WireGuard ganó la discusión sobre los protocolos modernos por ser pequeño, rápido y aburrido en el mejor de los sentidos. Pero nunca se diseñó para esconderse. En las redes que usan inspección profunda de paquetes para encontrar tráfico de VPN, WireGuard simple es uno de los protocolos más fáciles de reconocer — y AmneziaWG es el proyecto que se propuso arreglar exactamente eso, sin renunciar a las cosas que WireGuard hace bien.

Respuesta corta: AmneziaWG es un fork de código abierto de WireGuard que conserva la criptografía y la velocidad, pero disfraza el handshake reconocible del protocolo — con paquetes basura, relleno aleatorio y bytes de cabecera reescritos — para que la inspección profunda de paquetes no pueda emparejarlo con una firma de WireGuard. El mismo túnel por debajo, una silueta distinta en la red.

Puntos clave

  • AmneziaWG es WireGuard más una capa de ofuscación. El cifrado, el modelo de claves y el rendimiento quedan esencialmente sin cambios.
  • WireGuard simple tiene un handshake fijo y reconocible por huella — así es como los censores lo bloquean sin descifrar nada.
  • AmneziaWG rompe la huella: paquetes basura antes del handshake, relleno aleatorio sobre él y valores de cabecera aleatorizados.
  • No es una solución mágica. Las direcciones de servidor bloqueadas, las prohibiciones de UDP y los cortafuegos con lista de permitidos lo detienen de todos modos.
  • En una red común no te aporta nada extra. Importa en redes que cazan activamente protocolos de VPN.

Por qué WireGuard simple es fácil de bloquear

Un censor no necesita romper el cifrado para bloquear una VPN. Solo necesita reconocer el protocolo, y WireGuard se lo pone fácil porque su handshake se ve igual cada vez. El primer paquete de cada sesión de WireGuard es un mensaje UDP de exactamente 148 bytes, y sus primeros cuatro bytes son un campo de tipo de mensaje que siempre marca 1 seguido de tres ceros. La respuesta del servidor es de exactamente 92 bytes, tipo 2. En cada implementación, en cada conexión, en todas partes.

Esa regularidad es maravillosa para los ingenieros y miserable para cualquiera detrás de un cortafuegos nacional. El hardware de inspección empareja el patrón con la forma — los tamaños fijos, los bytes de tipo constantes, el ritmo del intercambio — y descarta la conexión antes de que el túnel termine de establecerse. Todo lo de adentro sigue cifrado; el exterior delata el juego.

Esto no es un descuido. El proyecto WireGuard cita la ofuscación de tráfico como un no-objetivo explícito: el protocolo busca mantenerse mínimo y auditable, y el disfraz se deja a las capas construidas encima. Durante años eso dejó un hueco, porque los países que filtran con más dureza — repasamos cómo Irán, Rusia y China bloquean las VPN — añadieron pronto la firma de WireGuard a sus filtros.

AmneziaWG es una respuesta a ese hueco.

Qué cambia AmneziaWG

AmneziaWG proviene del equipo detrás de Amnezia, un kit de herramientas de código abierto para VPN autoalojadas, y la forma más fácil de entenderlo es como WireGuard usando un disfraz. El fork añade un conjunto de parámetros de configuración que reconfiguran cómo se ve la conexión justo en los momentos en que los sistemas de inspección están mirando:

  • Paquetes basura primero (los parámetros Jc, Jmin, Jmax). Antes del handshake real, el cliente envía una ráfaga de paquetes aleatorios sin sentido de tamaños variados. La conversación ya no abre con un pulcro mensaje de 148 bytes.
  • Relleno aleatorio (S1, S2). La iniciación y la respuesta del handshake reciben bytes extra aleatorios, así que los tamaños de paquete dejan de coincidir con la firma conocida.
  • Cabeceras reescritas (H1–H4). Los cuatro valores fijos de tipo de mensaje que etiquetan cada paquete de WireGuard se reemplazan por valores que ambos extremos acuerdan de antemano. El delator 1, 2, 3, 4 nunca aparece en la red.

Las versiones más nuevas llevan la idea más lejos. La versión 1.5 añadió paquetes de apertura especialmente diseñados que imitan los primeros bytes de otros protocolos, y la línea 2.0 que la siguió en 2026 continúa en esa dirección — la meta pasa de "no parecer WireGuard" a "parecer algo inofensivo".

Dos detalles importan en la práctica. Ambos extremos deben compartir los mismos valores de parámetros: este es un disfraz coordinado, llevado en el archivo de configuración, no algo que el cliente improvisa. Y con cada parámetro de ofuscación puesto en cero, AmneziaWG habla WireGuard simple — lo que te dice qué tan delgada y quirúrgica es en realidad la capa añadida.

Qué se mantiene igual

Bajo el disfraz, el protocolo está intacto. La matemática del handshake, los cifrados modernos, el intercambio de claves — todo heredado directamente de WireGuard en lugar de reinventado. Esa es la decisión correcta: una ofuscación nueva es barata de arruinar y arreglar, mientras que una criptografía nueva es catastrófica de arruinar. Un fork que solo cambia la envoltura conserva el núcleo pequeño y muy revisado de WireGuard.

El rendimiento también aguanta. Los paquetes basura añaden un poco de datos extra cuando arranca la conexión, y después de eso el túnel mueve el tráfico como lo hace WireGuard. Si te importa cómo se comparan los protocolos principales en velocidad y batería, ya hicimos esa comparación en WireGuard vs OpenVPN vs IKEv2 — y AmneziaWG se ubica en la columna de WireGuard, no con las opciones más viejas y pesadas.

Dónde AmneziaWG sigue perdiendo

La ofuscación eleva el costo de bloquearte. No vuelve imposible el bloqueo, y una comparación honesta tiene que decir dónde el disfraz no ayuda:

  • Direcciones bloqueadas. Si un censor ya puso en lista negra la IP de tu servidor, no importa cómo se vean tus paquetes. El disfraz vence a los filtros de protocolo, no a las listas de direcciones.
  • Prohibiciones y limitación de UDP. Algunas redes descartan o estrangulan el tráfico UDP desconocido por completo. AmneziaWG sigue siendo UDP; en esas redes, toman el relevo los túneles que se visten como tráfico web ordinario sobre TCP.
  • Cortafuegos con lista de permitidos. Las redes más estrictas invierten la lógica: solo pasan los protocolos reconocidos. Ahí, el tráfico que parece nada es en sí mismo sospechoso, y los flujos irreconocibles de alta entropía se descartan por principio. Parecer ruido ayuda frente a una lista de bloqueo y perjudica frente a una lista de permitidos.
  • La carrera armamentista. Los censores también miden la temporización de los flujos, los patrones de tamaño de paquete a lo largo del tiempo y cómo responde un servidor sospechoso cuando lo provocan. Cada esquema de ofuscación es un blanco móvil, y por eso los proyectos serios siguen lanzando versiones nuevas.

El encuadre realista: AmneziaWG te vuelve caro de bloquear en redes que filtran por firma de protocolo. Donde el bloqueo funciona por dirección, por transporte o por lista de permitidos, necesitas movimientos distintos — mapeamos todo ese panorama en cómo una VPN evade la censura.

¿De verdad necesitas ofuscación de VPN?

Una pregunta que vale la pena hacerse antes de recurrir a cualquier VPN ofuscada: ¿tu problema es de verdad el bloqueo de protocolo? En una conexión doméstica en la mayoría de los países, WireGuard simple conecta bien, y la ofuscación añade partes móviles sin añadir privacidad — el cifrado es el mismo en ambos casos. La prueba honesta es simple: si una VPN estándar conecta de forma fiable en tu red, no necesitas el disfraz.

La ofuscación se gana su lugar en situaciones específicas: cortafuegos nacionales que toman huella a los protocolos de VPN, proveedores de internet que limitan el tráfico de VPN reconocido, y algunas redes corporativas, de campus o de hotel que bloquean los túneles por política. Si una de esas describe tu semana, el resto de esta comparación es para ti. Si no, la elección del protocolo — cubierta en nuestra comparación principal — importa más que el disfraz.

AmneziaWG en el iPhone

Existen apps oficiales de AmneziaWG, incluido un cliente para iOS. Si rentas un servidor y lo configuras con las herramientas de Amnezia, puedes importar una configuración que lleve los parámetros de ofuscación y listo. Para quien se sienta cómodo administrando un servidor y manteniendo los parámetros sincronizados, es una ruta genuinamente buena — y nuestra comparación Shadowsocks vs VPN cubre las alternativas con forma de proxy en el mismo espíritu de autoalojamiento.

La mayoría de la gente no quiere operar infraestructura para leer internet, ni debería tener que hacerlo. La alternativa práctica es una VPN cuya app aplique la ofuscación por ti, con ambos extremos administrados por el mismo proveedor.

Snap VPN está construida así. El túnel en sí es WireGuard, y encima aplicamos técnicas de ofuscación propias, dándole forma a la conexión para que no presente una firma de VPN de manual ante los sistemas de inspección. Mantenemos deliberadamente los detalles a nivel de red fuera de nuestra documentación — los disfraces publicados son los primeros que se añaden a los filtros — pero el principio es el que demuestra AmneziaWG: conservar la ingeniería de WireGuard, cambiar lo que la red ve. No hay nada que configurar ni cuenta que crear.

Preguntas frecuentes

¿AmneziaWG es lo mismo que WireGuard? Es un fork. La criptografía y el comportamiento del túnel son de WireGuard; lo que cambia es cómo se ven los paquetes en la red — paquetes basura, relleno y cabeceras aleatorizadas reemplazan la firma reconocible. Con esos parámetros en cero, se comporta como WireGuard estándar.

¿AmneziaWG es más lento que WireGuard? No de forma significativa. La ofuscación añade una pequeña cantidad de datos al establecer la conexión, y la velocidad en régimen estable va en línea con WireGuard simple — el cifrado que hace el trabajo real es idéntico.

¿La DPI aún puede detectar AmneziaWG? Puede intentarlo, y a veces lo consigue. La ofuscación elimina el emparejamiento fácil de firma, pero los censores aún pueden bloquear direcciones de servidor, limitar el UDP o marcar tráfico que no logran clasificar en absoluto. Trátalo como un movimiento fuerte en una carrera armamentista en curso, no como inmunidad.

¿AmneziaWG funciona en el iPhone? Sí — hay una app oficial para iOS, y los parámetros de ofuscación de tu configuración tienen que coincidir exactamente con los del servidor. Si prefieres no administrar eso tú mismo, la alternativa es una app de VPN con ofuscación integrada.

En resumen

  • WireGuard es fácil de bloquear porque su handshake se ve idéntico en todas partes; el cifrado oculta el contenido, no el contorno del protocolo.
  • AmneziaWG conserva la criptografía y la velocidad de WireGuard, y aleatoriza justo las partes que los sistemas de inspección emparejan.
  • Gana frente a los filtros de protocolo; no vence a las listas de bloqueo por IP, las prohibiciones de UDP ni los cortafuegos con lista de permitidos.
  • Autoalojarlo en el iPhone funciona vía la app oficial. La ruta de bajo esfuerzo es una VPN que trae la ofuscación como parte del producto.

Si quieres la velocidad de WireGuard con la ofuscación ya resuelta — sin servidor que rentar, sin parámetros que sincronizar, sin cuenta y sin registros de tráfico — Snap VPN está en la App Store.