Protocolos VPN comparados
Los protocolos VPN no son intercambiables. Cada uno optimiza algo distinto — usualmente cambiando velocidad por overhead de encriptación, o al revés. La mayoría de las reseñas de VPN para consumidores aplastan esto en "WireGuard el más rápido, OpenVPN el más compatible" y se detienen ahí, dejando fuera los protocolos que realmente importan cuando cruzas una frontera de censura.
Aquí va la versión honesta, escrita para alguien que está eligiendo qué correr en serio.
Comparación rápida
| Protocolo | Velocidad | Seguridad | Resistencia a censura | Configuración |
|---|---|---|---|---|
| WireGuard | Excelente | Fuerte, analizado formalmente | Pobre (firma reconocible) | Fácil |
| OpenVPN | Moderada | Fuerte, muy madura | Pobre por defecto; mejor con obfs | Fácil |
| VLESS Reality (XRay) | Buena | Fuerte | Excelente (handshake TLS real) | Difícil si lo auto-hospedas |
| IPSec/IKEv2 | Muy buena | Fuerte (grado NSA) | Pobre (firma muy conocida) | Fácil en móvil |
| Shadowsocks | Buena | Adecuada | Moderada (patrones reconocibles ahora) | Difícil si lo auto-hospedas |
Si estás en una red libre, WireGuard es la respuesta por defecto. Si estás detrás de DPI en un país que ataca a las VPN, VLESS Reality con el flujo Vision es el único protocolo en esta lista que es seriamente difícil de detectar.
WireGuard
El default para cualquier nuevo despliegue VPN en 2024+. Como 4,000 líneas de código core, analizado formalmente, encriptación ChaCha20-Poly1305, intercambio de llaves Curve25519, hashing BLAKE2s. El routing por cryptokey sin estado significa que no hay tabla de sesión que mantener. El handshake son dos round-trips y la ruta de datos es ajustada.
En la práctica esto significa baja latencia, bajo CPU tanto en cliente como en servidor, roaming rápido entre redes y un costo de throughput de ~5% en una conexión doméstica típica.
El detalle: el protocolo no intenta ocultarse. Los paquetes WireGuard tienen una forma distintiva — UDP, estructura de header fija, tipos de mensaje 1–4. Un sistema DPI que quiera reconocer WireGuard puede hacerlo barato. Irán y Rusia regularmente bloquean endpoints WireGuard por firma.
Usa WireGuard cuando tu red no sea activamente hostil a las VPN.
OpenVPN
El fallback de compatibilidad. Existe desde 2001. Corre sobre UDP o TCP. Envuelve un canal de control basado en OpenSSL/mbedTLS y un canal de datos separado. TLS 1.3 + ECDSA + AES-256-GCM es la configuración moderna; despliegues más viejos siguen corriendo TLS 1.2 + RSA.
OpenVPN es más lento que WireGuard. El canal de control es más pesado, la ruta de datos involucra más trabajo en userspace y el fallback a TCP agrega head-of-line blocking cuando se pierden paquetes. También es un protocolo reconocible — OpenVPN en TCP/443 es detectable por cualquiera que corra DPI, a pesar de parecer HTTPS a primera vista.
Lo que OpenVPN te da es alcance. Corre sobre TCP/443. Funciona en redes de hotel que bloquean UDP. Corre en routers, NAS, distros de Linux ancestrales, cualquier cosa con un paquete openvpn. Cuando todo lo demás falla, OpenVPN sobre TCP usualmente conecta.
La gran ganancia en despliegues modernos de OpenVPN son los certificados de corta duración. Emitir certs de cliente de 24 horas desde un PKI Vault elimina el problema de revocación de certificados que aquejaba a los PKI de OpenVPN de larga vida.
VLESS Reality
Construido específicamente para derrotar DPI en países censurados. Corre en XRay (un fork de v2ray-core).
El truco: VLESS Reality establece una conexión TLS 1.3 real a un sitio web real y conocido (un "handshake host" como microsoft.com o cloudflare.com). El handshake TLS es genuino; el certificado es el real servido por ese sitio público. Dentro de la sesión establecida, fluye tu data VPN.
Para el DPI mirando el cable, tu conexión luce idéntica a alguien cargando microsoft.com desde un navegador. El censor no puede distinguir tu tráfico de cualquier otra sesión HTTPS al mismo host. Bloquearlo significaría bloquear el handshake host, que el censor probablemente no hará.
Costo: latencia extra del handshake TLS, más CPU en el cliente por la criptografía y costo de throughput ligeramente más alto que WireGuard. Vale la pena cuando WireGuard está bloqueado.
Cómo Fexyn usa VLESS Reality · Por qué VLESS Reality le gana a WireGuard en países censurados.
IPSec / IKEv2
El protocolo que tu SO de teléfono ya habla. macOS, iOS y Windows todos vienen con clientes IKEv2 nativos. AES-256, 3DES (deprecado), HMAC-SHA2. Criptografía fuerte, bien auditada.
La velocidad es buena. La reconexión al cambio de red es excelente — la extensión MOBIKE de IKEv2 es una de las historias más limpias de handover móvil-VPN de cualquier protocolo. Por eso los proveedores móviles lo aman para VPN corporativa.
La resistencia a censura es pobre. IKEv2 usa UDP/500 y UDP/4500 con patrones de handshake extremadamente reconocibles. Cualquier lugar que filtre VPN por firma filtra IKEv2 inmediatamente.
La mayoría de las VPN para consumidores envían IKEv2 porque el SO ya lo soporta, no porque sea el protocolo correcto. Es una conveniencia, no una elección de seguridad.
Shadowsocks
Un proxy encriptado basado en SOCKS5, originalmente construido en China para derrotar al GFW. Single-port, encriptado con stream o ciphers AEAD. Lo suficientemente liviano como para correr en una VPS de 5 dólares.
Por unos años (más o menos 2017–2020) fue la herramienta de evasión DPI por defecto. Después el GFW aprendió sus fingerprints — los patrones de timing, la falta de diversidad en el padding, la distribución de entropía del ciphertext. Para 2023, Shadowsocks vainilla estaba siendo detectado y throttleado en las regiones que importan.
Variantes como ShadowTLS y shadow-tls-v3 parchan esto envolviendo el tráfico en un handshake TLS real — que es estructuralmente similar a lo que hace VLESS Reality, salvo que VLESS Reality parte de un diseño nuevo en vez de adaptar uno viejo.
Usa Shadowsocks si ya lo conoces. Para nuevos despliegues en 2026, VLESS Reality es la mejor elección.
Más sobre la comparación: VLESS vs Shadowsocks.
¿Y Trojan?
Trojan fue un protocolo ingenioso — envolver una conexión SOCKS en TLS que parece un servidor HTTPS, cayendo a una página web real si la contraseña está mal. Diseño inteligente, bien implementado.
Fexyn no envía Trojan. La razón es simple: VLESS Reality cubre el mismo caso de uso (evasión DPI vía TLS real) y se mantiene más activamente. Correr ambos significaría dos protocolos compitiendo por el mismo rol sin ventaja clara en tener ambos.
Cómo elige Fexyn por ti
Fexyn envía tres protocolos y rota entre ellos automáticamente:
- Fexyn Bolt es WireGuard. El default en redes limpias.
- Fexyn Stealth es VLESS Reality con el flujo Vision (xtls-rprx-vision). Para redes restrictivas.
- Fexyn Secure es OpenVPN. El fallback de compatibilidad para las redes más cerradas.
El motor de rotación prueba protocolos en un orden que depende de lo que tu red ha permitido históricamente. No manejas esto a menos que quieras. Fija un protocolo desde la configuración de la app si tienes una razón específica.
No enviamos IKEv2 porque el SO ya lo hace y hacerlo otra vez sería sólo un cliente peor. No enviamos Shadowsocks porque VLESS Reality lo cubre.
Relacionado
- WireGuard en Fexyn
- OpenVPN en Fexyn
- VLESS Reality en Fexyn
- VLESS vs WireGuard
- VLESS vs Shadowsocks
- Inspección profunda de paquetes, explicada
Prueba Fexyn gratis 7 días — los tres protocolos incluidos, con rotación automática.