Qué es el sondeo activo

El sondeo activo es una técnica de detección de censura. En lugar de solo analizar tráfico de forma pasiva (que es lo que hacen deep packet inspection y el análisis de entropía), la infraestructura del censor conecta a servidores proxy sospechosos y compara la respuesta del servidor contra lo que devolvería un servicio legítimo. Si la respuesta difiere, la IP se agrega a la lista de bloqueo.

El Gran Firewall de China ha estado haciendo esto desde al menos 2012. Irán, Rusia y Pakistán han desplegado todos capacidades similares en niveles variables.

Cómo funciona el sondeo activo

Cuando la infraestructura del censor ve una conexión que podría ser un proxy — basándose en patrones de tráfico, reputación de IP, u otras señales pasivas — despacha su propia conexión al mismo destino, frecuentemente dentro de minutos:

1. El censor ve una conexión de un usuario residencial a la IP 1.2.3.4 en el puerto 443.
2. La infraestructura del censor conecta a 1.2.3.4:443 ella misma.
3. La infraestructura envía una solicitud que un servicio web legítimo manejaría (un TLS ClientHello, un HTTP/1.1 GET, etc.).
4. Registra la respuesta.
5. La respuesta se compara contra lo que un servicio legítimo habría devuelto.

Si el servidor sospechoso devuelve algo inconsistente con un servicio real — cadena de certificados equivocada, headers de respuesta HTTP equivocados, huella de software de servidor equivocada, sin respuesta del todo a ciertos tipos de sondeo — la IP se agrega a la lista de bloqueo del censor.

Qué atrapa el sondeo activo

Varias categorías de proxy:

Despliegues Trojan. Trojan hace un handshake TLS real pero usa un certificado auto-emitido (Let's Encrypt o auto-firmado). El probador activo compara el certificado contra los registros de Certificate Transparency para el dominio reclamado. Si el cert no es lo que CT dice sobre ese dominio, el servidor es marcado.

Servidores corriendo software proxy conocido. Muchas implementaciones proxy tienen patrones de respuesta HTTP detectables cuando se sondean con solicitudes no estándar. Shadowsocks, V2Ray, e implementaciones más antiguas han sido atrapadas de esta manera.

Servidores que fallan en responder como servicios web reales. Un servidor web real devuelve una página de error para solicitudes inválidas, o redirige a HTTPS para HTTP, o tiene headers específicos. Los proxies que no implementan estos comportamientos resaltan.

Servidores que auto-desconectan probadores no autenticados. Si el servidor sospechoso cierra inmediatamente las conexiones que no se autentican, eso es en sí una señal de que el servidor espera clientes autenticados — es decir, es un proxy.

Cómo VLESS Reality derrota el sondeo activo

VLESS Reality con el flow Vision es estructuralmente resistente al sondeo activo. El truco: cuando una conexión no autenticada llega a un servidor Reality, el servidor enruta de forma transparente la conexión al sitio público real del que se está camuflando.

El flujo:

1. El probador activo conecta al servidor Reality.
2. El probador no está autenticado (no tiene el shortId ni las claves X25519).
3. El servidor Reality enruta de forma transparente la conexión del probador hacia, digamos, microsoft.com.
4. El probador obtiene una respuesta del servidor real de Microsoft.
5. El certificado es real. Los headers son reales. El comportamiento es real.
6. No hay inconsistencia que detectar porque la respuesta ES la respuesta real de Microsoft.

Lo único que distingue a un cliente Reality de un usuario real de Microsoft es el shortId cifrado oculto dentro de la extensión TLS key-share — invisible para el probador activo. El sondeo activo no tiene nada que marcar.

Qué todavía funciona contra Reality

El sondeo activo en sentido estricto — conectar, comparar respuesta — no atrapa a Reality. Dos ataques adyacentes permanecen como amenazas parciales:

Análisis de reputación de IP. Notar que una IP residencial repetidamente abre conexiones TLS de larga duración a un VPS específico que también enruta a Microsoft, y tratar ese patrón como sospechoso. Esto atrapa algunos despliegues de Reality pero es caro de operar a escala y produce falsos positivos.

Análisis de tráfico conductual. Un usuario generando conexiones sostenidas a Microsoft por horas cada día a alto throughput es un patrón conductual que no coincide con el comportamiento típico de usuario de Microsoft. Este tipo de análisis requiere cómputo significativo y produce muchos falsos positivos, por lo que no se despliega a escala todavía.

Para la mayoría de usuarios en mercados con DPI activo en 2026, Reality + Vision más una higiene razonable de pool de IP es suficiente. La tasa de detección contra Reality bien desplegado está por debajo del 5% según reportes de la comunidad.

Por qué el sondeo activo es difícil de derrotar en general

Los censores establecen las reglas del juego. El censor decide qué es un servicio "legítimo" y qué no. Cualquier proxy que no imita perfectamente un servicio legítimo tiene alguna señal que lo distingue. La única manera de derrotar completamente el sondeo activo es SER un servicio legítimo para cualquier solicitud no autenticada — que es lo que Reality hace al enrutar de forma transparente al sitio real.

Esto también es por qué los enfoques de "obfuscación" construidos sobre WireGuard u OpenVPN no sobreviven al sondeo activo sofisticado. Hacen que el tráfico parezca tipo HTTPS pero la respuesta del servidor al sondeo activo no es la respuesta de un servicio web real. El wrapper pasa una mirada pasiva; falla el sondeo activo.

Prueba Fexyn gratis por 7 días — Stealth (VLESS Reality con Vision) en todos los planes; derrota el sondeo activo siendo estructuralmente indistinguible de HTTPS real hacia el host de camuflaje.