprint está en el contenido del handshake, no en el puerto.
OpenVPN (TCP y UDP)
Muerto. El timing del handshake TLS y el framing del canal de control son reconocibles. Los envoltorios OpenVPN-XOR y obfs4 son detectados. Lightway de ExpressVPN ha tenido ventanas breves donde builds recién actualizados se filtraron, pero esas ventanas son días a semanas antes de que el GFW agregue el nuevo fingerprint.
IKEv2 / IPsec / L2TP
Muerto. La estructura de paquete ESP o los patrones de handshake IKEv2 son reconocibles.
Shadowsocks básico (cifrado de flujo)
Mayormente muerto. Shadowsocks viejo (chacha20, aes-256-cfb) es identificado por análisis de entropía y patrones de conexión. La tasa de detección es alta.
Shadowsocks AEAD
Funciona parcialmente. Las variantes AEAD más nuevas (chacha20-ietf-poly1305) sobrevivieron 2018-2022. Para 2024-2026, la clasificación de tráfico ML del GFW las señala con 30-60% de precisión según mediciones de gfw.report. Shadowsocks auto-alojado con plugin simple-obfs-tls y un dominio que se ve real aún funciona en algunas redes; la mayoría de los despliegues comerciales de Shadowsocks no.
V2Ray VMess
Mayormente muerto. El patrón de despliegue "WebSocket + TLS + Web" (correr VMess dentro de HTTP/2 sobre TLS a un dominio que se ve real) aún funciona para auto-alojadores que mantienen un sitio web frontal real. La mayoría de los despliegues comerciales son detectados.
Trojan-GFW
Inconsistente. El handshake es TLS real, lo que evade el análisis de entropía. El certificado es lo que delata — es el tuyo (Let's Encrypt o auto-emitido), no de un sitio público real. El sondeo activo con comparación de Certificate Transparency atrapa despliegues de Trojan donde el cert no coincide con lo que CT dice sobre el dominio reclamado. Las configuraciones auto-alojadas sofisticadas con certs rotantes y dominios frontales de alto tráfico aún funcionan; la mayoría de los despliegues comerciales no.
VLESS Reality con Vision flow
Funciona. Esta es la clase de protocolo en la que las comunidades auto-alojadas iraní y china convergieron, y la que más consistentemente sobrevive al GFW en 2026. Reality realiza un handshake TLS 1.3 real a un sitio público real (microsoft.com, cloudflare.com, apple.com) y reenvía el certificado real de ese sitio. No hay handshake falso para identificar, no hay certificado auto-emitido para comparar contra CT. El sondeo activo retorna una respuesta real de Microsoft porque el servidor transparentemente proxy-pasa los sondeos no autenticados al sitio real.
El Vision flow (xtls-rprx-vision) elimina la señal de detección TLS-en-TLS que el análisis de tráfico de otra manera produciría. Combinado, Reality+Vision es estadísticamente indistinguible de una sesión real de navegador al host de camuflaje.
El vector de ataque restante es la reputación de IP. El GFW mantiene listas de rangos VPS conocidos y los bloquea periódicamente. Las conexiones Reality desde espacio IP "limpio" (IP que se ven residenciales, IP de negocios que también sirven un servicio público estable) funcionan consistentemente; las conexiones desde piscinas IP comerciales VPN bien conocidas ven bloqueos periódicos. Por eso Fexyn mantiene una piscina IP rotante en lugar de una lista estática de IP de servidor anunciadas.
NaiveProxy
Funciona. Usa el stack de redes real de Chrome para hacer conexiones HTTP/2 a un backend real (servidor web Caddy). El tráfico es byte-idéntico al tráfico de Chrome porque literalmente es el código de red de Chrome. El problema de detección se vuelve "distinguir usuarios de NaiveProxy de usuarios reales de Chrome a la capa conductual", que el GFW no ha desplegado a escala.
El bloqueador de NaiveProxy es operacional: requiere correr Caddy como el servidor proxy, lo cual es más complejo de lo que la mayoría de los despliegues comerciales VPN están dispuestos a soportar. Como opción de auto-alojamiento, es excelente.
Hysteria 2
A veces funciona. Basado en QUIC, baja sobrecarga, buen rendimiento en redes con pérdida. El GFW ha estado agregando capacidad de fingerprinting QUIC desde 2024; el fingerprint QUIC específico de Hysteria es cada vez más distinguible del fingerprint QUIC de Chrome. Tasa de detección alrededor de 40% a mayo de 2026 en nuestras pruebas.
TUIC v5
Funciona en algunas redes. Misma familia que Hysteria; menos ampliamente desplegado. Misma vulnerabilidad de fingerprint QUIC emergiendo.
El resumen: en China continental en 2026, Reality+Vision y NaiveProxy son los dos protocolos que funcionan confiablemente. Todo lo demás tiene brechas. Fexyn entrega Reality+Vision (Fexyn Stealth). Para usuarios que necesitan un respaldo, tener una configuración auto-alojada de NaiveProxy como opción paralela es una elección razonable para usuarios técnicos.
Qué significa esto en la práctica
Si ya estás en China y una VPN que solías usar ha dejado de funcionar, esto es lo que está pasando. Tu proveedor está entregando un protocolo que el GFW ahora detecta. La solución es un protocolo distinto, no un servidor distinto. Cambiar de "ExpressVPN US" a "ExpressVPN Japan" no ayuda si Lightway en sí está bloqueado.
Si estás por viajar a China y necesitas una VPN que funcione, necesitas un proveedor que entregue Reality+Vision. El conjunto:
Fexyn (nosotros). Protocolo Stealth = VLESS Reality con Vision. Precios por nivel (China es Tier 3 a 4.49 USD/mes). Facturación en cripto o tarjeta. Servidores en Frankfurt, Helsinki, Chipre, Ashburn — Chipre es el más cercano desde China pero enrutar por él desde el este de Asia es subóptimo; Ashburn o Frankfurt usualmente se desempeñan mejor a pesar de mayor latencia.
Astrill. Especialista en China de larga data. Entrega protocolos V2Ray/XRay incluyendo Reality. Más caro (alrededor de 15-30 USD/mes según el plan); la reputación de larga tenencia en la comunidad de viajeros a China es real.
XRay-Reality o NaiveProxy auto-alojados. La opción técnicamente mejor. Corre tu propio servidor fuera de China en un VPS que no haya sido agregado a la lista de bloqueo IP del GFW. Usa las herramientas XTLS-Iran-Reality o klzgrad/naiveproxy. El costo es complejidad operacional; la ventaja es que ningún proveedor comercial puede ser bloqueado por nombre porque no hay proveedor.
Lo que no funciona en China en 2026:
NordVPN, Surfshark, ProtonVPN, Mullvad. Ninguno entrega Reality. NordLynx, Camouflage Mode, Stealth, WireGuard de Mullvad — todos detectables por el GFW.
ExpressVPN. Lightway tiene ventanas funcionales periódicas. No suficientemente confiable para recomendar como opción primaria para usuarios que necesitan acceso consistente.
VPN gratuitas. Casi universalmente no funcionan en China y pueden conllevar riesgos adicionales (recolección de datos, malware). Las excepciones son sin fines de lucro anti-censura como Lantern y Psiphon, que funcionan intermitentemente pero no son VPN comerciales.
Configuración práctica antes de llegar a China
El patrón que funciona:
1. Instala antes de volar. Este es el paso más importante. La mayoría de los sitios web de proveedores de VPN están bloqueados en la puerta de enlace de China; no puedes confiablemente descargar un cliente VPN desde dentro de China continental. Regístrate en fexyn.com/pricing e instala el cliente Windows o Android en casa antes de viajar. La prueba gratis de 7 días no requiere tarjeta. (Los clientes macOS, iOS y Linux están por venir.)
2. Fija Stealth como protocolo predeterminado. En la configuración de la app Fexyn, pon el predeterminado a Stealth. Bolt (WireGuard) no funcionará en China; no pierdas tiempo con él. Stealth (VLESS Reality con Vision) es lo que hace handshake a través del GFW.
3. Prueba la conexión desde fuera de China antes de viajar. Conecta al servidor que planeas usar. Confirma que la VPN funciona. Esta es tu base.
4. Trae múltiples dispositivos. Si el cliente VPN de tu computadora se está comportando mal en tu hotel y no puedes arreglarlo en el momento, tener Fexyn instalado en tu teléfono como respaldo importa. Compartir red por hotspot del teléfono es la opción de emergencia si el Wi-Fi del hotel tiene reglas DPI distintas al enrutamiento de datos móviles.
5. Ten un respaldo. En serio. China es el único país donde recomendamos dos proveedores VPN independientes. El protocolo mejor desplegado no funciona el 100% del tiempo; un segundo proveedor corriendo un stack distinto vale la redundancia. Astrill es la "segunda VPN" estándar que la mayoría de los viajeros a China con los que hemos hablado usan junto con Fexyn o junto con su primera elección.
6. Sabe qué servidores intentar. Chipre funciona en algunas rutas chinas; Frankfurt funciona en otras; Ashburn ocasionalmente supera a ambos porque la ruta trans-Pacífica tiene patrones de congestión distintos a la trans-Eurasiana. Si un servidor está lento, cambia a otro. La latencia desde China a Chipre es típicamente 200-300 ms, a Frankfurt 250-350 ms, a Ashburn 250-400 ms — ninguna de estas es excelente, pero todas son usables para navegación y la mayoría de las llamadas.
Qué esperar una vez que estés en China
Velocidad. Reality corre sobre TCP; el enrutamiento transcontinental agrega latencia; el GFW ocasionalmente estrangula incluso conexiones exitosas. Expectativa realista: 5-15 Mbps en una conexión típica de hotel chino o residencial. La navegación funciona. Las llamadas de voz y video funcionan (aunque el video puede degradar a menor calidad). El streaming 4K no funcionará confiablemente. Las descargas grandes serán lentas.
Confiabilidad durante periodos normales. Stealth en un servidor funcional típicamente mantiene conexiones estables por horas. Caídas ocasionales pasan; el cliente Fexyn reconecta automáticamente.
Confiabilidad durante eventos importantes. Alrededor de fechas políticamente significativas (1 de octubre Día Nacional, aniversario de Tiananmen el 4 de junio, sesiones del Congreso Nacional Popular, visitas extranjeras importantes), el GFW intensifica. Las tasas de conexión se degradan. Servidores que funcionaron ayer podrían no funcionar hoy. El patrón dura días a semanas; cambiar la ubicación del servidor ayuda; cambiar de proveedor a veces ayuda; a veces lo aguantas.
Confiabilidad durante la escalada de abril de 2026. La escalada importante más reciente. Las autoridades físicamente desconectaron miles de servidores de relay, agregaron análisis de entropía a la capa de detección y empezaron a señalar más agresivamente. Reality continuó funcionando para la mayoría de los usuarios; algunos despliegues auto-alojados de Shadowsocks dejaron de funcionar y migraron a Reality. Esta es la trayectoria: cada escalada elimina una capa de protocolos más débiles y empuja a todos a lo que sobreviva.
Móvil vs escritorio. Ambos funcionan con Reality. Móvil es a veces más confiable porque los operadores móviles tienen rutas de filtrado ligeramente distintas a los ISP residenciales de línea fija. El Wi-Fi del hotel varía enormemente; algunos hoteles tienen DPI más estricto que el ISP subyacente porque compran filtrado como servicio.
Hong Kong. Hong Kong no está detrás del GFW. Los protocolos VPN estándar funcionan en Hong Kong. Si viajas específicamente a Hong Kong y no cruzas al continente, cualquier VPN razonable funciona.
WeChat y apps chinas. WeChat funciona sin VPN; el GFW no bloquea el tráfico que va a servicios chinos. Si solo necesitas WeChat, no necesitas una VPN. Si necesitas Google, Gmail, Instagram, Facebook, WhatsApp, Twitter, YouTube o la mayoría de los servicios occidentales, necesitas una VPN.
Preguntas frecuentes
¿Es ilegal usar una VPN en China?
Sí, técnicamente, para proveedores no autorizados. La ley de ciberseguridad de 2017 requiere que los proveedores de VPN estén licenciados; las VPN extranjeras no están licenciadas. La aplicación contra usuarios individuales es rara y casi siempre ligada a la actividad subyacente. No recomendamos ignorar el panorama legal; sí recomendamos entender cuál es el riesgo real, que para uso ordinario por extranjeros y la mayoría de los ciudadanos chinos es bajo.
¿Mi tarjeta SIM china afectará el acceso a VPN?
No directamente. El GFW filtra a nivel de puerta de enlace IP, sin importar en qué operadora estés. China Mobile, China Unicom, China Telecom todos enrutan a través de la misma infraestructura de filtrado. Tu tarjeta SIM determina en qué operadora estás; no cambia si un protocolo VPN funciona.
¿Y una tarjeta SIM de Hong Kong?
Las tarjetas SIM de Hong Kong en roaming en China continental aún enrutan a través de la puerta de enlace continental cuando estás en China continental. Algunos planes de roaming de Hong Kong usan IP de salida de Hong Kong (que no están detrás del GFW); esto a veces se llama "roaming China continental con red Hong Kong" y es una forma confiable de evadir el GFW sin VPN, pero cuesta más que un plan chino regular.
¿Necesito una VPN en hoteles de China continental?
Si necesitas acceso a algo bloqueado en China — Gmail, servicios de Google, redes sociales occidentales, la mayoría de las noticias no chinas — sí. La mayoría de las cadenas internacionales de hoteles (Hilton, Marriott, Hyatt) proveen Wi-Fi que aún está sujeto al GFW. Algunas cadenas anuncian Wi-Fi "amigable a VPN" pero el filtrado subyacente es el mismo.
¿Cuál es la diferencia entre Reality y "Reality+Vision"?
Reality es el mecanismo de transporte — handshake TLS real a un sitio público real, servidor reenviando el certificado real. El Vision flow (xtls-rprx-vision) es una capa adicional que elimina la señal de detección TLS-en-TLS. Reality plano sin Vision empezó a fallar en TSPU (Rusia) a finales de 2025; funciona en China por ahora pero está en la misma trayectoria. Fexyn entrega Reality+Vision; la distinción importa.
¿Puedo usar una VPN para acceder a Tor en China?
Sí, pero Tor mismo está bloqueado. El patrón es "VPN → Tor": conecta a una VPN con un protocolo funcional (Reality), luego corre Tor sobre la VPN. El modo bridge de Tor (usando bridges obfs4) es una alternativa pero es cada vez más detectado por el GFW; correr Tor sobre una VPN funcional es más confiable.
¿Y si necesito hacer una llamada?
WhatsApp, Telegram, Signal, FaceTime, Zoom tunelados por VPN todos funcionan sobre Reality. La calidad depende de la latencia de la conexión y el ancho de banda. Voz sobre IP a través de un túnel VPN de 250 ms es usable pero no excelente; las videollamadas degradarán a menor calidad.
¿Hay alguna VPN gratuita que funcione en China?
Lantern y Psiphon funcionan intermitentemente. No son VPN comerciales; son herramientas anti-censura diseñadas para acceso puntual a contenido bloqueado específico. Para acceso sostenido confiable durante un viaje o estadía extendida, una VPN pagada con Reality (Fexyn o Astrill) es la respuesta práctica.
¿Y si mi VPN se bloquea mientras estoy en China?
Cambia la ubicación del servidor primero (Chipre → Frankfurt → Ashburn). Si eso no ayuda, prueba un protocolo distinto si tu proveedor ofrece uno (Fexyn lo hace; Lightway-vs-OpenVPN-vs-IKEv2 de ExpressVPN son todos detectables, así que el cambio de protocolo usualmente no ayuda con Express). Si eso no ayuda, tu VPN de respaldo es la respuesta. Si no tienes respaldo, pregúntale a la comunidad expat local en un canal de comunicación funcional (los foros de residentes en China en Telegram y Reddit son sorprendentemente buenos para actualizaciones de "qué VPN está funcionando hoy").
¿Por qué el acceso por VPN a ChatGPT no funciona incluso con Fexyn?
Dos capas de bloqueo: el GFW bloquea los rangos IP de OpenAI, Y los términos de OpenAI excluyen cuentas chinas. La VPN resuelve la primera; para la segunda, necesitas un número telefónico no chino para registro y un método de pago no chino. La página completa de ChatGPT cubre esto en detalle.
Prueba Fexyn gratis 7 días — Stealth (VLESS Reality con Vision) en cada plan. La guía del protocolo VLESS Reality cubre el detalle técnico. La comparación de protocolos cubre las alternativas. La pieza Irán 2026 es la guía equivalente para el segundo mercado más restrictivo que servimos.
Última revisión 2026-05-09. El GFW evoluciona continuamente; actualizamos esta página cuando pasan cambios materiales, típicamente trimestralmente.