¿Por qué mi VPN deja de funcionar a veces?

Múltiples posibilidades. La IP del servidor VPN se agregó a una lista de bloqueo (pruebe con un servidor diferente). El DPI de la red tomó la huella digital del protocolo y lo está bloqueando (pruebe OpenVPN-TCP/443 con ofuscación o un protocolo ofuscado dedicado como Proton Stealth o NordWhisper). El servicio de destino (Netflix, su banco) agregó la IP de la VPN a su lista de denegación (pruebe con una salida diferente o un servidor de transmisión dedicado).

¿Funcionará alguna VPN en China?

Pocos funcionan de manera confiable. Los protocolos estándar son detectados y bloqueados en cuestión de minutos por el Gran Cortafuegos. Los protocolos ofuscados especializados (NordVPN's NordWhisper, ProtonVPN's Stealth, Shadowsocks con v2ray-plugin, AmneziaWG) funcionan algunas veces. La carrera armamentista oscila semanalmente hacia adelante y hacia atrás. Los viajeros que necesiten específicamente una VPN confiable en China deben instalar múltiples proveedores y configuraciones con anticipación.

¿Cómo sabe Netflix que estoy usando una VPN?

Principalmente detección basada en IP. Netflix mantiene una base de datos de rangos de IP de proveedores VPN conocidos y rechaza transmisiones de esas IP. Actualizan la base de datos constantemente. Algunos proveedores de VPN rotan las IP de salida más rápido que las actualizaciones de Netflix, pero es un objetivo en movimiento. Las IP residenciales (extraídas de los ISP de consumo reales) evitan esto, pero son más caras de operar.

¿Es ilegal utilizar una VPN en países restrictivos?

En general, la respuesta técnica es sí; la respuesta práctica es que la aplicación de medidas contra usuarios individuales es rara. China exige que los proveedores de VPN se registren ante el gobierno; Las VPN no registradas son técnicamente ilegales, pero decenas de millones de ciudadanos chinos las utilizan. La situación de Rusia es similar. Los Emiratos Árabes Unidos han multado ocasionalmente a usuarios individuales. El riesgo personal real depende de su visibilidad: el uso personal silencioso rara vez es el objetivo; activismo o negocio que llama la atención.

¿Puede un proveedor de VPN saber cuándo me están bloqueando?

Generalmente sí: fallas de conexión, limitaciones o coincidencias de huellas dactilares de DPI aparecen en su telemetría. Los proveedores que se toman en serio la elusión de la censura (Proton, NordVPN, Mullvad) rastrean activamente qué redes/regiones bloquean sus conexiones y, en respuesta, implementan nuevos protocolos o configuraciones de servidor. Los proveedores con presupuestos de elusión más débiles no siguen esto tan de cerca.

Explicación del bloqueo de VPN: cómo los países y servicios bloquean las VPN (y cómo sortearlo)

El bloqueo de VPN es el juego del gato y el ratón entre las personas que intentan utilizar VPN y los gobiernos, ISP, servicios de streaming y redes corporativas que intentan detenerlos. China ejecuta el programa de bloqueo más agresivo; Rusia, Irán y los Emiratos Árabes Unidos les siguen de cerca; Netflix lleva años intentando negar el acceso a los usuarios de VPN. Así es como funciona realmente el bloqueo desde el punto de vista técnico y lo que hacen los proveedores de VPN para evitarlo.

El cuerpo completo del artículo se proporciona en inglés a continuación.

Los métodos de bloqueo

Lista de bloqueo de IP

El método más simple. Compile una lista de rangos de IP de proveedores VPN conocidos y bloquéelos todos. Los servicios de streaming utilizan esto de forma más agresiva: Netflix, Hulu, BBC iPlayer y Disney+ han creado una sofisticada detección VPN-IP que se actualiza diariamente. Los países también utilizan esto como defensa de primera línea.

Contador: los proveedores de VPN agregan nuevas IP de servidor constantemente y rotan los grupos de salida. Algunos ofrecen IP residenciales (IP provenientes de ISP de consumidores reales en lugar de centros de datos) para usuarios que necesitan específicamente evitar los bloqueos de reputación de IP.

Bloqueo de puertos Los protocolos

VPN tienen puertos conocidos. El puerto asignado por IANA de OpenVPN es 1194. WireGuard tiene como valor predeterminado 51820. IKEv2 usa UDP 500 y 4500. Bloquee esos puertos, bloquee el tráfico VPN obvio.

Contador: los proveedores de VPN ejecutan sus servidores en puertos estándar, generalmente TCP/443 para OpenVPN, por lo que el tráfico parece HTTPS normal.

Inspección profunda de paquetes de apretones de manos de protocolo

El enfoque serio. Incluso cuando una VPN se ejecuta en TCP/443, el protocolo de enlace de OpenVPN, WireGuard o IKEv2 tiene una firma de bytes reconocible que los sistemas DPI pueden tomar huellas dactilares. El Gran Cortafuegos de China utiliza esta técnica de forma rutinaria; incluso WireGuard-on-443 se detecta y bloquea en cuestión de minutos.

Contador: ofuscación de protocolo. Envuelva el protocolo de enlace de VPN en algo que parezca tráfico HTTPS, WebSocket o QUIC genuino. Ejemplos: Stealth de ProtonVPN, NordWhisper de NordVPN, OpenVPN con Stunnel/Cloak/Obfsproxy, AmneziaWG (una bifurcación de WireGuard que aleatoriza su protocolo de enlace), protocolos V2Ray.

TLS huellas dactilares

Incluso cuando una VPN se disfraza exitosamente como HTTPS, el protocolo de enlace TLS en sí tiene huellas digitales. Un navegador específico produce mensajes ClientHello con un orden de conjunto de cifrado particular, una lista de extensiones específica y un hash JA3 específico. Si su conexión "HTTPS" tiene una huella digital TLS que no coincide con ningún navegador importante, podría ser un cliente VPN disfrazado.

Contador: las herramientas de ofuscación modernas imitan las huellas digitales TLS de los principales navegadores byte por byte (uTLS en Go, utls.js, similar en otros idiomas). El gato y el ratón continúa.

Tanálisis de la forma del tráfico

Incluso cuando el contenido está cifrado y las huellas digitales coinciden con un navegador real, el ritmo de una sesión VPN es distintivo. Siempre bidireccional, rendimiento sostenido, tamaños de paquetes consistentes, no el patrón de búsqueda, procesamiento y pausa en ráfagas de la navegación web real. Los modelos de aprendizaje automático pueden identificar flujos de VPN solo a partir de la forma con una precisión sorprendente.

Contador: introduce tráfico ficticio para disfrazar la forma (DAITA de Mullvad hace esto), o ejecuta el protocolo VPN sobre algo que ya tiene una forma irregular (el disfraz de videollamada WebRTC de Snowflake).

Sondeo activo

Cuando el Gran Cortafuegos detecta una conexión sospechosa, a veces envía paquetes de prueba al destino para confirmar si realmente es un servidor VPN. Un servidor HTTPS real responde con un protocolo de enlace TLS reconocible; un servidor VPN podría responder de una manera que se delate. Luego se bloquea toda la conexión.

Contador: los servidores VPN se pueden configurar para requerir autenticación antes de responder: los "extraños" obtienen un 404 genérico o ninguna respuesta, solo los clientes autenticados obtienen el protocolo de enlace VPN.

Interceptación de DNS

Bloquea las búsquedas de DNS para dominios de proveedores VPN conocidos. Los usuarios ni siquiera pueden descargar el cliente VPN porque vpnmasterpro.com (o cualquier otro) no resuelve.

Counter: use DNS sobre HTTPS para consultar un solucionador desbloqueado. Distribuya medios de instalación a través de canales que el censor no pueda interceptar (Telegram, Tor, memorias USB, distribuciones de embajadas).

Donde el bloqueo es agresivo

China: la implementación de DPI más sofisticada del mundo. Los protocolos VPN estándar se bloquean a los pocos minutos de ser detectados. Solo los protocolos ofuscados (y a veces ni siquiera esos) funcionan de manera confiable.
Rusia: la implementación de TSPU desde 2019 agregó DPI completo a la mayoría de los principales ISP. Twitter/X fue estrangulado en 2021; muchos proveedores de VPN fueron bloqueados a partir de 2022.
Iran — DPI desde 2008, eventos regulares de bloqueo de VPN, especialmente durante las protestas. Las protestas de Mahsa Amini de 2022 llevaron a una implementación generalizada de VPN a medida que el gobierno endureció las restricciones.
UAE, Arabia Saudita, Omán, Qatar: las VPN están restringidas para fines que eluden el filtrado de contenido aprobado. La aplicación de la ley es desigual pero técnicamente capaz.
Corea del Norte: la red nacional de Kwangmyong del país está aislada de Internet global. La elusión de VPN es esencialmente N/A.
India: la regla de 2022 de CERT-In obligó a los proveedores de VPN a registrar la actividad de los usuarios o retirarse. Los proveedores más reputados retiraron servidores físicos.
Turquía: en diciembre de 2023 bloquearon 16 proveedores de VPN, incluidos IPVanish, ExpressVPN, NordVPN, Tor.

Bloqueo de servicios de transmisión por secuencias

Diferentes motivaciones, técnicas similares. Netflix, Hulu, BBC iPlayer, Disney+, Amazon Prime, etc. bloquean las IP de VPN para hacer cumplir las licencias geográficas. No intentan impedirle acceder a Internet en general, solo ver su contenido desde el país "equivocado".

Counter: servidores dedicados optimizados para streaming que rotan las direcciones IP con frecuencia. Algunas VPN (Windflix de Windscribe, servidores de streaming dedicados de NordVPN/ExpressVPN/Surfshark) persiguen explícitamente la carrera armamentista del streaming. Las VPN más pequeñas y puristas de la privacidad (Mullvad, Proton) no interactúan, por lo que su confiabilidad de transmisión es menor.

Bloqueo de red corporativa

Muchas empresas y escuelas bloquean el tráfico VPN por razones de cumplimiento y seguridad. Los métodos son similares: bloqueo de puertos, listas de bloqueo de IP, DPI. La motivación es diferente (cumplimiento, filtrado de contenido, detección de malware), pero las técnicas se asignan directamente.

Estado legal

El uso de una VPN es legal en la mayoría de los países. La infraestructura existía para uso empresarial legítimo mucho antes de que las VPN para consumidores se volvieran comunes.
Operación de un servicio VPN está regulado en algunos países (China, Rusia, Irán); los proveedores cumplen con los requisitos de registro locales o están bloqueados.
El uso de una VPN no aprobada por el gobierno está restringido en algunos países. China y Rusia exigen que los proveedores de VPN que operan a nivel nacional se registren y cooperen; usar una VPN no registrada (es decir, real) es técnicamente ilegal, pero la aplicación de medidas contra usuarios individuales es desigual.
Usar una VPN para cometer un delito sigue siendo ilegal en todas partes; la VPN no cambia eso.

Si estás en un país que bloquea VPNs

Elige un proveedor con ofuscación especialmente diseñada: ProtonVPN Stealth, NordVPN NordWhisper, Mullvad con sus experimentos daita/quic o herramientas especializadas como Outline (Shadowsocks) o AmneziaWG.
Obtenga los medios de instalación antes de que los necesite : los dominios de descarga de los proveedores pueden bloquearse una vez que ya esté dentro.
Conserve Tor con Snowflake como respaldo: cuando las VPN fallan, los transportes conectables de Tor a menudo aún permanecen inactivos work.
Se esperan fallas: las conexiones que funcionaron ayer pueden no funcionar hoy; tenga múltiples proveedores y protocolos listos.

Verifique que su túnel esté funcionando cuando se conecte con nuestra prueba de fugas .

Preguntas frecuentes

¿Por qué mi VPN deja de funcionar a veces?: Múltiples posibilidades. La IP del servidor VPN se agregó a una lista de bloqueo (pruebe con un servidor diferente). El DPI de la red tomó la huella digital del protocolo y lo está bloqueando (pruebe OpenVPN-TCP/443 con ofuscación o un protocolo ofuscado dedicado como Proton Stealth o NordWhisper). El servicio de destino (Netflix, su banco) agregó la IP de la VPN a su lista de denegación (pruebe con una salida diferente o un servidor de transmisión dedicado).
¿Funcionará alguna VPN en China?: Pocos funcionan de manera confiable. Los protocolos estándar son detectados y bloqueados en cuestión de minutos por el Gran Cortafuegos. Los protocolos ofuscados especializados (NordVPN's NordWhisper, ProtonVPN's Stealth, Shadowsocks con v2ray-plugin, AmneziaWG) funcionan algunas veces. La carrera armamentista oscila semanalmente hacia adelante y hacia atrás. Los viajeros que necesiten específicamente una VPN confiable en China deben instalar múltiples proveedores y configuraciones con anticipación.
¿Cómo sabe Netflix que estoy usando una VPN?: Principalmente detección basada en IP. Netflix mantiene una base de datos de rangos de IP de proveedores VPN conocidos y rechaza transmisiones de esas IP. Actualizan la base de datos constantemente. Algunos proveedores de VPN rotan las IP de salida más rápido que las actualizaciones de Netflix, pero es un objetivo en movimiento. Las IP residenciales (extraídas de los ISP de consumo reales) evitan esto, pero son más caras de operar.
¿Es ilegal utilizar una VPN en países restrictivos?: En general, la respuesta técnica es sí; la respuesta práctica es que la aplicación de medidas contra usuarios individuales es rara. China exige que los proveedores de VPN se registren ante el gobierno; Las VPN no registradas son técnicamente ilegales, pero decenas de millones de ciudadanos chinos las utilizan. La situación de Rusia es similar. Los Emiratos Árabes Unidos han multado ocasionalmente a usuarios individuales. El riesgo personal real depende de su visibilidad: el uso personal silencioso rara vez es el objetivo; activismo o negocio que llama la atención.
¿Puede un proveedor de VPN saber cuándo me están bloqueando?: Generalmente sí: fallas de conexión, limitaciones o coincidencias de huellas dactilares de DPI aparecen en su telemetría. Los proveedores que se toman en serio la elusión de la censura (Proton, NordVPN, Mullvad) rastrean activamente qué redes/regiones bloquean sus conexiones y, en respuesta, implementan nuevos protocolos o configuraciones de servidor. Los proveedores con presupuestos de elusión más débiles no siguen esto tan de cerca.