El gobierno de mi país bloqueó el acceso por VPN. ¿Qué debería usar?

 (news.ycombinator.com)
5 puntos por GN⁺ 2025-08-29 | 3 comentarios | Compartir por WhatsApp
  • Indonesia está actualmente en medio del caos y, esta mañana, el gobierno bloqueó el acceso a Twitter y Discord
  • Porque sabían que las noticias se difundían principalmente a través de esos canales
  • Normalmente se puede evitar el bloqueo usando WARP de Cloudflare, pero hoy también fue bloqueado. ¿Qué alternativa debería usar?

Lecturas relacionadas

3 comentarios

 
bju2000 2025-09-08

¿De verdad se puede considerar un país libre si hasta bloquea las VPN..?
 
roxie 2025-09-08

China, Indonesia, Reino Unido, Australia... es un problema más extendido de lo que parece.
 
GN⁺ 2025-08-29
Opiniones de Hacker News

  • Tengo experiencia trabajando en evasión de censura para grandes proveedores de VPN a inicios de los 2020

    • El primer paso es conseguir el software VPN real y los archivos de configuración. Los proveedores que se toman en serio la censura distribuyen sus programas por canales difíciles de bloquear, como S3, y en paquetes ofuscados; a veces también colaboran con organizaciones locales para distribuirlos de forma segura
    • Si ya conseguiste el software, recomiendo usarlo agregando una capa de ofuscación
    • Una herramienta muy usada es Obfs4proxy, que usa claves precompartidas para disfrazar el tráfico como algo irrelevante y también oculta el handshake de la VPN. No es perfectamente segura, pero logra pasar la mayoría de los DPI (inspección profunda de paquetes)
    • También existen Shapeshifter (hecho por Operator Foundation) y otros transportes conectables que vale la pena probar. Eso sí, el proveedor tiene que soportar ese protocolo
    • A largo plazo, la parte más difícil es no ser detectado por usar una VPN. En análisis estadístico de largo plazo se puede detectar una conexión VPN incluso con ofuscación, y para un Estado es relativamente barato implementar esa vigilancia. No conozco bien la situación de Indonesia, así que no puedo dar consejos concretos
    • Considero que Mullvad es un proveedor de VPN confiable y técnicamente sólido. (Nunca he trabajado en Mullvad; de hecho, era competencia. Siempre respeté su enfoque)

    • He pensado que sería bueno que algún gran operador de radio de onda corta transmitiera los propios paquetes de VPN por radiodifusión de datos a todo el mundo, como si fuera un servicio público

    • Se dijo que Obfs4proxy hace que el tráfico parezca irrelevante, pero en realidad un DPI puede decidir que es un flujo aleatorio de bytes, clasificarlo como protocolo desconocido y bloquearlo. Puede ser más ventajoso engañar al DPI para que crea que es HTTPS. Claro, si hasta HTTPS lo bloquean, ya no sirve

    • Me pregunto qué opinan de sistemas como DAITA de Mullvad, que transmiten con un patrón de ancho de banda constante para evitar análisis de tráfico

    • Trucos como TLS fragmentado o invertir el orden de los paquetes también funcionan, y usar solo transporte HTTPS básico ya es un buen punto de partida en la mayoría de los lugares. Un sistema distribuido de código abierto llamado URnetwork ofrece todas esas funciones. También se puede descargar desde tiendas principales o F-Droid

    • Instalar Obfs4proxy y Shapeshifter de verdad es molesto y toma mucho tiempo

      • Consigue tú mismo un VPS (en Europa/EE. UU., por unos $10/año puedes tener 2 GB de RAM, 40 GB de disco y tráfico mensual en TB); recomiendo una región europea
      • Ahí instala wireguard + herramienta de ofuscación o tailscale + tu propio servidor DERP
      • Más simple todavía: usar un puerto ssh -D como servidor SOCKS. Casi nunca lo bloquean, pero por las características del tráfico destaca con facilidad

  • Viví un tiempo en China y pasé varias olas de bloqueos de VPN. Ahora la mayoría de las empresas de VPN ya renunciaron a dar soporte en países que bloquean. Las VPN comerciales tarde o temprano siempre terminan siendo bloqueadas

    • Lo que yo usaba era montar un servidor SOCKS5 en una EC2 gratuita en una región fuera del país y conectarme desde mis dispositivos. Creo que una VM de Cloudflare también serviría bien para este propósito
    • Como solo pasa tu tráfico personal, tu perfil es bajo, y entre los muchísimos servidores de esa región el Estado no puede distinguirlo fácilmente
    • Consejo de supervivencia para internet no libre: GitHub no está bloqueado (al menos en China), así que ingenieros locales subían ahí materiales relacionados y descargas
    • Si te preocupa tu identidad por la IP estática, una VM también es solo una computadora, así que puedes agregar otra conexión VPN encima para aumentar el anonimato

    • He escuchado que como los bloques de IP públicas de los VPS son bien conocidos, este método no funciona en China. Me han dicho que no es una solución útil frente al firewall chino

    • Usar una instancia VM como túnel VPN está bien, pero el ancho de banda real de internet entre China y el exterior está tan limitado que hay un techo claro de tráfico. Una mejor configuración es tener una VM a cada lado del firewall y usar peering entre la VM interna y la externa dentro del mismo servicio de hosting (por ejemplo, Alibaba Cloud). La VM interna puede hacerse de forma simple con herramientas como socat o netfilter

      • También conviene usar sí o sí una herramienta de ofuscación
      • Si llega un bloqueo, solo cambias la IP de la VPN externa y actualizas la configuración. La IP de la VM interna casi nunca necesita cambiarse

    • Yo también antes, trabajando en China (no viví mucho tiempo ahí, pero entraba seguido), dejaba OpenVPN abierto en mi propio servidor por el puerto 443 o 22, y con eso casi siempre me conectaba sin problemas

    • Hace dos años en Indonesia también bloquearon GitHub por un rato, y uno de los principales operadores llegó a bloquear SSH temporalmente

  • Como residente local en Indonesia, no recuerdo haber visto noticias recientes de que hayan bloqueado X (Twitter) o Discord. En 2024 sí dijeron que podrían bloquear X por contenido para adultos

    • Tú mismo puedes revisar el estado de bloqueo en tiempo real en este sitio
    • Dijiste que no podías conectarte a la VPN, pero aunque algunos proveedores sí bloquearon eso antes, en los últimos cinco años no ha pasado
    • Así que otra opción es intentar cambiando de proveedor de internet (operador)

  • Creo que este lugar (Hacker News) no es el más adecuado para preguntar sobre evasión de censura

    • Hay una tendencia a recomendar solo autoalojar cosas como Tor, Tailscale, VPN basadas en Wireguard, Mullvad, etc., pero parece faltar experiencia real
    • Basta con buscar VPN orientadas a China/Rusia/Irán. Tal vez sean peores que Mullvad en privacidad, pero sí funcionan

    • Si yo fuera un servicio de inteligencia de China, Rusia o Irán, operaría uno de esos proveedores de VPN para países de alto riesgo como honeypot y lo usaría para recopilar datos de disidentes

    • Desde mi punto de vista, para alguien técnicamente seguro de sí mismo, la forma más segura es levantar una instancia pequeña en una nube extranjera y acceder a la información con reenvío ssh + proxy

    • No estoy de acuerdo con descartar recomendaciones de métodos o proveedores conocidos como si eso implicara no tener experiencia en evasión de censura

      • Los proveedores anónimos y los métodos temporales al final pueden quedar expuestos a ataques de watering hole

    • Si no confías en lo que hay por fuera, también puedes usar otra VPN encima, en cascada

    • Las VPN que se anuncian de forma comercial, por su naturaleza comercial, probablemente tengan altas posibilidades de estar involucradas con agencias de espionaje estatales

      • Al menos en apariencia funcionan (puedes entrar a sitios bloqueados).
      • Dependiendo de qué agencia las opere, tal vez sí te den privacidad real, o al contrario podrían rastrear usuarios concretos y guardar su tráfico
      • Yo prefiero software gratis (de código abierto) que la empresa no pueda controlar por completo

  • Tengo la impresión de que Australia y el Reino Unido también podrían ir pronto por este camino

    • Lo amargo es que, aunque nosotros (usuarios de HN) encontremos formas de rodearlo, la gente común no tiene ni el presupuesto ni la capacidad técnica, y así el gobierno y los grandes medios pueden frenar eficazmente el periodismo ciudadano

    • Hace apenas 6 meses me habría reído de algo así, pero ahora se siente real y me preocupa (Reino Unido)

    • En Australia ya se venía advirtiendo desde hace tiempo que esto pasaría por razones políticas

      • La política, a diferencia del debate técnico, no se preocupa por la tecnología
      • Todos deben entender que así es como se llega poco a poco a este punto
      • A fines de 2017, el primer ministro Malcolm Turnbull dijo: "Lo que importa no son las leyes de las matemáticas, sino únicamente las leyes australianas"

    • Creo que no hay que subestimar la capacidad de la sociedad

      • Crecí en una zona pobre del Reino Unido, y siempre había por ahí “ese conocido” que te conseguía computadoras/TV compradas por fuera, conexiones eléctricas puenteadas, CDs pirateados o videos
      • Al final va a aparecer “uno de cada dos vecinos” que te instale un proxy en hardware barato como una Raspberry Pi
      • Si soy sincero, si me quedo sin trabajo en IT, yo mismo consideraría hacer ese papel

    • Creo que algunos estados conservadores de EE. UU. también lo intentarán pronto. Como las leyes de verificación de identidad para sitios porno no funcionan, el siguiente paso probablemente será este

    • El 90% del “periodismo ciudadano” en realidad no es periodismo; está al nivel de la ciencia ciudadana sobre investigación de vacunas

  • Tor: fácil de usar y de instalar, alto anonimato y gratis. Pero suele ser objetivo de censura, es lento y los exit nodes son poco confiables para casi todos los sitios

    • Salida Tailscale + Mullvad: es tan fácil como instalar y configurar, más rápido que Tor y con usos variados. La desventaja es que el DPI puede identificar tráfico de Mullvad y cuesta dinero
    • Tu propio VPS con Wireguard o Tailscale: controlas casi todo, eliges velocidad y puedes compartirlo con conocidos. La desventaja es que requiere algo de experiencia operativa y probablemente cueste más de 20~30 dólares al mes en hosting

    • Tailscale solo es necesario si el OP no puede entrar a Mullvad.net para registrarse

      • Si el gobierno de Indonesia bloquea los nodos de Mullvad, no habrá truco que sirva
      • Si intentas acceder mediante un VPS, desde afuera (sitios web) es demasiado fácil identificarte por la IP fija
      • Mi recomendación es instalar Mullvad o Tor en un VPS extranjero y desviar tu tráfico por ese VPS. Si quieres hacerlo desde varios dispositivos al mismo tiempo, lo más fácil es usar el VPS como exit node de Tailscale

    • Hay VPS con Wireguard por 20~30 dólares al año, así que 20~30 dólares al mes suena a error tipográfico. Puedes buscar VPS baratos en vpspricetracker.com

    • NordVPN o ProtonVPN están en una posición parecida a Mullvad. Si es gratis, tú eres el producto; y aunque sea de pago, al final tu tráfico va a servidores VPN públicamente conocidos, así que en algunos países ese solo metadato ya puede ser riesgoso

      • Hay que usarlos con mucho cuidado

    • La IP de un VPS no es tu IP residencial, así que en algunos sitios/servicios pueden bloquear el acceso desde VPS o pedir verificación adicional

      • No hay una solución mejor, pero conviene tenerlo en cuenta

    • Tor también tiene tecnologías anticensura como snowflake. Si el nivel de bloqueo es muy fuerte, Tor puede ser lo más efectivo

  • Trabajo con frecuencia en China, y mi VPN con WireGuard (instalada en mi casa) todavía no ha sido bloqueada

    • El dominio del servidor VPN también aloja un servicio HTTPS, lo que puede ayudar
    • Antes usaba shadowsocks (proxy de código abierto) y obfs (ofuscación) en un droplet de DO, pero ahora lo que más se usa es v2ray+vmess/vless+reality
    • Eso no es una VPN sino un proxy, así que es más fácil disfrazar su naturaleza y da mejor evasión
    • Si lo alojas en un VPS público, bloquear AWS o DO también les resulta costoso, así que tiene cierto sigilo; aunque por otro lado, al ser un endpoint VPN evidente, sus patrones de tráfico pueden llamar la atención
    • Todavía queda algo de información actual en reddit r/dumbclub, por si sirve
    • Hay que tener presente que estas configuraciones son difíciles de montar. Yo mismo creo que es casi un milagro que WireGuard me siga funcionando
    • Otra opción especial es una SIM de roaming. Como el roaming por diseño tuneliza el tráfico hacia la red principal de tu operador, no la bloquean ni en China. Sirve para emergencias como entrar al servidor o ajustar el proxy

  • Estoy viajando por Uzbekistán y me sorprendió que bloquearan el protocolo wireguard como tal.

    • Normalmente conectarme a mi servidor con wireguard no daba problemas, pero esta es la primera vez que veo que bloqueen el protocolo completo
    • Es importante comprobar de antemano qué bloquean y cómo lo hacen, y elegir el proveedor de VPN en función de eso

    • En lugares donde bloquean wireguard, me ha funcionado pasarlo por wstunnel

    • Wireguard en sí tiene patrones de red que destacan, y tampoco fue diseñado buscando ofuscación

      • Algunas herramientas disfrazan el tráfico por 443/TCP

    • Sorprende que un gobierno simplemente bloquee un protocolo cuyo único propósito es que dos computadoras creen un túnel seguro

    • Creo que bloquear el protocolo wireguard también podría volverse realidad pronto en el Reino Unido

      • El papel de los hackers será mucho más importante de aquí en adelante

  • XRay/XTLS-Reality/VLESS también funciona bastante bien. Se dice que incluso en China es difícil de detectar

    • Gracias al firewall chino, la tecnología para evadir censura ha avanzado bastante. ¡Qué gusto ver a alguien mencionar XRay!

    • También sirve un proyecto llamado sing-box (enlace del proyecto).

      • Yo lo uso para enrutar distinto según la app o servicio; por ejemplo, la app del banco por un módem 5G, un banco en EE. UU. por un residential proxy de EE. UU., y todo lo demás por VPN (sin necesidad de root en Android)
      • Este tipo de funciones avanzadas aparecieron gracias al firewall chino

    • Me pregunto si que todo el tráfico se concentre en un solo sitio web no terminaría siendo sospechoso por sí mismo

  • Mastodon es difícil de bloquear por completo para un régimen, y la mayoría de las instancias no bloquean el uso de Tor.

    • De hecho, cuando bloquearon X en Brasil hubo una gran ola de usuarios entrando a Mastodon
    • Puedes ver más información en joinmastodon.org

    • ¿No es fácil bloquear servidores individuales (como mastodon.social) uno por uno?

    • También es más fácil de lo que parece bloquear a nivel de protocolo. Los países que bloquean VPN suelen evolucionar rápido desde el simple bloqueo por IP hacia el bloqueo por protocolo