🌙 LATE NIGHT MODE ACTIVATED — THE CLOWN IS WATCHING 🌙
InicioRecursosProtocolos → Ofuscación

Ofuscación de VPN
explicada.

Una técnica para disfrazar el tráfico VPN de modo que parezca HTTPS normal. Importante si estás en una jurisdicción que bloquea VPNs. Innecesaria si no.

⚠️ De entrada

Esta página es educativa. ClownVPN NO lleva features de ofuscación, y no posicionamos el producto para uso en jurisdicciones que restringen VPNs. Para usuarios que de verdad necesitan evadir el bloqueo de VPN, mira las recomendaciones cerca del final de este artículo — Tor con pluggable transports y proveedores especializados en sortear la censura son las herramientas correctas.

El problema que resuelve la ofuscación

El tráfico VPN — aunque su contenido esté cifrado — tiene características identificables:

  • Tamaños de paquete distintivos. Los paquetes de handshake de WireGuard tienen estructuras específicas.
  • Timing predecible. Los VPN mandan paquetes keepalive a intervalos regulares.
  • Números de puerto conocidos. WireGuard suele usar UDP 51820, OpenVPN suele usar UDP 1194 o TCP 443.
  • Fingerprints de protocolo. La estructura criptográfica del handshake puede identificarse incluso cifrada.

Un operador de red que corra deep packet inspection (DPI) puede reconocer "esto es tráfico VPN" incluso sin ver el contenido. Si la política del operador es bloquear el uso de VPN, puede tirar o hacer throttling a ese tráfico.

Esto afecta a usuarios en países con bloqueo de VPN a nivel nacional (China, Rusia, Irán, Turkmenistán, etc.) y algunas redes corporativas o institucionales restrictivas.

Cómo funciona la ofuscación

El objetivo: hacer el tráfico VPN indistinguible del tráfico HTTPS regular a nivel DPI. Existen varias técnicas:

Stunnel / OpenVPN-sobre-TLS

El tráfico OpenVPN se envuelve en una capa TLS adicional en el puerto TCP 443. En el cable, parece idéntico al tráfico HTTPS normal. El DPI ve solo "un handshake TLS a un servidor, seguido de datos cifrados". Bloquear esto requeriría bloquear todo HTTPS, que la mayoría de operadores no harán.

Lento por las múltiples capas de cifrado y el problema de TCP-sobre-TCP, pero efectivo contra DPI simple.

Shadowsocks / obfs4

Desarrollados originalmente para uso en jurisdicciones con mucha censura, estos protocolos envuelven tráfico tipo VPN de formas que no coinciden con ninguna firma de protocolo conocida. obfs4 (usado como pluggable transport de Tor) añade padding aleatorio y variación de timing. Shadowsocks parece tráfico SOCKS cifrado genérico.

Estos son más efectivos contra DPI sofisticado pero requieren soporte específico de cliente y servidor.

Domain fronting

El handshake TLS va a un CDN de terceros (Cloudflare, Google, Amazon CloudFront) pero el destino real es el VPN/proxy. Para bloquear esto, un operador tendría que bloquear todo el CDN — lo que puede ser política y económicamente caro.

Los grandes proveedores cloud han deshabilitado mayormente el domain fronting (Google en 2018, AWS en 2018), aunque algunos aún lo soportan en contextos limitados.

Meek / Snowflake

Ofuscación específica de Tor. Meek tuneliza el tráfico de Tor por conexiones HTTPS de CDN. Snowflake usa conexiones WebRTC efímeras a proxies voluntarios, haciendo que cada conexión parezca una videollamada a una IP al azar.

Ambos diseñados para entornos de alta censura. Snowflake ha sido particularmente efectivo para sostener el acceso durante recientes restricciones en Irán y Rusia.

Por qué esto es una feature de circumvención

Los mecanismos de arriba están diseñados para derrotar la aplicación de políticas a nivel red. Son herramientas para evadir censura, vigilancia, o restricciones impuestas por operadores de red (que pueden incluir gobiernos nacionales, ISPs operando bajo dirección gubernamental, IT corporativo, etc.).

Esto es bastante distinto de los casos de uso típicos de VPN. Un VPN para privacidad y seguridad opera de forma legal y abierta — no hay necesidad de disfrazar su presencia. Un VPN para sortear la censura opera en tensión con los marcos legales o de política, de ahí la necesidad de ofuscación.

El posicionamiento de ClownVPN

Somos una herramienta de privacidad y seguridad para usuarios en jurisdicciones donde el uso de VPN es legal y no está bloqueado. No llevamos features de ofuscación por varias razones:

  • Desajuste de público. Nuestros usuarios objetivo están en EE. UU., UE, Reino Unido, Canadá, Australia, Japón, y similares — sitios donde los protocolos VPN estándar funcionan sin disfraz.
  • Coste de infraestructura. La ofuscación requiere servidores especializados (a menudo en jurisdicciones en las que no operamos) y mantenimiento continuo para ir por delante de las técnicas de DPI en evolución.
  • Postura de cumplimiento. Comercializar una herramienta para sortear restricciones nacionales crea consideraciones legales y operativas distintas a las que estamos preparados.

Si necesitas ofuscación, somos honestos en que no somos el producto correcto.

Qué deberías usar si necesitas esto

Tor con pluggable transports

La opción más robusta para entornos de alta censura. Tor Browser tiene soporte de bridges integrado, incluyendo obfs4 y Snowflake. Gratis, soportado por la I+D continua del Proyecto Tor contra la censura.

Trade-offs: más lento que un VPN (3 hops), rompe algunos sitios (los CAPTCHAs asumen que los usuarios de Tor son bots).

Proveedores VPN enfocados en la censura

  • Mullvad — ha experimentado con features de ofuscación y configuraciones de servidor tipo bridge.
  • Lantern — diseñado específicamente para sortear la censura, con tier gratis disponible.
  • Psiphon — sin ánimo de lucro, enfocado en la circumvención, gratis.
  • ExpressVPN — usa ofuscación por defecto en algunas configuraciones; no anunciado de forma prominente pero efectivo en muchas regiones restringidas.

Shadowsocks / V2Ray / Xray

Protocolos auto-alojados diseñados para la circumvención. Requieren montaje técnico pero ofrecen fuerte evasión de DPI. Comunes en la comunidad de la diáspora china para acceder al internet global.

Lectura relacionada

🎪 Preguntas frecuentes

¿Qué hace de verdad la ofuscación de VPN?
Hace que el tráfico VPN parezca tráfico HTTPS normal para que los sistemas de deep packet inspection (DPI) no puedan identificarlo como tráfico VPN. Sin ofuscación, un operador de red que use DPI puede detectar 'esto es tráfico WireGuard / OpenVPN' por las cabeceras y patrones de paquete aunque el contenido esté cifrado. Con ofuscación, el tráfico parece navegación web regular, haciéndolo más difícil de bloquear selectivamente.
¿Quién necesita de verdad ofuscación?
Mayormente gente en jurisdicciones que bloquean o restringen activamente el uso de VPN — China (Gran Cortafuegos), Irán, Rusia, Turkmenistán, Bielorrusia, y entornos similares. También útil en algunos entornos corporativos con DPI agresivo. Para usuarios en EE. UU., UE, Canadá, Australia, Japón, y la mayoría de otros sitios, la ofuscación es innecesaria — los VPN no se bloquean a nivel red y no necesitan esconder su firma de protocolo.
¿La ofuscación es lo mismo que un modo 'stealth' o 'stealth VPN'?
Mismo concepto, distinto nombre. Varios proveedores usan distinto branding — NordVPN tiene 'Servidores Ofuscados', Surfshark tiene 'Modo Camuflaje', VyprVPN tiene 'Chameleon', ExpressVPN no lo expone como feature con nombre pero usa ofuscación por defecto en algunas configuraciones. Por debajo son todas variaciones de la misma idea: envolver el tráfico VPN de forma que disfrace su firma de protocolo.
¿Por qué ClownVPN no ofrece ofuscación?
Nuestro posicionamiento es privacidad y seguridad para usuarios en jurisdicciones donde el uso de VPN es legal y no está bloqueado. La ofuscación es principalmente una herramienta para sortear restricciones de red a nivel nacional — esa es una categoría de producto distinta que sirve a una población de usuarios distinta (a menudo de mayor riesgo y que requiere infraestructura especializada). Añadir ofuscación entraría en conflicto con el público y los casos de uso que servimos. Si la necesitas, Tor con bridges o proveedores especializados en sortear la censura están mejor preparados.
¿Cuál es la diferencia entre ofuscación y los bridges de Tor?
Los bridges de Tor son un mecanismo de ofuscación específico para Tor — son nodos de entrada no listados que no aparecen en las listas públicas de Tor, haciéndolos más difíciles de bloquear. Algunos bridges usan 'pluggable transports' (obfs4, meek, snowflake) que disfrazan el propio tráfico de Tor. Para ofuscación no-Tor, hablas de implementaciones específicas de VPN (típicamente envolviendo el tráfico OpenVPN en TLS que parece HTTPS). Los bridges de Tor + pluggable transports se consideran en general más robustos contra censores sofisticados que la ofuscación de VPN, pero más lentos.

🎪 Caso de uso distinto

Estamos hechos para privacidad en jurisdicciones legales. Para circumvención, ver arriba.

🤖 Descargar la app gratis