Las VPN usan distintas técnicas de ofuscación y Stealth para ocultar el tráfico, incluidos protocolos de conexión VPN y proxies. A continuación, incluimos una lista con los métodos de ofuscación más habituales:
Shadowsocks
Pros |
Contras |
Código abierto |
Sin auditoría oficial |
Velocidades altas |
Sin redireccionamiento de puertos |
Usa menos RAM |
|
Shadowsocks es un protocolo proxy de ofuscación de código abierto. El protocolo fue creado en 2012 por un programador chino llamado clowwindy, y se usa mucho en China para eludir la censura del gobierno sin ser detectado.
Shadowsocks, basado libremente en el protocolo Socket Secure 5 o «SOCKS5», es un proxy que redirige tu conexión a Internet a través de un tercer servidor, haciendo que parezca que estás en una ubicación diferente. Además, oculta tu tráfico VPN haciendo que parezca tráfico HTTPS.
Probamos el proxy de Private Internet Access y encontramos que es eficaz a la hora de eludir los bloqueos de VPN.
Es importante tener en cuenta que los proxies normales no son seguros, porque no cifran el tráfico. Para combatir este problema, Shadowsocks usa un cifrado AEAD, parecido al túnel SSH, para cifrar el tráfico web y evitar que el ISP lo lea.
AEAD es una forma de cifrado que permite que un destinatario compruebe la autenticidad e integridad de los datos. Está asociado con el fiable cifrado AES y forma parte de sus suites de cifrado.
Por desgracia, Shadowsocks no es una función muy común de los servicios VPN porque el proceso de configuración es complicado, tanto para el proveedor como para los usuarios de la VPN.
SoftEther
Pros |
Contras |
Código abierto |
Servicios de VPN bastante inusuales |
Muy bueno a la hora de eludir la censura y las restricciones online |
Hay que configurarlo manualmente para que sea seguro |
Velocidades increíblemente rápidas |
Vulnerable contra ataques man-in-the-middle |
SoftEther VPN es un software de VPN de código abierto multiprotocolo creado por Daiyuu Nobori en Japón. SoftEther VPN funciona con Windows, macOS, Linux, FreeBSD y Solaris. Cuando se implementa puede crear conexiones rápidas y con latencia baja que eluden sofisticados cortafuegos.
El protocolo de VPN de SoftEther usa Ethernet sobre HTTPS (HTTP sobre SSL) para establecer un túnel VPN. Esto va bien para eludir cortafuegos porque HTTPS es el estándar del sector para las comunicaciones seguras en Internet, lo que hace que a los ISP y a los gobiernos les resulte difícil detectarlo.
El software de VPN de SoftEther no solo es compatible con su propio protocolo, sino que también lo es con los protocolos de OpenVPN, L2TP/IPSec, L2TPv3 y EtherIP.
Hide.me ofrece el protocolo SoftEther en su cliente de Windows.
Este protocolo funciona dividiendo todas las conexiones TCP en dos grupos. El primer grupo es para enlaces de subida y el segundo grupo para enlaces de bajada. Esta división ayuda a engañar a los cortafuegos y la DPI para que crean que la conexión es una típica conexión HTTPS.
Un cortafuegos sofisticado puede detectar una conexión TCP inusualmente larga. Para combatir este problema, las conexiones VPN de SoftEther también tienen un límite de tiempo para todas las conexiones TCP, lo que hace que se cierre antes de que nadie lo detecte.
A pesar de sus aspectos positivos, SoftEther también presenta desventajas claras. La principal es que solo está disponible en dos de las VPN que hemos analizado, CactusVPN y Hide.me. Por desgracia, la mayoría de los servicios VPN evitan usar SoftEther debido a su complicado proceso de instalación, que resulta complejo tanto para los proveedores de VPN como para sus clientes.
En 2019, los expertos descubrieron dos vulnerabilidades en la implementación de SoftEther en Hide.me. Para empezar, el cliente no verificó el certificado del servidor. Eso significa que un atacante podría realizar un ataque man-in-the-middle en la red y conseguir las credenciales y el tráfico de red de la víctima.
En segundo lugar, la interfaz de gestión del soporte de Hide.me no requería la autenticación de la contraseña, algo que también exponía a los usuarios a los ataques man-in-the-middle.
CONSEJO PROFESIONAL: Antes de utiliza SoftEther, asegúrate de marcar Verificar siempre el certificado del servidor cuando configures una conexión VPN nueva.
OpenVPN sobre SSL/TLS
Pros |
Contras |
Software de código abierto |
SSL más habitual pero anticuado |
TLS 1.3 actualizado en 2018 |
Difícil de configurar manualmente |
Las VPN lo usan habitualmente |
|
OpenVPN sobre SSL (Secure Sockets Layer) o TLS (Transport Layer Security) es una combinación del protocolo OpenVPN con una capa de cifrado SSL o TLS. Está diseñado para ocultarle a tu ISP que estás usando una VPN.
Para implementar OpenVPN sobre ofuscación SSL/TLS, el servicio VPN tendrá que usar Stunnel, otro tipo de software de código abierto. Sin embargo, muchas VPN resultan inservibles debido a la complejidad del proceso de configuración.
OpenVPN sobre SSL/TLS proporciona un cifrado sólido, pero no está hecho para un usuario individual. Es muy raro encontrar una VPN que tenga SSH o SSL habilitados, y ninguna de las VPN mejor valoradas lo tienen configurado.
SSTP
Pros |
Contras |
Eficaz a la hora de evitar los cortafuegos |
Código cerrado |
Cifrado AES-256 |
Vínculos sospechosos con la NASA |
Velocidades altas |
|
El protocolo Secure Socket Tunnel (o SSTP) es un protocolo de VPN muy seguro y popular, cuyo propietario y desarrollador es Microsoft. Es compatible con Windows, Linux, Android y una gran cantidad de routers. SSTP se volvió conocido en 2007 para reemplazar al protocolo PPTP, muy anticuado y vulnerable.
SSTP solía ser vulnerable a ataques man-in-the-middle (o POODLE), en los que un atacantes redirecciona tu tráfico web o pone contenido malicioso en un paquete de datos existente. Hoy en día, SSTP es seguro porque se implementa usando TLS 1.2 y 1.3, y los ataques POODLE se basaban en SSL3.
SSTP está disponible en muchas VPN de confianza, como IPVanish y Hide.me. Sin embargo, las VPN que funcionan mejor para eludir la censura han eliminado dicho protocolo para centrarse en otros sistemas más sofisticados.
Es un protocolo que también suele usar la gente que trabaja desde casa en Windows 10 y quiere conectarse a la red corporativa de forma segura.
A pesar de todos los aspectos positivos que tiene SSTP, hemos encontrado algunos vínculos sospechosos entre Microsoft y la NSA; los destapó Edward Snowden en 2013. Por ejemplo, se descubrió que Microsoft ayudaba a la NSA a eludir su cifrado para interceptar chats en la web en Outlook.com.
Obfsproxy
Pros |
Contras |
Patrones de “handshake” completamente aleatorios |
El tráfico de Obfsproxy destaca en comparación con otros protocolos |
Necesita menos ancho de banda |
Es difícil configurarlo para el servicio y servidores VPN |
Obfsproxy, abreviatura de proxy de ofuscación, fue adoptado originalmente por la comunidad Tor para ofuscar el tráfico de Tor y ocultar su actividad en Internet al ISP.
Obfsproxy funciona con obfs2, obfs3, scramblesuit, obfs4 o meek para implementar un túnel obfsproxy por el que se enruta tu tráfico VPN. También añade una capa adicional de cifrado. Es ligera y requiere menos banda ancha, pero también hace que sea menos segura.
Actualmente, scramblesuit, obfs4, y meek son los únicos protocolos con obfsproxy que recomendaríamos usar para evitar la censura, ya que el resto están anticuados y se pueden detectar fácilmente con DPI.
No es habitual ver una VPN con esta tecnología porque es muy difícil de configurar. Sin embargo, sí que vemos algunos servicios VPN que la adoptan debido a su tasa de éxito para eludir los cortafuegos y evitar la censura.
IVPN ofrece Obfsproxy con conexiones OpenVPN.
Obfsproxy puede hacer que tu tráfico de Tor o OpenVPN parezca cualquier otro tipo de tráfico. Sin embargo, no está garantizado que siempre evite los cortafuegos y DPI, porque sigue teniendo algunos patrones identificables.
La mayoría de los handshake de protocolo están claramente definidos y son fácilmente reconocibles. Por lo tanto, el tráfico Obfsproxy destaca porque, en comparación, parecen datos completamente aleatorios. Los ISP pueden utilizar pruebas de entropía, que analizan la aleatoriedad de los datos, para identificar el tráfico de Obfsproxy.
Se usa para eludir cortafuegos en línea y se creó para gente de China, Irán o Rusia, donde existe censura en línea muy estricta.
OpenVPN/XOR Scramble
Pros |
Contras |
Código abierto |
Claes de cifradao débiles |
|
No puede eludir cortafuegos online sofisticados |
|
Los hackers usan XOR para ocultar malware |
OpenVPN/XOR Scramble, u ofuscación XOR, es un parche de terceros para OpenVPN que añade una capa adicional de ofuscación.
Funciona aplicando el cifrado bitwise XOR, un algoritmo basado en la sustitución, al tráfico de OpenVPN. Esto reemplaza cada carácter de una cadena de datos y oculta el hecho de que es tráfico de OpenVPN. OpenVPN Scramble hará que tu tráfico VPN parezca tráfico UDP.
StrongVPN ofrece la codificación XOR en UDP o TCP con múltiples puertos.
Este tipo de ofuscación de VPN tiene dos desventajas principales. En primer lugar, la pueden descifrar fácilmente volviendo a aplicar el mismo cifrado XOR con la clave de la cadena de datos. Esto hace que sea uno de los métodos menos seguros de ofuscación de esta lista.
En segundo lugar, es una herramienta poco fiable para eludir cortafuegos y censura en línea. Como mencionamos en nuestras pruebas de IPVanish, sus funciones de codificación han fallado en nuestras pruebas semanales para eludir el cortafuegos de China.
No obstante, la implementación de OpenVPN Scramble en StrongVPN ha demostrado ser muy efectiva a la hora de sortear el Gran Cortafuegos chino.
En términos generales, OpenVPN Scramble proporciona un bajo nivel de seguridad y una ofuscación rudimentaria en comparación con otras herramientas.
V2Ray/VMess
Pros |
Contras |
Muy personalizable |
Increíblemente inusual en VPN |
|
Implementación complicada para las VPN |
|
No se ha sometido a ninguna auditoría de seguridad |
V2Ray es una plataforma de código abierto y un apartado del Proyecto V, donde cualquier desarrollador puede utilizar un protocolo llamado VMess para desarrollar un nuevo software de proxy.
Tanto Shadowsocks como V2Ray se crearon con el objetivo específico de ayudar a la gente de China a evadir el Gran Cortafuegos. Sin embargo, Shadowsocks está diseñado para hacer que el proceso sea lo más fácil posible, mientras que V2Ray tiene un proceso de configuración mucho más complicado.
VPN.AC es la única VPN que hemos analizado que ha implementado el túnel V2Ray. Esta función está disponible para su aplicación nativa de Windows, pero no para las versiones móviles o de macOS. Se encuentra en los ajustes avanzados.
En nuestras pruebas, habilitar V2Ray en VPN.AC causó que nuestra conexión VPN se cayera y a veces nos bloqueó y evitó que nos conectáramos al servidor VPN.
VPN.ac ha cambiado el nombre de V2Ray por el de «proxy TCP OpenVPN / ofuscación».
Como se puede ver en la imagen anterior, puedes elegir entre una conexión directa a través de los servidores proxy de ofuscación de VPN.ac o una conexión a servidores proxy de VPN.ac a través de Cloudflare.