Shadowsocks ocupa un rincón extraño de la historia de internet: un proxy escrito por un solo desarrollador en China en 2012, publicado como código abierto y adoptado en silencio por millones de personas como el caballo de batalla de la evasión de cortafuegos. Se le compara con las VPN constantemente, casi siempre con la pregunta equivocada — "¿cuál es mejor?" — cuando los dos no intentan realmente hacer el mismo trabajo.

Respuesta corta: Shadowsocks es un proxy cifrado diseñado para mover tráfico a través de cortafuegos nacionales sin ser reconocido. Una VPN es un túnel cifrado para todo tu dispositivo, diseñado para darte privacidad frente a la red en la que estás. Se solapan, pero responden a amenazas distintas — y la elección correcta depende de cuál es de verdad la tuya.

Puntos clave

  • Shadowsocks es un proxy SOCKS5 cifrado hecho para pasar la censura; nunca se diseñó como producto de privacidad.
  • Su truco es parecer nada: sin firma de handshake, sin estandarte de protocolo, solo bytes cifrados sin rasgos.
  • Una VPN cubre cada app del dispositivo, con un comportamiento estandarizado frente a fugas y conexiones caídas; las configuraciones de proxy varían mucho.
  • Los cortafuegos modernos aprendieron a marcar el tráfico que "parece nada", así que el Shadowsocks clásico ya no es un pase libre.
  • Elige por modelo de amenaza: resistencia a la censura, privacidad de todo el dispositivo o — cada vez más común — ambas en una sola app.

Qué es Shadowsocks en realidad

En 2012, un desarrollador que firmaba bajo el nombre clowwindy publicó una pequeña herramienta para sacar tráfico personal por el cortafuegos nacional de China. En 2015, tras la presión de las autoridades, borró el código y se apartó. El proyecto sobrevivió como implementaciones mantenidas por la comunidad y se ha desarrollado activamente desde entonces — también es la base de herramientas como Outline. Esa historia de origen explica el diseño por completo: Shadowsocks fue construido por alguien cuyo problema era el cortafuegos, no el anunciante.

Mecánicamente, Shadowsocks es un par: un cliente en tu dispositivo y un servidor en algún lugar fuera de la red filtrada. El cliente toma el tráfico de las aplicaciones a través de SOCKS5 — la interfaz de proxy estándar —, lo cifra con cifrados autenticados modernos y lo retransmite a través del servidor, que lo envía al destino real.

La parte ingeniosa es lo que falta. Una conexión cifrada normal se anuncia: TLS abre con un hello reconocible, y un protocolo de VPN abre con un handshake reconocible. Una conexión de proxy Shadowsocks abre con nada. Desde el primer byte, el flujo es texto cifrado de alta entropía sin cabecera, sin estandarte y sin tamaños de paquete fijos. No hay firma que emparejar porque no hay estructura que ver.

En qué difiere eso de una VPN

La diferencia empieza en la capa en la que opera cada uno, y se extiende desde ahí.

Cobertura. Una VPN crea una interfaz de red a nivel del sistema operativo y enruta todo el dispositivo a través de ella — cada app, incluidas las que no tienen ningún ajuste de proxy. Shadowsocks es un proxy: clásicamente, transporta las aplicaciones que apuntan hacia él. Los clientes móviles difuminan esto al enrutar todo el sistema a través de una interfaz de túnel local, pero eso es una característica del cliente que instalas, no una garantía del protocolo.

Comportamiento ante fallos. Las apps de VPN maduras tienen respuestas estandarizadas a las preguntas feas: qué pasa con el tráfico en el momento en que el túnel se cae, a dónde van las consultas de DNS, si algo se escapa por el borde. Con Shadowsocks, las respuestas dependen por completo de qué cliente elegiste y de cómo está configurado — nada de eso lo garantiza el protocolo.

Confianza. Un proveedor de VPN es una empresa que puedes evaluar por su política de registros y su trayectoria — las cosas que examinamos en qué significa de verdad una política sin registros. Los servidores de Shadowsocks suelen ser autoalojados o comprados a revendedores pequeños, a menudo anónimos. De cualquier modo, alguien opera el otro extremo y puede observar a dónde va tu tráfico. El proxy no elimina la necesidad de confiar en el extremo; cambia en quién confías, y con un revendedor por lo general no sabes nada de él.

Si quieres la versión general de esta comparación — proxies frente a VPN, más allá de la censura — esa es VPN vs proxy.

Por qué funcionó durante una década

La inspección profunda de paquetes, en su núcleo, es emparejamiento de firmas: reconoce el protocolo y luego decide la política. Shadowsocks no le daba nada que reconocer. Eso dejaba a los censores con dos opciones poco atractivas — bloquear las direcciones de destino una por una, un juego de golpear al topo contra servidores rentados baratos, o bloquear todo lo que no pudieran clasificar y aceptar el daño colateral al tráfico cifrado ordinario.

Durante años, el daño colateral no valía la pena, y Shadowsocks se colaba por el hueco. Ese hueco se ha ido cerrando.

Por qué "¿sigue funcionando?" ya es una pregunta real

Dos contramedidas cambiaron el panorama. La primera es el sondeo activo: cuando los sistemas de censura notan una conexión sospechosa, se conectan ellos mismos al mismo servidor y prueban cómo responde, buscando comportamiento de proxy. La segunda es más tosca. Unos investigadores documentaron en USENIX Security 2023 que, desde finales de 2021, el cortafuegos de China a veces simplemente descarta las conexiones cuyos primeros paquetes parecen datos de alta entropía sin rasgos — exactamente la ausencia de estructura que hacía invisible a Shadowsocks. Cuando el censor decide que el tráfico que parece nada es en sí mismo la señal, parecer nada deja de ser un disfraz.

La comunidad respondió en dos direcciones. Una: envolver Shadowsocks dentro de transportes que parezcan genuinamente ordinarios — sesiones de TLS reales, conexiones WebSocket. Dos: imitar protocolos reales de plano — herramientas sucesoras de la familia trojan y REALITY se presentan como HTTPS normal incluso cuando se las sondea. Las especificaciones más nuevas de Shadowsocks también endurecieron el protocolo contra los trucos de sondeo que atraparon a las versiones más viejas. El juego del gato y el ratón continúa; la era de una sola herramienta simple que funcionaba en silencio en todas partes se acabó.

El giro hacia QUIC

El capítulo más nuevo pasa por QUIC, el transporte cifrado sobre UDP que está debajo de HTTP/3. Una gran parte del tráfico web ordinario es QUIC ahora, lo que lo vuelve una cobertura excelente: un túnel que se presenta como HTTP/3 parece navegación cotidiana en vez de ruido. De eso tratan en realidad las búsquedas de una "VPN con QUIC" — herramientas de evasión más nuevas como Hysteria2 y TUIC montan sobre QUIC para camuflarse y por rendimiento en rutas largas y con pérdidas, y el trabajo de MASQUE del IETF está estandarizando el uso de proxy sobre HTTP/3. Apple construyó iCloud Private Relay a partir de la misma familia de ideas — iCloud Private Relay vs una VPN cubre cómo se compara.

QUIC tampoco es un final del juego. Los censores pueden limitar o bloquear el UDP por completo durante periodos sensibles, y lo hacen, lo que empuja el tráfico de vuelta hacia los disfraces de TCP y TLS. Ningún transporte gana en todas partes — por eso las herramientas de evasión siguen diversificándose, y por eso la pregunta duradera no es "cuál protocolo" sino si tu herramienta puede cambiarse de ropa.

¿Cuál necesitas?

Ordénalo por el problema que tienes de verdad enfrente:

  • La red no te deja salir. Donde los protocolos de VPN se identifican y se descartan, la ofuscación es el factor decisivo, y un protocolo de VPN estándar con la configuración por defecto puede simplemente no llegar a conectar. Este es el terreno propio de Shadowsocks — y la misma necesidad produjo los forks ofuscados de WireGuard, que cubrimos en AmneziaWG vs WireGuard.
  • Quieres privacidad frente a la red y tu proveedor de internet. La cobertura de todo el dispositivo, el manejo predecible del DNS y un comportamiento sensato cuando el túnel se cae importan más que los transportes exóticos. Esa es la columna de la VPN, y es la mayor parte del uso cotidiano: el Wi-Fi del hotel, el perfilado del proveedor de internet, las redes en las que no confías. Cómo una VPN evade la censura traza la línea entre estos dos mundos con más detalle.
  • Ambas. La gente en redes fuertemente filtradas suele necesitar ambas a la vez: la cobertura de una VPN, con tráfico que no se anuncia. Históricamente eso significaba armar tú mismo una configuración a partir de piezas. Cada vez más, significa una VPN cuya conexión viene ofuscada de fábrica.

Snap VPN aborda esto desde el lado de la VPN: WireGuard por debajo, con técnicas de ofuscación propias aplicadas a la conexión para que no le entregue a los sistemas de inspección una firma de VPN de manual. No publicamos los detalles a nivel de red — los disfraces envejecen rápido una vez documentados — pero la meta es la que señala toda esta comparación: privacidad de todo el dispositivo que aun así conecta en redes donde se caza el tráfico de VPN.

Preguntas frecuentes

¿Shadowsocks es una VPN? No. Es un proxy cifrado. Los clientes móviles pueden enrutar todo un dispositivo a través de él, lo que hace que se sienta como una VPN, pero las garantías que una app de VPN estandariza — enrutamiento de todo el dispositivo, manejo de fugas, comportamiento ante túnel caído — no forman parte del propio protocolo Shadowsocks.

¿Shadowsocks sigue funcionando? En muchos lugares, gran parte del tiempo, sí — pero el Shadowsocks clásico ya no recibe un pase libre. Los sistemas de censura modernos marcan el tráfico totalmente cifrado "sin estructura" y sondean activamente los servidores sospechosos, así que las configuraciones actuales se apoyan en especificaciones endurecidas, envoltura de TLS o protocolos sucesores.

¿Qué es mejor que Shadowsocks? Depende de qué tenga que significar "mejor". Para evitar la detección hoy, los sucesores que imitan HTTPS real o montan sobre QUIC llevan ventaja. Para la privacidad cotidiana en redes ordinarias, una VPN sin registros es la herramienta más simple y más completa.

¿Shadowsocks es seguro? El cifrado es sólido — cifrados autenticados modernos, especificados abiertamente. Los riesgos prácticos están en otra parte: quien opere tu servidor puede ver a dónde va tu tráfico, y los clientes descargados de fuentes al azar pueden estar manipulados. El autoalojamiento atiende lo primero; instalar solo compilaciones oficiales atiende lo segundo.

En resumen

  • Shadowsocks es un proxy de evasión de la censura que funciona por no tener forma reconocible. Una VPN es un túnel de privacidad de todo el dispositivo.
  • Responden a amenazas distintas, y "mejor" solo tiene sentido en relación con la tuya.
  • Los censores alcanzaron al "parece nada", así que el campo se movió hacia parecer algo real — TLS, WebSocket, QUIC.
  • Para la mayoría de la gente, la mayor parte del tiempo, la respuesta práctica es una VPN — idealmente una que no se anuncie ante el hardware de inspección.

Si estás en el iPhone y quieres una VPN que funcione con WireGuard, ofusque su propia conexión y no pregunte quién eres — sin correo, sin cuenta, sin registros de tráfico — Snap VPN está en la App Store.