Qué realmente funciona en Rusia en 2026
Si tenés un amigo ruso o trabajás con colegas rusos, probablemente hayas visto pasar esto: una VPN que venían usando años de repente deja de conectarse. Cambian a otra. Esa funciona por una semana. Después también deja de funcionar.
Esto no es coincidencia y no es aleatorio. Es TSPU (los Medios Técnicos para Contrarrestar Amenazas) haciendo exactamente lo que se desplegó para hacer, mejorando mes a mes, y Roskomnadzor publicando metas cada vez más explícitas sobre hasta dónde piensan llevarlo.
Acá lo que TSPU realmente hace, lo que ha bloqueado exitosamente, lo que aún funciona en mayo 2026, y hacia dónde va la trayectoria.
Qué es TSPU y cómo ve tu tráfico
TSPU es hardware y software de filtrado desplegado en cada ISP ruso licenciado desde 2021, mandado por la ley de internet soberana de 2019. Se sienta inline en el gateway del ISP. Cada paquete que sale de una red rusa o llega a una pasa primero por TSPU. El hardware lo opera el ISP pero está configurado centralmente por el Center for Monitoring and Control of Public Communications Network (CoSDP), que es parte del aparato de Roskomnadzor.
Funcionalmente, TSPU es un sistema de inspección profunda de paquetes. Hace varias cosas:
Pattern matching. TSPU mantiene una librería de fingerprints de protocolo. El primer paquete de handshake de WireGuard siempre es de 148 bytes con una estructura específica: un campo de tipo de 1 byte, tres bytes reservados a cero, un sender index de 4 bytes, y una clave pública efímera no encriptada de 32 bytes. TSPU matchea esto en tiempo real. La precisión de detección es cercana al 100%.
Análisis de entropía. El tráfico encriptado tiene alta entropía: los bytes parecen aleatorios, sin estructura reconocible. El tráfico HTTPS normal tiene entropía mixta: un handshake TLS estructurado con cadenas de certificados predecibles, luego data de aplicación encriptada con tamaños de record característicos. Una conexión Shadowsocks es de alta entropía desde el paquete uno. TSPU flagea streams cuyo perfil de entropía no matchea con ningún protocolo legítimo conocido.
Active probing. Cuando TSPU ve una conexión sospechosa, puede despachar su propia conexión a la misma IP destino y puerto en segundos. Si la respuesta de ese servidor difiere de lo que un servicio legítimo retornaría, la IP se agrega a la lista de bloqueo.
Análisis estadístico. TSPU traquea comportamiento agregado por IP, por ASN, por región. Si una sola IP residencial rusa de repente abre 50 conexiones TLS de larga duración a un proveedor VPS que no hostea servicios populares rusos legítimos, ese patrón en sí mismo se vuelve una señal de detección.
Estas no son capacidades teóricas. Están corriendo, hoy, contra cada conexión de cada red residencial y móvil rusa.
Lo que TSPU ha bloqueado
Hasta Q1 2026, los protocolos que TSPU exitosamente fingerprinta y bloquea en cada ISP ruso mayor:
WireGuard. Desde 2023. El paquete de iniciación de handshake de 148 bytes es demasiado rígido para variar; existen algunas variantes "WireGuard ofuscado" (NordLynx de NordVPN, configuración estándar de Mullvad) pero TSPU las detecta a todas. La conexión desde un ISP ruso falla en 1-3 segundos.
OpenVPN (TCP y UDP). Desde 2022, con precisión creciente. El handshake TLS de OpenVPN tiene timing distintivo y el canal de control usa un formato de framing reconocible. Aun los wrappers OpenVPN-XOR y obfs4 son detectados.
IKEv2 / IPsec / L2TP. Detectados por estructura de paquete ESP o handshake IKEv2. Bloqueados.
VLESS plano sin Vision. Este es el desarrollo de fines de 2025. TSPU se actualizó para fingerprintar streams VLESS genéricos. Algunos proveedores enviando Reality pero sin el Vision flow (xtls-rprx-vision) ahora también están afectados, porque Vision es lo que elimina el patrón TLS-en-TLS contra el que matchea este fingerprint. VLESS plano, con o sin Reality básico, ahora está bloqueado.
Shadowsocks. Incluyendo variantes AEAD. El análisis de entropía atrapa streams de alta entropía; el active probing atrapa la ausencia de un handshake TLS real.
SOCKS5. Detectado por estructura de handshake.
obfs4 y meek. Los pluggable transports de Tor. Detectados por entropía y patrones de timing.
La mayoría de los modos "stealth" u "ofuscados" de las marcas mayores de VPN. Lightway de ExpressVPN, NordLynx de NordVPN con ofuscación, Camouflage de Surfshark, Stealth estándar de ProtonVPN: pattern-matcheados a varios grados. Algunos aún funcionan intermitentemente; ninguno confiablemente.
Esto es por lo que los usuarios rusos de VPN siguen ciclando entre proveedores. El protocolo primario de cada marca mayor es detectable. El modo "ofuscado" que se vende como feature de bypass de censura está una generación atrás de lo que TSPU puede fingerprint.
Lo que aún funciona en mayo 2026
Los protocolos que hacen handshake confiablemente desde redes residenciales y móviles rusas:
VLESS Reality con Vision flow. Esta es la combinación que carga el peso. Reality realiza un handshake TLS 1.3 real a un host público real (microsoft.com, cloudflare.com, apple.com) y reenvía el certificado real de ese host. El Vision flow elimina la señal de detección TLS-en-TLS. Juntos, el tráfico es estadísticamente indistinguible de un navegador normal conectándose a ese host.
Por un paper de USENIX Security y nuestra propia telemetría de servidores, el éxito de handshake Reality+Vision en Rusia en mayo 2026 es alrededor del 95%. El 5% restante viene del bloqueo por reputación de IP en rangos VPS específicos, no de detección de protocolo. Si la IP que tu proveedor VPN usa tiene un patrón de reputación (usuarios residenciales conectándose a un VPS que también sirve un sitio HTTPS estable), TSPU a veces la flagea. Solución: rotar rangos de IP, preferir proveedores que mantienen espacio IP "limpio".
Escribimos la guía larga del protocolo sobre Reality si querés el detalle arquitectónico.
NaiveProxy. Usa el stack de networking real de Chrome para hacer conexiones HTTP/2 a un backend real. El tráfico es byte-idéntico al tráfico de Chrome porque literalmente lo es. Menos ampliamente desplegado que Reality, pero funciona.
Hysteria 2. Un protocolo basado en QUIC con fuerte enmascaramiento y bajo overhead en redes con pérdida. Algunos ISPs rusos hacen throttling de Hysteria más agresivamente que otros; la tasa de éxito varía pero generalmente está sobre 70%.
ShadowTLS. Realiza un handshake TLS real a un host público, similar en espíritu a Reality. Menos maduro que Reality pero funciona en TSPU.
El patrón es claro. Cualquier cosa que realice un handshake TLS 1.3 real a un host público real sobrevive a TSPU. Cualquier cosa que no, aun con ofuscación creativa, eventualmente es fingerprinteada.
El auto-cambio de Fexyn
No esperamos que los usuarios sepan nada de esto.
Fexyn Bolt es nuestra implementación de WireGuard. Fexyn Stealth es nuestra implementación de VLESS Reality+Vision. El cliente de Fexyn intenta Bolt primero porque es más rápido. Si la red bloquea o hace throttling de Bolt, el cliente cambia a Stealth automáticamente. El usuario no necesita configurar nada.
En Rusia, recomendamos pinear Stealth como default en la configuración de la app en lugar de esperar a la auto-detección. Esto saltea el paso de Bolt-fallido y conecta más rápido en redes donde ya sabemos que Bolt no funciona.
La arquitectura completa está documentada en las notas del helper service para rotación de protocolos. La versión corta: cada protocolo tiene su propia state machine de conexión, el motor de rotación trata la falla de Bolt como una señal para upgradear a Stealth sin prompt al usuario, y medimos éxito por-protocolo por-región-de-servidor para que la lógica de rotación mejore a medida que TSPU evoluciona.
Lo que es probable que Roskomnadzor intente después
El presupuesto 2026 de Roskomnadzor incluye aproximadamente 20 mil millones de rublos por año para infraestructura permanente de censura de VPN. La meta publicada es bloquear 92% de las apps VPN para 2030. La trayectoria es escalación. Algunos de los siguientes pasos son predecibles:
Scoring más agresivo de reputación de IP. TSPU ya hace algo de esto, bloqueando rangos de IP que muestran patrones matcheando con despliegues VPN. Expandir esto es barato y evita el problema de detección de protocolo enteramente. La defensa es del lado del proveedor: mantener rangos IP "limpios", rotar IPs, idealmente usar espacio IP residencial o de grado business en lugar de rangos VPS conocidos.
Whitelisting de hosts de camuflaje. TSPU podría mantener una lista de hosts de camuflaje aprobados (Microsoft, Cloudflare, Apple) y o bloquear tráfico a ellos enteramente (políticamente costoso: las empresas rusas dependen de estos servicios) o hacer inspección más profunda de sesiones TLS a hosts de camuflaje flageados. La ruta de inspección más profunda requiere romper la sesión TLS, lo que requeriría una jugada estilo iraní de inyección de CA estatal que Rusia ha intentado en forma limitada pero no a escala.
Análisis estadístico de timing. Reality+Vision es estadísticamente indistinguible de una sesión real de navegación de Microsoft a nivel paquete, pero un solo usuario generando conexiones sostenidas a Microsoft por horas todos los días con alto throughput es un patrón de comportamiento que no matchea con el comportamiento típico de usuario de Microsoft. Este tipo de análisis requiere compute significativo y produce muchos falsos positivos, lo que es por lo que aún no está desplegado.
Bloqueo por-app dentro del túnel. TSPU ya puede detectar patrones de tráfico conocidos de WhatsApp, Signal, y Telegram aun cuando son tunelizados por una VPN, porque el tráfico interno aún tiene firmas de timing y tamaño de paquete. Hasta ahora esto sólo se usa selectivamente contra blancos de alto perfil. El despliegue más amplio aumentaría dramáticamente el costo de compute de TSPU y aún no está operacional.
La ventaja arquitectónica de Reality es que el engaño es estructural. No hay handshake falso, no hay certificado falso, no hay target falso. El engaño es una pequeña pieza de material criptográfico oculta dentro de un handshake TLS de otro modo genuino. Para detectarlo, TSPU necesitaría romper TLS en sí o mantener un modelo de comportamiento de cada usuario legítimo de cada host de camuflaje. Ninguno es barato.
Qué significa esto para vos
Si vivís en Rusia o viajás ahí, la respuesta práctica es simple. Usá una VPN que envíe VLESS Reality con Vision flow. Pinealo como tu protocolo default. Usá cripto para facturación porque la infraestructura de pago con tarjeta está rota para usuarios rusos en servicios occidentales. Instalá tu VPN antes de necesitar descargarla dentro de Rusia, porque los sitios web de proveedores VPN se bloquean en cualquier momento.
Si operás un servicio VPN para usuarios rusos, y muchos self-hosters lo hacen, mantené un ojo en el tracker de issues de XTLS Reality, mantené Reality+Vision (no Reality plano), usá hosts de camuflaje rotativos de alto tráfico, y preferí espacio IP "limpio".
Si estás leyendo esto porque una VPN que solías usar dejó de funcionar en Rusia, ese es el sistema funcionando como diseñado. El fix es un protocolo distinto, no un servidor distinto. La mayoría de las marcas mayores (NordVPN, ExpressVPN, Surfshark, ProtonVPN, Mullvad) actualmente no envían VLESS Reality en absoluto. El subset más chico que sí lo envía (Astrill, Fexyn, varios stacks self-host) es el set que funciona en 2026.
Probá Fexyn gratis 7 días. Stealth (VLESS Reality con Vision flow) está incluido en cada plan. Facturación sólo en cripto para Rusia (USD 2.99/mes, Tier 4). La página país de Rusia tiene el detalle completo de setup. La guía del protocolo explica por qué Reality con Vision sigue funcionando cuando todo lo demás falla.