AmneziaWG es un fork de WireGuard que añade ofuscación. WireGuard simple tiene encabezados de paquetes fijos y tamaños de paquetes predecibles, por lo que la inspección profunda de paquetes (DPI) puede detectarlo y bloquearlo. AmneziaWG aleatoriza esas firmas: puede cambiar los encabezados de tipo de mensaje, rellenar mensajes a tamaños variables y enviar paquetes basura antes del saludo. La criptografía y la velocidad permanecen igual que en WireGuard — solo cambia la forma del tráfico.

¿Deben coincidir los parámetros de AmneziaWG en el servidor y el cliente?

La mayoría de ellos, sí. Según los documentos oficiales de Amnezia, S1, S2 y los cuatro encabezados H1, H2, H3 y H4 deben ser idénticos en ambos pares — indican a cada lado dónde comienzan los datos reales. Las configuraciones de paquetes basura Jc, Jmin y Jmax pueden diferir entre pares y se recomiendan en el lado del cliente. Si S1/S2 o H1-H4 no coinciden, el saludo nunca se completa.

¿Es AmneziaWG más lento que WireGuard?

La ofuscación añade un poco de sobrecarga — los paquetes basura y el relleno significan unos pocos bytes extra por sesión y por paquete. En la práctica, el impacto es pequeño porque el protocolo subyacente sigue siendo WireGuard. Para la navegación diaria en un pequeño VPS, la diferencia generalmente no es notable. Si no necesitas resistencia a DPI, WireGuard simple sigue siendo la opción más ligera.

¿Puedo ejecutar AmneziaWG en un VPS normal como Contabo?

Sí. AmneziaWG se instala en un VPS Linux estándar de la misma manera que WireGuard. En Ubuntu y Debian hay un PPA oficial (ppa:amnezia/ppa) que proporciona el módulo del kernel (con DKMS) y las herramientas awg / awg-quick. Un pequeño VPS con acceso root completo — por ejemplo, un Contabo VPS S — es suficiente para alojar el lado del servidor.

¿Cuándo debería elegir AmneziaWG sobre WireGuard simple?

Elígelo cuando tu red bloquee o limite activamente WireGuard: algunos operadores móviles, cortafuegos corporativos y sistemas de filtrado nacionales detectan la firma de WireGuard. Para una red doméstica u oficina abierta, WireGuard simple es más sencillo y no hay razón para añadir ofuscación. AmneziaWG es la respuesta a la detección, no una actualización por defecto.

AmneziaWG: el fork de WireGuard resistente a DPI, autoalojado (2026)

Divulgación de afiliados — Este artículo contiene enlaces de afiliados de Contabo. Si alquilas un VPS a través de uno de ellos, ganamos una comisión sin costo adicional para ti. Cada comando y parámetro a continuación está documentado del proyecto oficial AmneziaWG, no de pruebas internas.

WireGuard es rápido, moderno y fácil de autoalojar. Tiene una debilidad: es fácil de detectar. El protocolo utiliza encabezados de paquetes fijos y tamaños de paquetes predecibles, por lo que una red que ejecute inspección profunda de paquetes (DPI) puede reconocer el tráfico de WireGuard y bloquearlo. Eso es exactamente lo que hacen algunos operadores móviles, cortafuegos corporativos estrictos y filtros nacionales.

AmneziaWG es la respuesta a ese problema. Es un fork de WireGuard que mantiene la misma criptografía y la misma velocidad, pero cambia la forma del tráfico para que el DPI ya no pueda identificarlo. Esta guía explica qué hace realmente AmneziaWG, qué significa cada configuración de ofuscación y cómo autoalojar el lado del servidor en tu propio VPS.

Por qué WireGuard simple es detectado

El DPI no necesita romper la encriptación para bloquearte. Solo necesita reconocer el patrón. WireGuard facilita eso de tres maneras:

Encabezados de mensajes fijos. Cada paquete de WireGuard comienza con un campo de tipo conocido. Un filtro puede leer los primeros bytes y decir "esto es un saludo de WireGuard".
Tamaños de paquetes predecibles. Los mensajes de saludo tienen longitudes establecidas. Un filtro puede coincidir solo con esas longitudes.
Un claro estallido de saludo. La conexión siempre se abre de la misma manera, por lo que el inicio de una sesión destaca.

En conjunto, estos rasgos le dan a WireGuard una firma clara. Una vez que una red conoce esa firma, puede descartar los paquetes y tu túnel simplemente nunca se conecta.

Qué cambia AmneziaWG

AmneziaWG es descrito por sus autores como una versión contemporánea de WireGuard con ofuscación incorporada. Elimina la firma utilizando algunas herramientas independientes. Las activas con campos adicionales en la sección [Interface] de tu configuración.

Primer plano de un terminal de Ubuntu mostrando el prompt ubuntu@ubuntu:~$ sudo

Aquí está lo que hace cada grupo de configuraciones, basado en la documentación oficial de Amnezia.

Paquetes basura — Jc, Jmin, Jmax

Antes del saludo real, AmneziaWG puede enviar una breve serie de paquetes "basura" aleatorios.

Jc es cuántos paquetes basura enviar. Los documentos recomiendan un valor de 4 a 12.
Jmin y Jmax establecen el rango de tamaño aleatorio para esos paquetes, recomendado entre 8 y 80 bytes.

Los paquetes basura difuminan el claro estallido de saludo que busca el DPI. Se recomiendan en el lado del cliente y pueden diferir entre los dos pares.

Relleno de mensajes — S1, S2

S1 y S2 añaden relleno aleatorio a los mensajes de saludo — S1 al mensaje de inicio y S2 a la respuesta. El rango recomendado es aproximadamente de 15 a 150 bytes. Esto rompe la señal de "tamaño de paquete predecible": los mensajes ya no tienen una longitud fija y coincidente.

Aleatorización de encabezados — H1, H2, H3, H4

H1 a H4 reemplazan los encabezados de tipo de mensaje fijos de WireGuard con valores extraídos de rangos que eliges. Para cada paquete enviado, se elige un valor aleatorio del rango; en el otro lado, se acepta cualquier valor dentro del rango. Los cuatro rangos deben ser diferentes entre sí y no deben superponerse. Este es el cambio que borra la firma más obvia de WireGuard.

La regla que confunde a la gente: qué parámetros deben coincidir

Aquí es donde la mayoría de las configuraciones fallidas se equivocan, por lo que merece su propia sección.

Según la documentación oficial de Amnezia: todos los parámetros deben ser los mismos entre cliente y servidor, excepto Jc, Jmin y Jmax, que pueden variar.

En términos simples:

S1, S2, H1, H2, H3, H4 → deben ser idénticos en ambos pares. Indican a cada lado dónde comienzan los datos reales y significativos. Si no coinciden, el receptor no puede encontrar el paquete real y el saludo falla silenciosamente.
Jc, Jmin, Jmax → pueden diferir por par. Se recomiendan en el cliente.

Así que la solución para "AmneziaWG no se conecta" casi siempre es la misma: verifica que los encabezados y el relleno coincidan exactamente en ambos extremos.

Autoalojar el servidor en un VPS

AmneziaWG se instala en un VPS Linux normal de la misma manera que WireGuard. Necesitas un servidor con acceso root completo y una dirección IPv4 pública. Una máquina pequeña como un Contabo VPS S a €4.99/mes es suficiente, y puedes reutilizar la misma máquina que ya ejecuta tu configuración de WireGuard.

Instalar en Ubuntu o Debian

El proyecto Amnezia proporciona un PPA oficial. En Ubuntu:

sudo add-apt-repository ppa:amnezia/ppa
sudo apt update
sudo apt install amneziawg amneziawg-tools

El paquete proporciona el módulo del kernel — con soporte DKMS en sistemas compatibles, por lo que se reconstruye después de las actualizaciones del kernel — y las herramientas de espacio de usuario. Las herramientas de línea de comandos son awg y awg-quick, que reflejan wg y wg-quick. Si ya conoces WireGuard, el flujo de trabajo es el mismo.

Escribir la configuración del servidor

Crea /etc/amnezia/amneziawg/awg0.conf. Se parece a una configuración de WireGuard más los campos de ofuscación en [Interface]:

[Interface]
PrivateKey = <server-private-key>
Address = 10.13.13.1/24
ListenPort = 51820

# Ofuscación — estos deben coincidir también en el cliente
Jc = 8
Jmin = 8
Jmax = 80
S1 = 86
S2 = 118
H1 = 1234567
H2 = 7654321
H3 = 3141592
H4 = 2718281

[Peer]
PublicKey = <client-public-key>
AllowedIPs = 10.13.13.2/32

Elige tus propios valores aleatorios — los números anteriores son marcadores de posición. Las únicas reglas estrictas son: mantén S1/S2 y H1-H4 dentro de los rangos recomendados, mantén los cuatro rangos H distintos y copia S1, S2, H1, H2, H3, H4 exactamente en la configuración del cliente.

Levanta el túnel:

sudo awg-quick up awg0

Verifícalo con sudo awg show, de la misma manera que ejecutarías wg show.

La configuración del cliente correspondiente

La configuración del cliente repite los mismos valores S y H. Solo las configuraciones de basura son libres de diferir:

[Interface]
PrivateKey = <client-private-key>
Address = 10.13.13.2/24
DNS = 10.13.13.1

# Deben coincidir con el servidor
S1 = 86
S2 = 118
H1 = 1234567
H2 = 7654321
H3 = 3141592
H4 = 2718281
# Pueden diferir del servidor
Jc = 10
Jmin = 8
Jmax = 80

[Peer]
PublicKey = <server-public-key>
Endpoint = your-vps-ip:51820
AllowedIPs = 0.0.0.0/0
PersistentKeepalive = 25

Hay clientes oficiales de AmneziaWG para Windows, plataformas Apple, Android y la implementación de amneziawg-go en espacio de usuario, por lo que el mismo servidor funciona con escritorio y móvil.

AmneziaWG vs WireGuard simple — cuándo usar cuál

AmneziaWG no es una actualización directa. Es una herramienta específica. Usa esta guía rápida:

Red doméstica u oficina abierta → WireGuard simple. Es más sencillo y no hay nada que ocultar.
Operador, cortafuegos o país que bloquea WireGuard → AmneziaWG. La ofuscación es todo el punto.
Quieres el túnel más ligero posible → WireGuard simple. La ofuscación añade un poco de sobrecarga.
Ya autoalojas WireGuard y dejó de conectarse en una nueva red → prueba AmneziaWG en el mismo VPS antes de asumir que el servidor está roto.

El resumen honesto: AmneziaWG resuelve la detección, no la velocidad ni la privacidad. La encriptación es el mismo WireGuard en el que ya confías. Lo que cambia es si un filtro puede verlo.

Más allá

Autoalojar VPN en Contabo: guía completa de WireGuard 2026
Cloak HTTPS ofuscación para una VPN autoalojada
Bypass VPN anti-DPI: qué pilas aún funcionan en 2026
WireGuard vs OpenVPN: un análisis profundo
Generador de configuración de WireGuard — construye una configuración base limpia en menos de un minuto

Fuentes y referencias:

Publicado el 2026-06-23. Todos los parámetros, rangos y pasos de instalación están tomados de la documentación y repositorios del proyecto oficial AmneziaWG enlazados arriba. Siempre confirma los valores recomendados actuales en los documentos oficiales antes de desplegar, ya que el proyecto los actualiza con el tiempo.

Recordatorio: WireGuard, AmneziaWG y autoalojar tu propia VPN son legales en la UE, EE.UU., Canadá y la mayoría de los países democráticos. VPNSmith publica este contenido con fines educativos.

★ Datacenter Núremberg GDPR · ✓ IPv4 dedicada incluida · 200+ Mbps garantizados

Un VPS que controlas para túnel y ofuscación → ContaboAcceso root · abre cualquier puerto · tu propia stack→