Fexyn
Fexyn

Glosario

Qué es Shadowsocks

Un proxy estilo SOCKS5 con cifrado de stream, creado en 2012 para evadir el Gran Firewall de China. Predecesor de VLESS Reality y otros protocolos modernos de evasión de censura.

Shadowsocks es un proxy de evasión de censura creado en 2012 por un desarrollador chino que usaba el handle "clowwindy". Su propósito era específico: evadir el Gran Firewall de China, que para ese punto estaba bloqueando confiablemente los protocolos VPN estándar.

El diseño es simple. Shadowsocks es un proxy estilo SOCKS5 con todo el stream cifrado usando un cifrado simétrico. No hay handshake TLS, ni camuflaje de servidor falso, ni resistencia al sondeo activo. Toda la defensa es que los bytes cifrados parecen más aleatorios que un protocolo VPN estructurado, lo que los hace algo más difíciles de identificar por huella para el deep packet inspection.

Cómo funciona Shadowsocks

Un servidor Shadowsocks escucha en un puerto TCP. Los clientes abren una conexión, se autentican con una clave pre-compartida, y tunelizan solicitudes SOCKS5 a través del stream cifrado.

El Shadowsocks original usaba cifrados chacha20-ietf o aes-256-cfb. Estos fueron superados alrededor de 2018 por variantes AEAD — chacha20-ietf-poly1305 y aes-256-gcm — que agregan autenticación para prevenir ataques de manipulación activa.

No hay envoltura TLS alrededor del stream. No hay certificado. No hay sitio objetivo falso. Los bytes cifrados fluyen sobre TCP plano desde el primer paquete.

Por qué funcionó, luego dejó de funcionar

Por varios años (aproximadamente 2012-2017), Shadowsocks funcionó confiablemente contra el Gran Firewall. La razón: la detección del GFW en ese momento dependía mayormente del fingerprinting de protocolo (reconocer headers de protocolo específicos), no del análisis de entropía. El stream cifrado de Shadowsocks no tenía header reconocible que cotejar.

Lo que cambió: el GFW agregó análisis de entropía alrededor de 2017-2018. Los bytes aleatorios cifrados son fáciles de identificar. El tráfico HTTPS real tiene entropía mixta — un handshake TLS estructurado al inicio, luego datos de aplicación cifrados con tamaños de registro característicos. Los streams Shadowsocks tienen alta entropía desde el primer paquete y sin handshake precedente. Para un clasificador estadístico, ese patrón es conspicuo.

Para 2026, el Gran Firewall y el TSPU de Rusia ambos detectan Shadowsocks (incluyendo variantes AEAD) con 30-60% de precisión según pruebas de la comunidad. Sigue funcionando en entornos ligeramente filtrados; no funciona confiablemente en mercados con DPI fuerte.

Variantes y plugins

Varias variantes de Shadowsocks intentaron abordar el problema de detección por entropía:

  • simple-obfs y obfs-tls — plugins que envuelven el tráfico Shadowsocks en framing tipo TLS. Mejor que Shadowsocks plano pero todavía detectable, porque el framing TLS es falso (sin handshake real hacia un sitio real).
  • v2ray-plugin — envuelve Shadowsocks en WebSocket-sobre-TLS hacia un dominio real. Más resistente; requiere operar un sitio web que parezca real detrás del proxy.
  • shadow-tls — un descendiente de Shadowsocks que realiza un handshake TLS real, similar en espíritu a Reality. Menos maduro que Reality pero arquitectónicamente más fuerte que Shadowsocks plano.

Estas variantes retrasaron el final de vida útil efectivo de Shadowsocks pero no detuvieron la tendencia. Los protocolos que manejan el DPI moderno son VLESS Reality y NaiveProxy, ambos estructuralmente diferentes de Shadowsocks.

Por qué todavía importa

Shadowsocks sigue siendo históricamente importante y pedagógicamente útil:

  • El plano original. El diseño de Shadowsocks — proxy de stream cifrado, auth simple basada en clave, foco en la forma del tráfico en lugar del handshake — es la plantilla de la que V2Ray, Trojan y Reality todos evolucionaron.
  • Ecosistema de self-hosters. Una gran comunidad corre despliegues self-hosted de Shadowsocks. Las herramientas (clientes en cada plataforma, documentación clara, baja complejidad operativa) son maduras.
  • Más liviano que Reality. En países sin DPI activo, Shadowsocks es más simple de desplegar y más liviano en CPU que Reality.

Cuándo usarlo (y cuándo no)

Usa Shadowsocks si:

  • Estás haciendo self-host y la simplicidad operativa importa más que la resistencia DPI
  • Estás en un país sin filtrado activo de protocolos VPN (la mayoría de Europa, Norteamérica, partes de Latinoamérica, mucho del África subsahariana)
  • Tienes un despliegue Shadowsocks existente y el costo de cambiar es real

No uses Shadowsocks si:

  • Estás en Rusia, China, Irán, Pakistán, Emiratos, u otro país con DPI activo en 2026 — las tasas de detección son demasiado altas
  • Estás buscando una VPN comercial — la mayoría de los proveedores VPN han avanzado más allá de Shadowsocks; los que todavía lo empujan lo hacen porque no han invertido en protocolos más nuevos

Para los mercados en los que Fexyn se enfoca, VLESS Reality con el flow Vision es la respuesta correcta en 2026. Shadowsocks es el protocolo al que Reality fue construido para suceder.

Lee más: Guía del protocolo VLESS Reality, Protocolos de evasión de censura comparados, VLESS vs Shadowsocks.

Términos relacionados

Prueba Fexyn gratis por 7 días

App para Windows disponible ahora en Beta. WireGuard, VLESS Reality y OpenVPN, sin registros de historial de navegación, consultas DNS ni contenido del tráfico.

Ver precios
Qué es Shadowsocks | Fexyn VPN