¿Qué es VLESS? Un protocolo construido para resistir censura
VLESS es un protocolo proxy. Mueve tu tráfico del punto A al punto B a través de un túnel encriptado, similar a lo que hacen WireGuard u OpenVPN. La diferencia es en lo que VLESS no hace: no encripta tu tráfico él mismo. Le entrega ese trabajo a TLS y se quita del medio.
Esa decisión de diseño, hecha por un desarrollador conocido como RPRX en 2020, resulta importar mucho si estás tratando de usar internet en China, Rusia o Irán.
El problema VMess
Para entender VLESS, necesitas entender qué vino antes. VMess fue el protocolo original en V2Ray, una plataforma proxy que se volvió popular en la comunidad anti-censura china alrededor de 2018. VMess funcionaba, pero tenía un problema de diseño que se volvió cada vez más doloroso con el tiempo.
VMess encripta tu payload con su propia capa de encriptación. Eso está bien en teoría. Pero también estás corriendo esto dentro de una conexión TLS, porque mandar tráfico VMess no encriptado por internet sería marcado inmediatamente por cualquier sistema DPI. Así que el flujo de data real se ve así:
VMess: [encriptación TLS [encriptación VMess [tu data real]]]
Estás encriptando todo dos veces. La capa VMess es redundante porque TLS ya provee confidencialidad, integridad y autenticación. Estás pagando un costo de rendimiento por cero beneficio de seguridad.
VLESS quita esa encriptación interna:
VLESS: [encriptación TLS [header VLESS [tu data real]]]
El header VLESS es minúsculo, alrededor de 25 a 50 bytes según el tipo de dirección. Compara eso con OpenVPN, que agrega 100+ bytes de overhead por paquete. VLESS confía en TLS para hacer la encriptación (que es muy bueno haciéndolo) y se limita a información de routing: dónde debería ir el tráfico y un UUID para identificar al cliente.
El nombre refleja esto directamente. VLESS significa "VMess Less". Menos overhead, menos complejidad.
Cómo funciona VLESS a nivel protocolo
Una conexión VLESS sigue un flujo directo. No hay handshake multi-ronda, no hay danza de intercambio de llaves. El protocolo asume que TLS ya manejó todo eso para cuando el tráfico VLESS empieza a fluir.
Aquí está lo que pasa cuando te conectas:
El cliente abre una conexión TLS al servidor. Este es un handshake TLS 1.3 estándar, idéntico a lo que hace tu navegador cuando visitas cualquier sitio HTTPS. Nada al respecto lo identifica como tráfico VPN.
Una vez establecido TLS, el cliente manda el header de solicitud VLESS:
Versión (1 byte) | UUID (16 bytes) | Longitud Addons | Comando | Dirección
El byte de versión siempre es 0 en la spec actual. El UUID es tu token de autenticación, un secreto compartido entre cliente y servidor. El comando usualmente es 0x01 para proxy TCP o 0x02 para UDP. Luego viene la dirección de destino, que le dice al servidor a dónde reenviar tu tráfico.
El servidor valida el UUID, conecta al destino solicitado y empieza a hacer proxy de la data. No hay header de respuesta en el caso de éxito. La data simplemente empieza a fluir. Esto es intencional: menos bytes en el cable significa menos para fingerprintear.
Algo que sorprende a la gente que viene de protocolos VPN tradicionales: VLESS no tiene encriptación incorporada, no tiene checks de integridad en su propio header, no tiene protección de replay en la capa VLESS. Todo eso lo maneja TLS. Si de alguna forma corrieras VLESS sin TLS (no lo hagas), tu UUID sería transmitido en plaintext y cualquiera podría secuestrar la sesión. El protocolo sólo tiene sentido dentro de un túnel TLS.
El fork de XRay y dónde vive VLESS
VLESS fue creado por RPRX, quien también desarrolló la tecnología XTLS que hace posible Reality. En noviembre de 2020, RPRX forkeó V2Ray para crear XRay-core después de una disputa de licenciamiento sobre XTLS. Los mantenedores de V2Ray tenían preocupaciones sobre la licencia de XTLS; RPRX quería moverse más rápido y sacar XTLS bajo términos que él controlara. Así XRay se volvió su propio proyecto.
El fork no fue exactamente hostil, pero dividió a la comunidad. V2Ray continuó desarrollándose por separado, eventualmente agregando su propia implementación de VLESS. XRay se movió más rápido en innovación de protocolo. Hoy, cuando la gente habla de VLESS en la práctica, casi siempre se refiere a la implementación de XRay.
XRay-core tiene más de 35,900 estrellas en GitHub y 208 contribuidores. Es una de las herramientas anti-censura más activamente mantenidas en el mundo, aunque casi todo el desarrollo y discusión pasa en chino. La documentación en inglés existe pero frecuentemente está incompleta o desactualizada. Si quieres entender qué hace realmente una función particular de XRay, usualmente terminas leyendo el código fuente Go. Hemos pasado mucho tiempo leyendo ese código fuente.
No hay RFC para VLESS, no hay proceso de estandarización IETF, no hay documento de especificación formal. El protocolo está definido por su implementación. Esto molesta a algunas personas, particularmente a las con background en diseño de protocolo donde una spec viene primero y las implementaciones siguen. No molesta a los usuarios en Shanghái que necesitan que funcione mañana.
Reality: la extensión que cambia todo
VLESS por sí solo es un protocolo proxy limpio y minimalista. VLESS con Reality es algo completamente distinto.
Reality fue introducido en XRay-core v1.8.0 a inicios de 2023, y resolvió un problema que aquejaba a cada herramienta anti-censura previa: el certificado TLS del servidor.
Con proxies TLS tradicionales, tu servidor necesita un certificado. Puedes obtener uno de Let's Encrypt, pero ahora el dominio está registrado a tu nombre. Un censor puede escanear todas las direcciones IP, encontrar servidores con ciertas características de certificado y bloquearlos. Peor, pueden hacer sondeo activo: conectarse a tu servidor, revisar el certificado, y si no coincide con un sitio web real, marcar la IP.
Reality voltea esto. Tu servidor no tiene su propio certificado. En cambio, presta el certificado TLS de un sitio web real, como www.microsoft.com. Cuando un censor sondea tu servidor, obtiene un certificado legítimo de Microsoft y contenido real de Microsoft. Sólo los clientes con la llave privada de Reality correcta pueden establecer el túnel proxy real.
Escribimos un análisis detallado de cómo funciona la autenticación TLS de Reality en nuestro deep dive de Reality. La versión corta: es la cosa más cercana a indetectable que existe en producción hoy.
Dónde se usa realmente VLESS
VLESS es popular en exactamente los lugares que esperarías: países donde el gobierno bloquea activamente tráfico VPN.
China tiene la historia más larga con el ecosistema V2Ray/XRay. El equipo del Great Firewall y la comunidad anti-censura han estado en una carrera armamentista por años. VMess, Shadowsocks, Trojan y varios otros protocolos han sido detectados y bloqueados en distintos momentos. VLESS con Reality es el estado del arte actual del lado anti-censura. Funciona. Por ahora.
Rusia escaló agresivamente en 2025. Para febrero de 2026, Rusia había bloqueado 469 servicios VPN. En diciembre de 2025, Roskomnadzor empezó a apuntar a VLESS específicamente, lo que te dice algo sobre lo efectivo que se había vuelto. El sistema DPI ruso (TSPU) es sofisticado, pero el diseño de Reality hace la detección extremadamente difícil sin bloquear todo el tráfico TLS a sitios web mayores, lo que rompería la mitad de internet.
Irán bloquea tráfico VPN durante disturbios políticos, lo que es frecuente. VLESS Reality ha sido una de las formas más confiables de mantener conectividad durante apagones de internet, aunque la infraestructura de filtrado de Irán es técnicamente menos avanzada que la de China o Rusia.
El patrón en los tres países es el mismo: los protocolos VPN tradicionales son detectados en minutos u horas, mientras VLESS con Reality continúa funcionando porque los censores no pueden distinguirlo del tráfico HTTPS regular sin romper sitios web legítimos.
La mayoría de los usuarios de VLESS son individuos corriendo sus propios servidores. Rentas un VPS fuera del país, instalas XRay, configuras VLESS con Reality y compartes los detalles de conexión con la gente que los necesita. Este modelo de base es cómo millones de personas en países censurados acceden al internet abierto.
Por qué NordVPN no ofrece VLESS
Aquí va una pregunta honesta: si VLESS es tan efectivo, ¿por qué los principales proveedores de VPN no lo usan?
Ninguno lo hace. Ni NordVPN, ni ExpressVPN, ni Surfshark, ni ProtonVPN. Un par de proveedores pequeños (Trust.Zone, Octohide) han agregado soporte VLESS, pero son nicho.
Hay razones reales para esto, no sólo ignorancia.
El ecosistema XRay está casi enteramente documentado en chino. La base de código está en Go, bien estructurada pero con comentarios chinos y decisiones de diseño que reflejan el contexto de censura china específicamente. Integrar XRay en un producto VPN comercial requiere alguien que entienda profundamente tanto los internals de XRay como la arquitectura VPN de producción. Esa es una pequeña intersección en la industria.
También hay un cálculo de negocio. Los clientes de NordVPN están mayormente en países occidentales donde WireGuard funciona bien. Invertir tiempo de ingeniería en VLESS sirve a un segmento de mercado (usuarios en países censurados) que es más difícil de monetizar y carga riesgo regulatorio. Desde una perspectiva puramente de negocio, tiene sentido saltarlo.
Y luego está la complejidad de integración. VLESS con Reality no es un reemplazo drop-in para WireGuard. Requiere una interfaz TUN, un proxy en userspace (como tun2socks), manejo cuidadoso de DNS y configuración de routing específica de plataforma. Sólo en Windows, hacer que todo esto funcione confiablemente sin filtrar DNS o soltar paquetes nos tomó semanas de debugging. Las características de rendimiento son distintas a WireGuard también, así que necesitas gestión de conexión consciente del protocolo.
Cómo usamos VLESS en Fexyn
Corremos VLESS Reality con el flujo Vision (xtls-rprx-vision) como uno de tres protocolos en Fexyn VPN, junto a WireGuard y OpenVPN. Esto no es una función de checkbox. Fexyn Stealth se envía con el mismo pipeline de verificación que Bolt (WireGuard) y Secure (OpenVPN).
En nuestros servidores VPN, XRay-core corre con inbounds VLESS en dos transportes: TCP (puerto 443) con Reality, y XHTTP (puerto 8444) también con Reality. El transporte TCP es la ruta primaria. XHTTP es un transporte más nuevo que puede tunelear por CDN si la ruta TCP está bloqueada.
En el lado del cliente, corremos XRay-core localmente, conectado a una interfaz TUN Wintun por tun2socks. Todo el tráfico del sistema rutea por el túnel. El cliente provee credenciales desde nuestra API, escribe una config local de XRay y empieza la conexión. Si la conexión VLESS falla (o si el usuario está en una red donde no es necesaria), el cliente puede caer automáticamente a WireGuard para mejor rendimiento.
Verificamos cada conexión VLESS de la misma forma que verificamos WireGuard y OpenVPN: chequeo de IP pública, validación de traceroute y ping vinculado a interfaz. Si el tráfico no está realmente fluyendo por el túnel, la conexión se marca como fallida.
El protocolo agrega overhead mínimo. Los costos del header VLESS son 25 a 50 bytes por paquete. TLS 1.3 agrega su propio overhead, pero como estarías usando TLS de todos modos para resistencia a censura, el costo neto de elegir VLESS sobre un protocolo con su propia capa de encriptación es en realidad negativo.
¿Debería importarte VLESS?
Si estás en un país con acceso a internet sin restricciones y sólo quieres una VPN rápida, WireGuard es el mejor protocolo. Es más rápido, corre en kernel space, tiene una prueba formal de seguridad y su base de código es lo suficientemente pequeña como para que una persona pueda auditarla en un fin de semana. Usa WireGuard. Es genial.
Si estás en un país donde el gobierno bloquea tráfico VPN, o si estás en una red que hace inspección profunda de paquetes (esto incluye algunas redes corporativas y universidades), VLESS con Reality es la mejor opción disponible hoy. Tu tráfico parece una conexión HTTPS normal a microsoft.com. Ningún sistema DPI desplegado actualmente puede distinguirlo confiablemente de navegación web real.
Si estás en algún punto intermedio, una VPN que soporte ambos protocolos y pueda cambiar automáticamente vale la pena tener. Las condiciones de red cambian. Un Wi-Fi de hotel que funciona bien con WireGuard hoy puede correr DPI mañana.
VLESS no es una bala de plata. Los intentos de Rusia de bloquearlo muestran que los censores están estudiando activamente el protocolo. La extensión Reality hace la detección mucho más difícil, pero la carrera armamentista continúa. Lo que importa es que VLESS existe, funciona y le da a la gente en algunos de los países más censurados de la tierra una forma de alcanzar el internet abierto.
Eso vale la pena construir.
Fexyn VPN incluye VLESS Reality con el flujo Vision junto a WireGuard y OpenVPN, con cambio automático de protocolo. Para una comparación cara a cara con otro proveedor sin evasión DPI, mira Fexyn vs Mullvad. Mullvad es excelente en privacidad pero no envía un protocolo clase Reality. Puedes revisar planes en nuestra página de precios.