VLESS Reality: la guía del protocolo en 2026
Si estás buscando una VPN que funcione en Rusia, Irán, China, o Pakistán en 2026, probablemente chocaste con la misma pared que todos los demás. Los handshakes WireGuard se mueren en segundos. OpenVPN está apenas mejor. La mayoría de los modos "stealth" u "ofuscados" de las marcas mayores son pattern-matcheados también.
El protocolo que se ha mantenido es VLESS Reality. Es la razón técnica por la que un pequeño número de VPNs de consumo (incluyendo Fexyn) siguen funcionando en redes pesadas en DPI mientras los nombres conocidos son bloqueados.
Esta es la versión larga. Qué es Reality realmente, por qué funciona, dónde no, y dónde se sienta relativo a los otros protocolos de circunvención de censura sobre los que hayas oído.
Qué es VLESS Reality
VLESS es un protocolo de transporte del proyecto XRay-core, originalmente construido por desarrolladores en China que necesitaban algo que el Great Firewall no pudiera detectar.
Reality es una feature encima de VLESS, lanzada en Xray-core v1.8.0 a principios de 2023. Trucos previos de ofuscación trataban de hacer que el tráfico VPN pareciera HTTPS. Reality no aproxima. Realiza un handshake TLS 1.3 real a un sitio web público real, y reenvía el certificado real de ese sitio al cliente.
Tres cosas son reales:
- El handshake TLS es un handshake TLS 1.3 real, byte-idéntico a lo que tu navegador mandaría.
- El certificado que el servidor retorna es un certificado real, firmado por una CA real, para un dominio real como
www.microsoft.com. - El target del handshake es un sitio de producción real que ya sirve a millones de usuarios legítimos.
No hay nada falso para detectar. El engaño es estructural: oculto dentro del handshake, una pequeña cantidad de material criptográfico pre-compartido identifica clientes autenticados. Todo lo que un observador puede ver es HTTPS genuino a un host que no se pueden permitir bloquear.
Por qué "se ve como HTTPS" no era suficiente
DPI no necesita desencriptar tu tráfico para identificar el protocolo cargándolo. Sólo necesita reconocer la forma del tráfico en el cable.
La iniciación de handshake de WireGuard es siempre exactamente 148 bytes, con un campo de tipo de 1 byte, tres bytes reservados a cero, un sender index de 4 bytes, y una clave pública efímera de 32 bytes. La estructura nunca varía. El TSPU de Rusia puede detectar WireGuard con precisión cercana al 100% en el primer paquete.
OpenVPN tiene patrones de timing y un framing reconocible de canal de control. El Great Firewall lo viene bloqueando confiablemente por años.
Las herramientas previas de ofuscación trataban de esquivar esto:
- obfs4 envolvía tráfico en una capa diseñada para parecer ruido aleatorio. Después DPI empezó a flagear streams de alta entropía que no matcheaban con ningún protocolo conocido. El ruido aleatorio es conspicuo cuando todo a su alrededor tiene estructura.
- Shadowsocks tiene el mismo problema de entropía. Las variantes AEAD ayudaron, pero la ausencia de un handshake TLS quedó detectable. El DPI chino flagea streams Shadowsocks cuando muestran payloads de alta entropía desde el paquete uno, sin handshake precedente.
- Trojan fue más allá realizando un handshake TLS real y sirviendo un sitio web de aspecto real a probers no autenticados. La rotura: Trojan usa un certificado auto-emitido, y los logs de Certificate Transparency hacen esos certificados trivialmente distinguibles de los certs reales de Microsoft o Cloudflare que estaban tratando de imitar.
El patrón en todas: trataban de imitar tráfico normal sin ser efectivamente tráfico normal. Dado suficiente análisis, la imitación se rompe.
Cómo funciona realmente Reality
Paso por paso, qué pasa cuando tu cliente se conecta:
1. ClientHello. El cliente Fexyn abre una conexión TCP al servidor Fexyn y manda un ClientHello TLS 1.3. El campo SNI lleva el hostname real de un sitio público real (usamos targets rotativos de alto tráfico; www.microsoft.com es el ejemplo canónico). El ClientHello se genera por uTLS para imitar exactamente un fingerprint actual de Chrome, Firefox, o Safari. Cualquier DPI mirando el ClientHello ve un navegador normal abriendo una conexión a Microsoft.
2. Autenticación dentro del handshake. Oculto dentro de la extensión key-share (que TLS 1.3 mantiene encriptada de la observación pasiva), el cliente pasa un shortId más una clave pública X25519. El servidor las valida. La autenticación es invisible desde fuera del handshake.
3. El servidor se conecta al target real. Concurrente con el paso 2, el servidor Fexyn abre su propia conexión TLS al www.microsoft.com real. Realiza un handshake legítimo. Microsoft no sabe ni le importa que Fexyn esté haciendo esto; parece un proxy reverso más.
4. El certificado real es reenviado de vuelta. La cadena de certificados que Microsoft retorna es entregada al cliente. El cliente la verifica del mismo modo que lo haría un navegador. La cadena es genuina, los SCTs están en Certificate Transparency, el emisor es una CA pública.
5a. Los clientes autenticados tunelan. Si el paso 2 pasó, el servidor usa la sesión TLS establecida como transporte para frames VLESS. La data VPN fluye dentro de lo que parece una sesión HTTPS a Microsoft.
5b. Los clientes no autenticados son reenviados. Si el prober de un censor se conecta sin credenciales válidas, el servidor transparentemente los proxy-ea al www.microsoft.com real. Reciben contenido real de Microsoft. Headers reales. Records TLS reales. Todo real. El servidor es indistinguible de un proxy reverso legítimo frente a Microsoft.
Ese es el juego entero. Un observador pasivo ve HTTPS a Microsoft. Un prober activo recibe Microsoft. Lo único que distingue a un cliente Reality real de cualquier otro visitante de Microsoft es el shortId encriptado en la extensión key-share, que el censor no puede leer.
Resistencia al active probing
Los censores no sólo analizan tráfico pasivamente. Probean.
Cuando el Great Firewall ve una conexión que podría ser un proxy, despacha su propia conexión al mismo servidor en minutos. Si la respuesta del servidor difiere de un servicio legítimo, la IP se bloquea.
Así es como cada despliegue de Trojan eventualmente es atrapado. Un prober se conecta, falla en autenticarse, y el servidor retorna una página web placeholder. La placeholder puede servir bien para HTML, pero el certificado no matchea con lo que Certificate Transparency dice que ese dominio debería tener. O los headers de respuesta HTTP son sutilmente distintos del software real que el dominio reclama correr. Inconsistencias chicas, pero suficientes.
Reality no tiene nada contra qué comparar porque no hay falso. El prober activo se conecta al Microsoft real. Mismo certificado que Certificate Transparency espera. Mismos headers que Microsoft sirve. Mismo contenido que Microsoft hostea. No hay inconsistencia que encontrar.
El único ataque restante es la reputación de IP: notar que una IP recibe conexiones de usuarios residenciales y también proxy-ea a Microsoft, y ese patrón es inusual. El TSPU de Rusia ha tenido éxito limitado con esto, bloqueando algunos rangos IP de VPS que matchean el patrón. La tasa de detección contra Reality bien desplegado desde IPs que parecen residenciales está aún bajo 5% basado en reportes de la comunidad hasta inicios de 2026.
El Vision flow y por qué importa TLS-en-TLS
Hay una sutileza que vale entender. Cuando tunelizás tráfico VPN dentro de una conexión TLS, cada sitio HTTPS que visitás a través del túnel genera su propio handshake TLS. Eso crea records TLS anidados dentro de records TLS: un patrón "TLS-en-TLS" visible a través de análisis de tráfico aun cuando la data esté encriptada.
El XTLS Vision flow (xtls-rprx-vision) detecta cuando el payload interno ya está protegido por TLS y lo pasa con wrapping adicional mínimo. El TLS Reality externo maneja autenticación y framing; el TLS de aplicación interno fluye sin encriptación redundante.
Un paper de USENIX 2024 confirmó que el tráfico VLESS+Vision es estadísticamente indistinguible de una conexión HTTPS directa al host de camuflaje, aun bajo análisis de tamaño de paquete y timing. Sin Vision, el patrón TLS-en-TLS aún sería una señal viable de detección.
Fexyn envía VLESS Reality con Vision flow por defecto. No tenés que pensarlo.
Por qué importa: la carrera armamentística DPI
La pelea a nivel protocolo en 2026 está pasando en tres frentes principales.
TSPU de Rusia está operacional desde 2021 y ahora se sienta en cada ISP ruso licenciado. Bloquea WireGuard, OpenVPN, IKEv2, L2TP, VLESS plano sin Reality, y SOCKS5 con alta precisión. Roskomnadzor bloqueó 469 servicios VPN por nombre a febrero 2026. Rusia también está experimentando con bloquear VLESS genérico (sin Reality) a fines de 2025. Reality con Vision sigue pasando porque el host de camuflaje es algo que Roskomnadzor no puede bloquear sin romper servicios esenciales.
Great Firewall de China ha sido el entorno más difícil para VPNs desde al menos 2009. La escalación de abril 2026 desconectó físicamente miles de servidores de relay y agregó análisis de entropía, inspección de SNI QUIC, e identificación DoH. La detección de Shadowsocks ahora golpea 30-60% de precisión. Reality sigue funcionando porque el flujo de camuflaje se ve como HTTPS normal a un host que el GFW no puede bloquear.
MITM de fingerprint TLS de Irán es una bestia distinta. La infraestructura de filtrado de Irán realiza MITM parcial en handshakes TLS durante períodos de disturbios, buscando fingerprints de protocolo dentro del tráfico encriptado. WireGuard plano y OpenVPN no sobreviven a esto. Reality sí, porque el handshake de Reality es, por construcción, un handshake real a un sitio real.
DPI mandado por BTK de Turquía, Pakistán crackdown de PTA (diciembre 2025), y filtrado TE Data de Egipto todos corren versiones más livianas del mismo manual. El filtrado a nivel protocolo sigue escalando; Reality sigue adaptándose porque no hay handshake falso para fingerprint.
VLESS Reality vs otros protocolos
| Protocolo | Resistencia DPI | Velocidad | Madurez | Cuándo usar |
|---|---|---|---|---|
| WireGuard | Ninguna: fingerprinteado por iniciación de 148 bytes | El más rápido | Producción | Redes abiertas. Cualquier lugar sin filtrado VPN activo. |
| OpenVPN | Baja: handshake y timing reconocibles | Más lento que WireGuard | Maduro | Fallback de compatibilidad. Redes ligeramente filtradas. |
| Shadowsocks (AEAD) | Moderada: análisis de entropía lo atrapa en China | Rápido | Maduro | Redes chinas más viejas antes de la escalación 2024. |
| V2Ray VMess | Baja-moderada | Moderada | Envejeciendo | Despliegues XRay legacy. |
| Trojan-GFW | Moderada: atrapado por mismatches de Certificate Transparency | Rápido | Maduro | Mejora sobre Shadowsocks; aún detectable por active probing. |
| Hysteria 2 | Moderada: fingerprints QUIC | Muy rápido en redes con pérdida | Reciente | Redes móviles con alta pérdida de paquetes; algunos entornos de censura ligera. |
| NaiveProxy | Alta: usa el stack de networking propio de Chrome | Moderada | Reciente | Cuando necesitás indistinguibilidad nivel-navegador para HTTP/2. |
| VLESS Reality + Vision | La más alta: handshake TLS real, certificado real, target real | Moderada (overhead de handshake TCP) | Producción | Rusia, China, Irán, EAU, Arabia Saudita, Pakistán, Turquía. Cualquier lugar con DPI activo. |
El resumen honesto: en cualquier país que no esté activamente tratando de bloquear tráfico VPN, WireGuard gana en velocidad. En cuanto la red empieza a filtrar protocolos, la respuesta es cualquier variante de Reality que tu proveedor envíe. Hysteria tiene ventajas de velocidad en redes móviles con pérdida pero su fingerprint QUIC aún es una señal de detección. NaiveProxy es técnicamente fuerte pero tiene una huella desplegada más chica, lo que significa menos proveedores lo envían y menos usuarios para confundirse.
Comparamos los protocolos mayores de circunvención de censura en detalle si querés ir más profundo que esta tabla.
Por qué la mayoría de las VPNs mayores no envían Reality
Esta era la pregunta que teníamos antes de empezar Fexyn, y tiene algunas respuestas.
Reality requiere XRay-core. XRay es un codebase Go originalmente construido para self-hosters en China. Las marcas mayores de VPN todas envían sus propios stacks de protocolo (NordLynx de NordVPN es WireGuard personalizado, Lightway de ExpressVPN es un protocolo personalizado, Mullvad y ProtonVPN corren WireGuard modificado). Ninguno ha reconstruido sus flotas de servidores y clientes alrededor de un codebase open-source de un ecosistema distinto. Hacerlo correctamente es un proyecto de ingeniería significativo.
Reality requiere targets reales de camuflaje. No podés apuntar Reality a un dominio que controlás. Un censor notaría que miles de usuarios se conectan a un dominio hosteado en el mismo VPS que tu servidor VPN. Necesitás usar sitios públicos mayores (Microsoft, Cloudflare, Apple) y enrutar a través de ellos transparentemente. Las marcas mayores de VPN no han construido esta infraestructura.
Reality es más difícil de soportar. Cuando una conexión Reality falla, los modos de falla se ramifican: podría ser el dominio de camuflaje, el shortId, las claves X25519, el fingerprint uTLS, la conexión del servidor al target de camuflaje, o media docena de otras cosas. WireGuard falla de tres maneras y podés diagnosticar cada una en 30 segundos. Reality requiere más profundidad en el equipo de soporte.
La mayoría de las VPNs no han tenido que. Si tu base de clientes está en US, UK, y Alemania, WireGuard funciona bien. El moat de Reality existe para usuarios en países donde WireGuard no funciona. Ese es un mercado comercial más chico, lo que es por lo que las marcas optimizadas para el mercado más grande no invierten en él.
Hicimos la elección opuesta. Fexyn fue construido primariamente para usuarios en mercados pesados en censura: Rusia, Turquía, el Golfo, Pakistán, Irán. En esos mercados, Reality no es una feature. Es lo único que funciona.
Cómo Fexyn envía Reality
Fexyn Stealth es nuestra productización de VLESS Reality con Vision flow. Los detalles técnicos:
- Lado servidor: XRay-core v26+ en cada servidor Fexyn (Frankfurt, Helsinki, Cyprus, Ashburn).
- Targets de camuflaje: set rotativo de sitios públicos de alto tráfico; el cliente recibe una configuración completa de nuestro API en tiempo de conexión, así el target de camuflaje puede actualizarse sin un release de cliente.
- Fingerprint uTLS: matchea fingerprints actuales de Chrome, Firefox, y Safari; los actualizamos a medida que los navegadores se actualizan así el fingerprint nunca se pone rancio.
- Autenticación: shortId por dispositivo más claves X25519 por servidor, rotadas cada 24 horas vía nuestro PKI.
- Vision flow: habilitado por defecto, elimina el patrón TLS-en-TLS.
La mayoría de los usuarios no necesitan tocar nada de esto. El motor de rotación de protocolo de Fexyn intenta Fexyn Bolt (WireGuard) primero porque es más rápido. Si Bolt está bloqueado o throttleado por tu red, el cliente cambia a Stealth automáticamente. No necesitás configurar nada.
En países donde Bolt se sabe que no funciona (Rusia, Irán, China), pinea Stealth como default en la configuración de la app. Lo documentamos en las páginas país: Rusia, Pakistán, EAU, Arabia Saudita, Turquía.
Cuándo Reality es la respuesta incorrecta
Reality no es gratis.
- Latencia. Reality agrega cerca de 100 ms al setup de conexión comparado con WireGuard, por el handshake TLS extra al target de camuflaje. Después de eso, el tráfico ongoing es aproximadamente lo mismo que cualquier otra sesión TLS.
- Overhead TCP. Reality corre sobre TCP. WireGuard corre sobre UDP. En redes con pérdida (móvil, Wi-Fi congestionado), el head-of-line blocking de TCP causa stalls ocasionales que UDP evitaría.
- CPU en el cliente. El handshake TLS 1.3 de Reality es más pesado que el handshake Noise de WireGuard. En celulares más viejos o máquinas de baja potencia, vas a notar la diferencia en tiempo de conexión.
Si te estás conectando desde una red sin DPI (tu conexión de casa en Berlín, un aeropuerto en Ámsterdam, una oficina en Toronto), no hay razón para pagar estos costos. WireGuard es más rápido, más simple, y funciona bien.
La decisión es esencialmente: ¿hay algo entre vos y la internet abierta tratando de bloquear VPNs? Si sí, usá Stealth. Si no, usá Bolt. La app de Fexyn toma la decisión automáticamente por defecto.
Tasas de detección del mundo real
Basado en testeo de la comunidad y nuestra propia telemetría de servidores hasta inicios 2026:
| País | WireGuard | OpenVPN | VLESS Reality |
|---|---|---|---|
| Rusia (TSPU) | Bloqueado al instante | Bloqueado o throttled | ~95% éxito |
| China (GFW) | Bloqueado | Bloqueado | Funciona, bloqueos ocasionales de rango IP |
| Irán | Bloqueado | Intermitente | Funciona |
| Turquía (BTK) | Bloqueado durante incidentes | Throttled | Funciona |
| EAU (Etisalat / du) | Throttled | Throttled | Funciona |
| Pakistán (PTA) | Bloqueado desde dic 2025 | Bloqueado | ~80% éxito |
| Arabia Saudita (CITC) | Throttled, varía por operador | Throttled | Funciona |
La tasa de éxito rusa está limitada mayormente por bloqueo de reputación de IP en rangos VPS específicos, no por detección de protocolo. La tasa de 80% de Pakistán refleja que el DPI de PTA está rampeando y aun Reality ocasionalmente se degrada en operadores específicos en momentos específicos. Ningún protocolo da 100% de confiabilidad en todos lados; Reality es lo más cerca que podés conseguir en 2026.
Preguntas frecuentes
¿VLESS Reality es lo mismo que VLESS?
No. VLESS es el protocolo subyacente. Reality es una capa de transporte que envuelve VLESS en un handshake TLS 1.3 real a un sitio público real. Podés correr VLESS sin Reality (la mayoría de los despliegues iniciales lo hacían), pero VLESS plano ahora está bloqueado en Rusia y varios otros entornos DPI. Cuando la gente dice "VLESS" en 2026, casi siempre se refiere a VLESS Reality con Vision flow.
¿El Great Firewall puede bloquear Reality?
Para bloquear Reality completamente, China necesitaría bloquear el host de camuflaje: Microsoft, Cloudflare, Apple. Hacerlo rompería servicios de negocio esenciales para usuarios chinos. Hasta ahora, China no ha estado dispuesta a pagar ese precio. El bloqueo activo contra Reality es a la capa de reputación de IP, lo que atrapa algunos despliegues pero no todos.
¿Por qué reenviar a Microsoft en lugar de usar tu propio dominio?
Si usáramos un dominio controlado por Fexyn como target de camuflaje, cada conexión iría a una IP Fexyn. Un censor notaría el patrón: usuarios residenciales conectándose a fexyn-algo.com es un cliente VPN reconocible. Usar un sitio público real significa que nuestras conexiones se mezclan con los millones de conexiones legítimas a ese sitio cada día.
¿Cómo es esto distinto de los modos "stealth" u "ofuscados" de NordVPN, ExpressVPN, ProtonVPN?
Esos modos envuelven WireGuard u OpenVPN en padding tipo-TLS. El wrapper hace que el tráfico parezca con forma TLS pero no es un handshake TLS real: no hay certificado real ni sitio target real. El DPI en Rusia, Irán, y varios otros mercados ha estado pattern-matcheando ese estilo de ofuscación desde 2023. Reality es estructuralmente distinto: no hay wrapper, el handshake es real.
¿Necesito configurar Reality yo mismo?
No en Fexyn. Firmá, instalá la app, conectate. La app elige el protocolo correcto para tu red. En mercados pesados en censura, pinea Stealth en configuración para saltear la auto-detección.
¿Qué hay sobre Hysteria, NaiveProxy, TUIC?
Son todos protocolos interesantes. Hysteria 2 es excelente en redes móviles con pérdida. NaiveProxy usa código de red real de Chrome así tiene indistinguibilidad nivel-navegador. TUIC es un diseño basado en QUIC con propiedades prometedoras. Ninguno tiene la combinación de Reality de (a) TLS real a sitios públicos reales, (b) Vision flow eliminando detección TLS-en-TLS, y (c) huella desplegada lo suficientemente grande como para mezclarse. Los monitoreamos; ahora mismo Reality es la elección más fuerte disponible para los mercados que servimos. Comparación detallada de protocolos acá.
¿Rusia bloqueará Reality después?
Rusia lo está investigando. El presupuesto Roskomnadzor 2026 incluye ~20 mil millones de rublos al año para "infraestructura permanente de censura VPN." Pero el problema arquitectónico es real: Reality no se puede bloquear sin bloquear el host de camuflaje, y los hosts de camuflaje son sitios que Rusia no se puede permitir romper. La respuesta pragmática es que Reality va a seguir funcionando hasta que Rusia esté dispuesta a romper Microsoft y Cloudflare para usuarios ordinarios, lo que no ha estado dispuesta a hacer hasta ahora. Trackeamos la situación y actualizaremos esta página a medida que evolucione.
Si estás en un país donde los protocolos VPN estándar dejan de funcionar, probá Fexyn gratis 7 días. Sin tarjeta requerida. Stealth (VLESS Reality con Vision flow) está incluido en cada plan. Usamos precios Tier 4 (USD 2.99/mes) para Rusia, Pakistán, y varios otros mercados. Facturación sólo en cripto para Rusia; tarjeta o cripto en todos lados.
Leé más: VLESS Reality en Fexyn, Cómo VLESS Reality hace invisible el tráfico VPN para censores, Por qué VLESS Reality le gana a WireGuard en países censurados, Inspección profunda de paquetes explicada, el mapa de censura.