VLESS vs Shadowsocks
El 20 de abril de 2012, un desarrollador chino bajo el seudónimo "clowwindy" empujó un script Python a GitHub. Dos días después, lo compartió en V2EX, un foro de desarrolladores chino. El proyecto se llamaba Shadowsocks. Era un proxy SOCKS5 encriptado, simple por diseño, y le dio a millones de personas en China una forma de pasar el Great Firewall.
Por tres años, Shadowsocks fue la herramienta más confiable para circunvenir la censura de internet china. Después, el 22 de agosto de 2015, clowwindy fue visitado por la policía y forzado a borrar el repositorio. Su mensaje final de commit: "Espero algún día vivir en un país donde tenga libertad de escribir cualquier código que me guste sin temer."
El proyecto sobrevivió a través de forks. La comunidad lo llevó hacia adelante. Pero el Great Firewall siguió evolucionando también, y para 2024, los métodos de detección que China desplegó contra Shadowsocks se volvieron extremadamente efectivos. No porque Shadowsocks estuviera mal diseñado. Porque el enfoque fundamental de hacer que el tráfico parezca ruido aleatorio resultó tener un techo.
VLESS Reality, lanzado en Xray-core v1.8.0 a principios de 2023, toma un enfoque distinto. En lugar de encriptar tráfico en aleatoriedad, disfraza conexiones VPN como sesiones HTTPS ordinarias a sitios web reales. Esa distinción importa más de lo que parece debería.
Cómo funciona Shadowsocks
Shadowsocks es un proxy encriptado. Tu cliente se conecta a un servidor remoto, y todo el tráfico entre ellos está encriptado usando una clave pre-compartida con cifradores AEAD (típicamente chacha20-ietf-poly1305 o aes-256-gcm). Desde la perspectiva de un observador de red, la conexión es un stream de bytes que se ven como data aleatoria. Sin headers de protocolo, sin patrón de handshake, sin estructura identificable.
Esta era la meta de diseño. Si el tráfico no se ve como nada reconocible, un sistema DPI no puede matchearlo contra una firma de protocolo conocida. En 2012, esto funcionó. El firewall de China estaba primariamente matcheando contra fingerprints de protocolo, y el tráfico que no matcheaba con nada pasaba.
La arquitectura es liviana. Un servidor Shadowsocks es un solo binario con configuración mínima. El ecosistema de clientes es enorme: ShadowsocksR, Clash, Surge, Quantumult, docenas de apps Android e iOS. Para países con censura moderada, como Indonesia, Turquía, o Egipto, Shadowsocks aún funciona confiablemente porque su infraestructura DPI no es lo suficientemente sofisticada para flagearlo.
Pero China no es esos países.
El problema de entropía
Acá la cosa sobre el ruido aleatorio: tiene una firma estadística.
El tráfico HTTPS legítimo tiene estructura. Un handshake TLS 1.3 empieza con un ClientHello conteniendo cipher suites, extensiones, y un server name indication. El servidor responde con certificados, que son estructuras X.509 codificadas en ASN.1. Estos tienen baja entropía en lugares predecibles. Los tamaños de record siguen patrones atados a frameworks web comunes. Aun la data de aplicación encriptada que sigue tiene distribuciones características.
El tráfico Shadowsocks AEAD tiene entropía casi-perfecta desde el primer byte. La ratio de unos a ceros se aproxima 1:1 en cada segmento. No hay headers de baja entropía, ni handshake estructurado, ni intercambio de certificados. Cada byte se ve uniformemente aleatorio.
Esa uniformidad es el problema. En una red real, nada más se ve así. HTTPS no. DNS no. HTTP/2 no. Un stream de bytes con entropía uniformemente alta y sin estructura de protocolo es, paradójicamente, una de las cosas más distintivas que podés mandar por una red.
China lo descifró.
Cómo China detecta Shadowsocks
Investigación publicada en el GFW Report y presentada en IMC 2020 documentó el pipeline de detección de China en detalle. Opera en dos fases.
Fase uno: análisis pasivo. El GFW realiza medición de entropía en el primer paquete de data de cada nueva conexión. Si el payload tiene entropía uniformemente alta y no matchea con la estructura de ningún protocolo conocido (TLS, HTTP, SSH, DNS), la conexión se flagea para active probing. Esto pasa en tiempo real, en routers de backbone, a velocidad de línea.
Fase dos: active probing. Una vez que una conexión se flagea, el GFW despacha probes desde una pool de más de 12,000 direcciones IP. Estos probes mandan siete tipos distintos de tráfico de prueba al servidor Shadowsocks sospechado: handshakes replay-eados, conexiones parciales, requests malformados, y challenges específicos de protocolo. Un servidor Shadowsocks real responde a estos probes de manera distinta que un servicio legítimo lo haría. Un servidor web retorna errores HTTP. Un servidor SSH manda un banner de versión. Un servidor Shadowsocks o desencripta y proxy-ea la basura, o dropea la conexión de un modo que es estadísticamente distinguible de errores normales de protocolo.
La combinación es devastadora. A febrero 2026, Shadowsocks tiene aproximadamente 95% de tasa de detección en redes chinas. En CN2 (el backbone premium de China Telecom), la tasa de éxito para conexiones Shadowsocks es alrededor de 76%, pero ese número cae durante períodos políticamente sensibles cuando el GFW rampea el cumplimiento.
Estos no son números teóricos. Vienen de testeo crowdsourceado a través de múltiples ISPs chinos y puntos de salida.
El enfoque VLESS Reality
VLESS Reality parte de una premisa distinta. En lugar de hacer que el tráfico parezca nada, hacelo parecer algo específico. Algo aburrido. Algo que miles de millones de conexiones parecen cada día.
Cuando un cliente VLESS Reality se conecta a un servidor, realiza un handshake TLS 1.3 real. El servidor alcanza a un sitio web legítimo (el target "dest", frecuentemente algo como www.microsoft.com o www.apple.com) y reenvía el certificado TLS real de ese sitio al cliente. Para cualquier observador de red, la conexión se ve idéntica a una sesión HTTPS normal con Microsoft o Apple. El Server Name Indication matchea. El certificado es genuino. El fingerprint TLS matchea con un navegador real.
La data VPN viaja dentro de esta sesión TLS usando el multiplexing de Xray-core. Desde afuera, es indistinguible de alguien navegando el sitio web de Microsoft.
El active probing falla contra este setup. Si el GFW manda un probe a un servidor VLESS Reality, el servidor responde exactamente como el sitio web destino lo haría, porque está proxeando las respuestas reales del sitio. No hay diferencia de comportamiento que detectar.
El resultado: las conexiones VLESS Reality tienen una tasa de detección por debajo de 5% en redes chinas. La tasa de éxito en rutas CN2 es alrededor de 98%. Ese gap entre 76% y 98% es la diferencia entre un protocolo que funciona a veces y uno que funciona confiablemente.
Frente a frente
Las características de rendimiento cuentan una historia más matizada que las tasas de detección solas.
Resistencia a la detección
Shadowsocks es atrapado por análisis de entropía en el primer paquete. VLESS Reality pasa el análisis de entropía porque su tráfico tiene el mismo perfil estadístico que HTTPS. En redes con DPI básico (la mayor parte del Sudeste Asiático, partes del Medio Oriente), ambos protocolos funcionan bien. En redes con DPI avanzado (China, Irán, cada vez más Rusia), Shadowsocks no es confiable. VLESS Reality funciona.
Latencia
Shadowsocks es más rápido. Una conexión Shanghái-a-Los Ángeles sobre Shadowsocks típicamente muestra latencia de 130-160ms. La misma ruta sobre VLESS Reality corre 160-210ms. La latencia extra viene del overhead del handshake TLS y el paso de reenvío de certificado. Para la mayoría del uso, 30-50ms de latencia adicional no es perceptible. Para gaming competitivo sobre una VPN (lo que, sí, la gente hace desde China), importa.
Enrutamiento CDN
Acá donde la diferencia arquitectónica realmente se muestra. Shadowsocks no puede enrutarse a través de infraestructura CDN. Es una conexión TCP cruda entre cliente y servidor. Si el camino directo entre tu ISP y el servidor está bloqueado o throttleado, estás trabado.
VLESS soporta transports WebSocket y XHTTP, lo que significa que puede viajar a través de Cloudflare, AWS CloudFront, u otros proveedores CDN. Tu tráfico entra al CDN en un nodo edge cercano y sale en el nodo CDN más cercano a tu servidor VPN. El censor ve una conexión a Cloudflare, que hostea millones de sitios web legítimos. Bloquear Cloudflare significa romper la mitad de internet. La mayoría de los gobiernos no van a hacer eso. (Irán brevemente lo intentó en 2022. Lo revirtieron en días.)
Uso de recursos
Shadowsocks es más liviano. Un servidor Shadowsocks puede manejar miles de conexiones concurrentes en un VPS de USD 5/mes. VLESS Reality requiere más CPU para las operaciones TLS y más memoria para estado de conexión. Para operadores corriendo servidores proxy para amigos y familia, Shadowsocks es más barato de hostear. Para un servicio VPN comercial que necesita confiabilidad en entornos de red hostiles, los recursos extra son un costo menor.
Ecosistema de clientes
Shadowsocks ha estado dando vueltas desde 2012. El ecosistema de clientes es masivo. Casi cada proxy manager en cada plataforma lo soporta. Clash, Surge, Quantumult X, v2rayNG, docenas de otros.
El soporte de VLESS Reality es más nuevo pero se está esparciendo. Xray-core es la implementación de referencia. v2rayN, v2rayNG, Nekobox, Hiddify, y Streisand todos lo soportan. El gap se está cerrando, pero Shadowsocks aún tiene compatibilidad de cliente más amplia hoy.
Cuándo usar cuál
La respuesta honesta: depende de dónde estés.
Shadowsocks es la elección correcta cuando tu adversario tiene DPI básico o moderado. Países como Vietnam, Turquía, Indonesia, o Egipto. El setup es más simple, la latencia es más baja, y el overhead de servidor es menor. Si Shadowsocks funciona confiablemente en tu red, no hay razón para usar algo más pesado.
VLESS Reality es la elección correcta cuando estás lidiando con DPI avanzado a nivel estado. China, Irán, Rusia después de 2024, y cualquier red donde las conexiones Shadowsocks están siendo detectadas y muertas. La latencia y complejidad extra valen la pena cuando la alternativa es un protocolo que falla 95% del tiempo.
Algunas redes caen entre medio. En esos casos, tener acceso a ambos protocolos con fallback automático es la respuesta práctica. Probá la opción más rápida primero. Si falla, cambiá a la diseñada para entornos más difíciles.
Qué significa esto para Fexyn
Fexyn VPN incluye VLESS Reality con Vision flow como uno de tres protocolos junto a WireGuard y OpenVPN. Nuestro motor de rotación automática prueba protocolos en secuencia y cae cuando uno está bloqueado. En redes no restringidas, obtenés la velocidad de WireGuard. En redes censuradas, el cliente cambia a VLESS Reality sin intervención manual.
No incluimos Shadowsocks. No porque sea un mal protocolo. Cambió el campo. El trabajo de clowwindy le dio a millones de personas acceso a internet abierto, y la comunidad que llevó el proyecto hacia adelante después de 2015 merece crédito real por eso. Pero para un producto VPN comercial que necesita funcionar confiablemente en los entornos más difíciles, el enfoque de VLESS Reality de parecer tráfico normal en lugar de parecer nada es la fundación más fuerte.
Shadowsocks resolvió el problema de 2012. VLESS Reality con Vision resuelve el problema de 2026. Los censores se volvieron mejores en detección. Los protocolos tuvieron que mantenerse al día. (Para el concepto subyacente de por qué esto importa, ver qué es la resistencia a la censura.)
Si querés entender los detalles técnicos de cómo funciona el reenvío TLS de VLESS Reality, escribimos un desglose completo en VLESS Reality explicado. Para cómo se compara con WireGuard (un trade-off completamente distinto), ver VLESS vs WireGuard. Y para background sobre qué miran realmente los sistemas DPI, esa pieza cubre el lado de detección en profundidad.