Protocolos anti-censura comparados
Si lees contenido VPN en inglés, has escuchado sobre WireGuard y OpenVPN. Si lees foros tecnológicos en chino o ruso, has escuchado sobre una familia distinta de protocolos: Shadowsocks, V2Ray, Trojan, Hysteria, NaiveProxy, TUIC. Esta segunda familia fue construida específicamente para vencer la censura que la familia WireGuard / OpenVPN no puede.
La industria de VPN angloparlante ha mayormente ignorado estos protocolos. Esa brecha se está ampliando a medida que el DPI en mercados con censura pesada mejora. En mayo de 2026 los protocolos que realmente funcionan en Rusia, China, Irán y Pakistán son mayormente de la segunda familia, no la primera.
Aquí está la comparación honesta. Qué es cada protocolo, cómo trata de evadir detección, dónde tiene éxito y dónde falla. Entregamos VLESS Reality y explicaremos por qué lo elegimos sobre las alternativas — pero no vamos a pretender que las alternativas son malas. Varias de ellas son excelentes para situaciones específicas.
El problema de detección que estos protocolos están resolviendo
Un sistema moderno de censura no necesita desencriptar tu tráfico para saber qué protocolo estás corriendo. Necesita reconocer la forma del tráfico en el cable.
Tres señales de detección importan:
Fingerprint de protocolo. El paquete de iniciación de handshake de WireGuard es siempre exactamente 148 bytes con una estructura fija. El handshake TLS de OpenVPN tiene timing distintivo. Incluso los flujos básicos de Shadowsocks se ven distintos a HTTPS real — alta entropía desde el paquete uno, sin handshake precedente.
Análisis estadístico de entropía. El tráfico encriptado tiene alta entropía (bytes que se ven aleatorios). El tráfico HTTPS normal tiene entropía mixta: un handshake TLS estructurado con cadenas de certificados predecibles, luego datos de aplicación encriptados con tamaños de registro característicos. Los flujos que muestran alta entropía desde el paquete uno sin un handshake TLS se destacan.
Sondeo activo. Cuando un censor ve una conexión que podría ser un proxy, el censor envía su propia conexión al mismo servidor. Si la respuesta del servidor difiere de un servicio legítimo, la IP se bloquea.
Cada protocolo abajo trata de vencer algún subconjunto de estos. Ninguno vence todos perfectamente. Los mejores se acercan.
Shadowsocks (y Shadowsocks AEAD)
Qué es. Shadowsocks fue creado en 2012 por un desarrollador chino (clowwindy) para evadir el Gran Cortafuegos. Es un proxy estilo SOCKS5 simple con un cifrado de flujo envolviendo la conexión. Originalmente chacha20-ietf-poly1305 era el cifrado recomendado; las variantes basadas en AEAD lo reemplazaron alrededor de 2018.
Cómo trata de evadir detección. Shadowsocks no lo hace. La única defensa del protocolo es que el tráfico encriptado se ve como bytes aleatorios, lo cual es más difícil de identificar que un protocolo estructurado como WireGuard. No hay handshake TLS, sin servidor falso, sin resistencia a sondeo activo.
Cómo falla. El Gran Cortafuegos ha estado bloqueando Shadowsocks confiablemente desde alrededor de 2017. El método de detección evolucionó: primero, atrapadas basadas en firma en el Shadowsocks plano temprano; después, el análisis de entropía atrapa las variantes AEAD porque la ausencia de cualquier handshake TLS combinada con cargas útiles de alta entropía es en sí un fingerprint. Para 2024-2026, tanto el TSPU ruso como el GFW logran tasas de detección de Shadowsocks de 30-60% según pruebas comunitarias.
Dónde aún funciona. Países con filtrado ligero (Vietnam, partes de Indonesia, algunos periodos en Turquía). Shadowsocks auto-alojado con plugins obfs-tls o simple-obfs ocasionalmente aún funciona en China pero es frágil.
Cuándo elegirlo. Casi nunca en 2026. Usa Shadowsocks si tienes razones operacionales específicas (infraestructura existente, simplicidad, herramientas offline) y no estás en un país de DPI pesado. De otra manera, muévete a Reality, NaiveProxy o Hysteria.
V2Ray y VMess
Qué es. V2Ray fue creado en 2015 como un sucesor más flexible de Shadowsocks. Soporta múltiples transportes (TCP, mKCP, WebSocket, HTTP/2, QUIC) y múltiples protocolos en capas encima (VMess, Shadowsocks, SOCKS, HTTP). VMess es el protocolo nativo de V2Ray — encriptado, con un esquema de autenticación basado en timestamp.
Cómo trata de evadir detección. La flexibilidad de V2Ray es su estrategia de evasión. Al colocar VMess dentro de HTTP/2 sobre TLS a un dominio que se ve real, puedes construir un flujo que se ve superficialmente como HTTPS a un sitio web. El patrón de despliegue "WebSocket + TLS + Web" fue popular en 2017-2020.
Cómo falla. VMess en sí tiene patrones detectables (la ventana de auth basada en timestamp es identificable). El despliegue "WebSocket + TLS + Web" requiere que operes un sitio web que se vea real detrás del proxy — lo cual es más complejidad operacional de la que los auto-alojadores típicamente mantienen. El sondeo activo atrapa despliegues que tienen un sitio web placeholder genérico que no coincide con el SNI reclamado.
Dónde aún funciona. V2Ray auto-alojado con VMess + WebSocket + TLS a un dominio real frontalizado por CDN aún funciona en muchos lugares, incluyendo partes de China y Rusia, si se mantiene cuidadosamente. La mayoría de los despliegues comerciales V2Ray son detectados.
Cuándo elegirlo. Si estás corriendo una configuración auto-alojada y tienes el esfuerzo de ingeniería para mantener un sitio web que se vea real detrás del proxy, V2Ray sigue siendo viable. Para una VPN comercial, Reality es la mejor elección — mismo ecosistema XRay-core, mejor resistencia a detección, menos fragilidad operacional.
Trojan-GFW
Qué es. Trojan fue creado en 2019 específicamente para vencer el Gran Cortafuegos. El diseño: realizar un handshake TLS real a tu servidor, pero el certificado es el tuyo (auto-emitido o de Let's Encrypt). Los clientes autenticados tunelan; los clientes no autenticados reciben un sitio web que se ve real.
Cómo trata de evadir detección. Mejor que Shadowsocks o V2Ray, porque Trojan hace un handshake TLS real — el perfil de entropía coincide con HTTPS. El sondeo activo retorna un sitio web real, no un placeholder. Se ve como un sitio HTTPS normal para la mayoría de los observadores.
Cómo falla. El certificado es lo que delata. Los despliegues de Trojan usan Let's Encrypt o certificados auto-firmados para dominios que el operador controla. Los logs de Certificate Transparency muestran que esos certificados existen; si un censor compara el certificado de un servidor sospechoso contra lo que CT dice sobre ese dominio (¿el log CT muestra que este es un sitio de producción real? ¿Los otros nombres de sujeto del certificado coinciden con lo que un sitio de producción real tendría?), los despliegues de Trojan se destacan. Censores sofisticados despliegan "sondeo activo con comparación TLS" — conectan al servidor sospechoso, traen el cert, comparan contra registros CT para el dominio reclamado, señalan inconsistencias.
Dónde aún funciona. La mayoría de los países con DPI ligero. China aún atrapa configuraciones bien desplegadas de Trojan pero inconsistentemente. El TSPU de Rusia atrapa Trojan que usa certs genéricos pero falla con Trojan con certs cuidadosamente rotados y dominios de camuflaje de alto tráfico.
Cuándo elegirlo. Si estás auto-alojando y Reality es demasiado operacionalmente complejo, Trojan con Let's Encrypt + un CDN frontal real es un segundo-mejor razonable. Para VPN comerciales, Reality es estrictamente mejor — Reality reenvía un certificado real de tercero, eliminando el vector de comparación CT.
VLESS Reality (con Vision flow)
Qué es. Reality fue lanzado en XRay-core v1.8.0 a principios de 2023. El avance: en lugar de usar tu propio certificado (el patrón de Trojan), Reality reenvía el certificado real de un sitio público real como Microsoft o Cloudflare. El servidor proxy-pasa las conexiones no autenticadas a ese sitio real.
El Vision flow (xtls-rprx-vision) agregado a finales de 2023 elimina la señal de detección TLS-en-TLS que de otra manera sería visible a través de análisis de tráfico.
Cómo trata de evadir detección. Reality es el único protocolo en esta lista cuyo handshake es un handshake TLS 1.3 real a un sitio público real. El certificado que el cliente ve es el certificado real de Microsoft (o Cloudflare, o Apple), con las firmas reales de CA reales, en los logs reales de Certificate Transparency. No hay falso para detectar porque nada es falso.
El engaño es estructural: oculto dentro de la extensión encriptada de key-share del handshake TLS, una pequeña pieza de material criptográfico identifica a clientes autenticados. Todo lo que un observador puede ver es HTTPS genuino a un host que no se pueden dar el lujo de bloquear.
Cómo falla (raramente). Análisis de reputación de IP: un censor notando que una IP residencial repetidamente abre conexiones TLS de larga duración a un VPS específico que también hace proxy a Microsoft. El TSPU de Rusia ha tenido éxito limitado con esto, bloqueando algunos rangos IP de VPS. La tasa de detección contra Reality apropiadamente desplegado desde espacio IP limpio está bajo 5% basado en reportes comunitarios hasta mayo de 2026.
Dónde funciona. Rusia, China, Irán, Pakistán, EAU, Arabia Saudí, Turquía. Reality con Vision es el protocolo de VPN de consumidor más confiable en entornos DPI activos en 2026.
Cuándo elegirlo. Cualquier momento que necesites una VPN que sobreviva al DPI. Las únicas razones para no elegir Reality: velocidad (Reality corre sobre TCP, así que en redes móviles con pérdida Hysteria puede ser más rápido), o simplicidad de auto-alojamiento (Reality requiere más configuración que Trojan o Shadowsocks). Para uso diario de VPN de consumidor en mercados con censura pesada, Reality es la respuesta.
Guía detallada del protocolo aquí.
Hysteria 2
Qué es. Hysteria es un protocolo basado en QUIC diseñado para redes de alta pérdida y alta latencia. Usa un algoritmo personalizado de control de congestión (Brutal) que recupera agresivamente de pérdida de paquetes. Hysteria 2, lanzado en 2023, agregó autenticación mejorada y enmascaramiento de tráfico.
Cómo trata de evadir detección. Hysteria corre sobre QUIC (HTTP/3), así que se ve superficialmente como tráfico HTTP/3 de navegador. Hysteria 2 agregó modo de enmascaramiento que hace proxy de conexiones no autenticadas a un backend real, similar al diseño de Reality. El certificado es el tuyo (estilo Let's Encrypt), así que comparte la vulnerabilidad de transparencia de certificados de Trojan — aunque esto se mitiga porque HTTP/3 es más nuevo y la detección por comparación CT es menos madura para QUIC que para TLS.
Cómo falla. El fingerprinting QUIC es su propio campo emergente. Diferentes implementaciones QUIC tienen variaciones detectables en cómo manejan la encriptación de número de paquete, negociación de versión y frecuencia de ACK. El fingerprint QUIC de Hysteria es cada vez más distinguible del fingerprint QUIC de Chrome a medida que mejoran los métodos de detección. Algunos ISP iraníes y chinos estrangulan Hysteria más agresivamente que otro tráfico QUIC.
Dónde funciona. Redes móviles con alta pérdida de paquetes (donde los protocolos basados en TCP se atascan). Entornos de censura ligeramente filtrados. Algunos periodos en Rusia y China donde la detección de fingerprint QUIC no ha sido desplegada.
Cuándo elegirlo. Casos de uso pesados en móvil en redes con pérdida donde el rendimiento TCP de Reality es el cuello de botella. Hysteria 2's UDP-sobre-QUIC maneja la pérdida de paquetes mucho mejor que TCP. Donde Reality falla por razones de rendimiento (no razones de detección), Hysteria puede ser un mejor ajuste.
NaiveProxy
Qué es. NaiveProxy fue creado por klzgrad para aprovechar el stack de redes real de Chrome. El servidor proxy corre Caddy (un servidor web). Los clientes de NaiveProxy usan el stack de red de Chromium para hacer conexiones HTTP/2 al servidor Caddy. El tráfico es byte-idéntico al tráfico de Chrome porque literalmente es código de red de Chrome.
Cómo trata de evadir detección. La coincidencia de fingerprint de navegador más fuerte de cualquier protocolo en esta lista. La detección requiere distinguir el fingerprint Chromium de NaiveProxy del fingerprint Chromium de Chrome real, lo cual solo es posible a la capa de timing/conducta (los usuarios reales tienen patrones de sesión variables; los usuarios de NaiveProxy tienen patrones tipo proxy).
Cómo falla. El análisis conductual atrapa a usuarios que corren NaiveProxy 24/7 con flujos sostenidos de alto throughput que no coinciden con patrones de navegación de usuario real. La detección no ha sido ampliamente desplegada (es más cara que la detección basada en fingerprint), pero arquitectónicamente NaiveProxy no es invulnerable.
Dónde funciona. Rusia, China, Irán, Pakistán — la mayoría de los mercados de DPI activo. Menos ampliamente desplegado que Reality (base de usuarios más pequeña = más difícil para mezclarse), pero técnicamente excelente.
Cuándo elegirlo. Auto-alojamiento con requisitos fuertes de privacidad y disposición para mantener infraestructura Caddy. NaiveProxy es genuinamente excelente para usuarios avanzados; su huella desplegada más pequeña es la razón principal por la que las VPN comerciales no lo entregan.
TUIC
Qué es. TUIC (Thinking-Up-Initial-Connections) es un protocolo basado en QUIC diseñado para proxy de baja latencia. Corre sobre QUIC como Hysteria pero con elecciones distintas de control de congestión y autenticación.
Cómo trata de evadir detección. TUIC v5 agregó imitación de TLS-1.3 encima de QUIC para el handshake. El protocolo es más nuevo (2022-2023) y menos probado en batalla que Reality o Hysteria.
Dónde funciona. TUIC es más popular en la comunidad de auto-alojadores en chino. Los despliegues comerciales son raros. La resistencia a detección es similar a Hysteria — funciona en muchos lugares, aún no bajo ataque sostenido.
Cuándo elegirlo. Nicho. Si eres un usuario avanzado que quiere los beneficios de manejo de pérdida de QUIC con un diseño de protocolo más limpio que Hysteria, TUIC vale la pena investigar. Para la mayoría de los usuarios, Reality o Hysteria es la elección mejor soportada.
Tabla de comparación
| Protocolo | Resistencia DPI | Velocidad (red limpia) | Velocidad (red con pérdida) | Madurez | Complejidad auto-alojamiento | Despliegues VPN comerciales |
|---|---|---|---|---|---|---|
| Shadowsocks AEAD | Baja | Rápida | Moderada | Maduro | Baja | Muchos, mayormente proveedores pequeños |
| V2Ray VMess | Baja-moderada | Rápida | Moderada | Maduro | Moderada | Algunos |
| Trojan-GFW | Moderada | Rápida | Moderada | Maduro | Moderada | Pocos comerciales |
| VLESS Reality + Vision | Más alta | Moderada (TCP) | Moderada | Producción | Alta | Fexyn, Astrill, pocos otros |
| Hysteria 2 | Moderada-alta | Muy rápida | Excelente | Reciente (2023) | Moderada | Pocos comerciales |
| NaiveProxy | Alta | Moderada | Moderada | Reciente (2020) | Moderada | Ninguno a escala |
| TUIC v5 | Moderada-alta | Rápida | Excelente | Reciente (2023) | Moderada | Ninguno a escala |
Tasas reales de detección (mayo de 2026)
Basadas en pruebas comunitarias y nuestra propia telemetría de servidor a través del conjunto funcional de protocolos:
| País | Shadowsocks AEAD | Trojan | VLESS Reality+Vision | Hysteria 2 | NaiveProxy |
|---|---|---|---|---|---|
| Rusia (TSPU) | Mayormente bloqueado | Inconsistente | ~95% éxito | ~70% éxito | ~90% éxito |
| China (GFW) | 30-60% bloqueado | Inconsistente | Funciona, churn de bloqueo IP | ~60% éxito | ~85% éxito |
| Irán (FRA) | Mayormente bloqueado | Inconsistente | Funciona | Inconsistente | Funciona |
| Pakistán (PTA) | Inconsistente | Inconsistente | ~80% éxito | ~50% éxito | ~70% éxito |
| EAU (TRA) | Estrangulado | Inconsistente | Funciona | Estrangulado | Funciona |
Estos números tienen incertidumbre significativa — están basados en reportes comunitarios y nuestra propia telemetría, no mediciones académicas formales. El ranking relativo es estable a través de los reportes que hemos visto; los porcentajes absolutos varían semana a semana.
Por qué Fexyn entrega Reality
Consideramos los seis protocolos cuando construimos Fexyn. La decisión descansó en cuatro puntos.
Resistencia a detección. Reality con Vision es el más fuerte disponible contra DPI activo. NaiveProxy es comparable pero con huella desplegada más pequeña, lo que significa menos usuarios con quienes mezclarse — un riesgo de detección a largo plazo que no quisimos tomar.
Madurez de producción. Reality ha estado en producción activa desde principios de 2023, a través de miles de despliegues auto-alojados y varios proveedores comerciales. La cadencia de corrección de errores es saludable. El ecosistema XRay-core está bien mantenido. En contraste, TUIC y Hysteria 2 son más nuevos y han tenido cambios disruptivos más recientes.
Simplicidad TCP para nuestra infraestructura. Reality corre sobre TCP. Nuestra flota de servidores (Frankfurt, Helsinki, Chipre, Ashburn) ya estaba aprovisionada para protocolos basados en TCP. Cambiar a QUIC habría requerido reconstruir nuestro backend. La penalización de rendimiento TCP en redes con pérdida es real pero aceptable para los mercados que servimos.
Disponibilidad de host de camuflaje. Reality requiere un sitio público real como objetivo de camuflaje. Microsoft, Cloudflare y Apple son todas elecciones razonables y difíciles para que cualquier censor las bloquee. Los otros protocolos o no necesitan camuflaje (Shadowsocks) o usan dominios auto-controlados (Trojan) — ninguno de los cuales es tan resiliente.
No pretendemos que Reality sea universalmente óptimo. En redes móviles con pérdida Hysteria nos superaría. Para auto-alojadores que quieren simplicidad operacional, Trojan o Shadowsocks son más fáciles. NaiveProxy es técnicamente excelente y monitoreamos si entregarlo como protocolo alternativo.
Para los mercados en los que nos enfocamos — Rusia, Turquía, el Golfo, Pakistán, Irán — Reality es la respuesta correcta en 2026.
Qué es probable que cambie
La viabilidad de protocolo contra censura no es estable. Algunas predicciones:
El dominio de Reality se estrechará. El TSPU de Rusia está invirtiendo fuertemente en detección. La distinción Reality-vs-Reality+Vision emergió a finales de 2025; otra distinción emergerá para mediados de 2027. Reality seguirá funcionando pero los detalles de configuración que importan cambiarán.
La adopción de Hysteria 2 / TUIC crecerá. A medida que las redes móviles dominan los mercados emergentes y el rendimiento en redes con pérdida se vuelve un asunto más grande, los protocolos basados en QUIC alcanzarán a Reality en resistencia a detección. La actual tasa de éxito del 70% en Rusia subirá.
NaiveProxy obtendrá más despliegues comerciales. La coincidencia de fingerprint de navegador es una defensa fuerte a largo plazo. El bloqueador ha sido la complejidad operacional (correr backends Caddy), lo cual se hará más fácil a medida que las herramientas maduren.
Shadowsocks se desvanecerá. Las tasas de detección seguirán subiendo. Los auto-alojadores migrarán a Reality o NaiveProxy. Los despliegues comerciales ya son raros y se volverán más raros.
El protocolo que elijas hoy no es una decisión permanente. La suposición saludable es que la detección mejora continuamente y que la respuesta correcta en 2027 será diferente a la respuesta correcta en 2026. Por eso la auto-rotación de protocolo de Fexyn (intentar Bolt primero, caer a Stealth en filtrado, cambiar el objetivo de camuflaje a medida que Reality evoluciona) es más importante que el protocolo específico que entregamos en cualquier momento dado.
Prueba Fexyn gratis 7 días — Stealth (VLESS Reality con Vision) está incluido en cada plan.
Lectura adicional: Guía del protocolo VLESS Reality, Lo que funciona en Rusia en 2026, Inspección profunda de paquetes explicada, VLESS vs Shadowsocks, VLESS vs WireGuard.