Divulgación de afiliados — Este artículo contiene enlaces de afiliación (Contabo, NordVPN). Si contratas un VPS o una suscripción a través de nuestros enlaces, recibimos una comisión sin coste adicional para ti. Solo recomendamos lo que probamos realmente en producción.
"¿Shadowsocks es una VPN, no?" — la pregunta surge a menudo en foros self-host. Respuesta corta: no. Shadowsocks es un proxy SOCKS5 cifrado, creado en 2012 por "clowwindy" para evadir el Gran Cortafuegos chino. Su filosofía es opuesta a WireGuard: producir tráfico indistinguible de ruido aleatorio para volar bajo el radar del DPI, mientras que WireGuard produce tráfico ultra-limpio, identificable pero criptográficamente impecable.
Las dos herramientas no se oponen frontalmente — responden a necesidades distintas. Esta comparativa repasa ambas en 8 dimensiones concretas (protocolo, rendimiento, censura, móvil, ecosistema, seguridad, coste operativo, curva de aprendizaje) con mediciones reales en VPS Contabo y análisis honesto de lo que desplegamos en VPNSmith.
Arquitectura protocolar: la diferencia fundamental
WireGuard opera en capa 3 (red). Una vez la interfaz wg0 levantada, todo el tráfico IP de la máquina puede ser enrutado por dentro: DNS, ICMP, aplicaciones, servicios del sistema. Es una VPN en el sentido clásico: transparente para las apps, kill switch via routing tables, IP única expuesta al exterior. Protocolo: UDP, cifrado ChaCha20-Poly1305, handshake Noise IK.
Shadowsocks opera en capa 7 (aplicación). Es un proxy SOCKS5 + cifrado encima. Las aplicaciones deben apuntar explícitamente a 127.0.0.1:1080 (puerto local SS-client) para pasar por él. Consecuencia: Firefox via SS = cifrado; ping a 8.8.8.8 = en claro directo. Protocolo: TCP (UDP opcional via plugin), cifrado AEAD ChaCha20-Poly1305 o AES-256-GCM.
Esta diferencia de abstracción tiene consecuencias prácticas:
| Aspecto | WireGuard | Shadowsocks-rust |
|---|---|---|
| Capa OSI | 3 (red) | 5/7 (sesión/app) |
| Transporte | UDP | TCP (+UDP via plugin) |
| Setup OS | Interfaz wg0, módulo kernel | Demonio userspace + config app/SOCKS5 |
| Cubre todo el tráfico | Sí (por defecto) | No (apps deben hacer opt-in) |
| Visibilidad DPI | Handshake 148 bytes identificable | Ruido AEAD sin estructura |
| Velocidad percibida | Alta (kernel) | Alta pero userspace |
Para uso personal "always-on" donde quieres que todo salga por el VPS, WireGuard. Para uso anti-censura focalizado (Firefox en China, Telegram en Irán) sin enrutar todo el tráfico, Shadowsocks.
Rendimiento medido en Contabo VPS S
Tests iperf3 + curl, VPS Contabo S Núremberg, cliente residencial fibra Movistar 1 Gbps Madrid, mediana de 10 sesiones, abril 2026.
| Método | Latencia añadida | iperf3 TCP | Descarga curl 1 GB | CPU servidor @ 100 Mbps |
|---|---|---|---|---|
| Directo (sin túnel) | referencia | 920 Mbps | 880 Mbps | — |
| WireGuard puro | +6 ms | 195 Mbps | 188 Mbps | 4% |
| Shadowsocks-rust 2022 | +9 ms | 165 Mbps | 155 Mbps | 8% |
| SS + v2ray-plugin (TLS+WS) | +14 ms | 105 Mbps | 98 Mbps | 14% |
| WireGuard + wstunnel (WS+TLS) | +13 ms | 112 Mbps | 105 Mbps | 14% |
Análisis:
- WireGuard puro gana en throughput bruto (kernel-space, batching de paquetes) y latencia (UDP single-trip).
- Shadowsocks-rust en claro se mantiene muy cerca (~85% del rendimiento WG) — la implementación Rust está muy optimizada.
- En cuanto añades una capa de ofuscación (TLS+WS), ambos convergen alrededor de 100 Mbps. El coste de la ofuscación es dominante, no la elección del protocolo subyacente.
Para el 99% de los usos humanos (navegación, video HD, videollamadas), todo supera ampliamente lo necesario. La distinción de rendimiento solo se vuelve crítica para streaming 4K continuo, gaming competitivo (<30 ms ping) o transferencias cloud grandes.
Resistencia a la censura: donde Shadowsocks brilla
Es el terreno histórico de Shadowsocks. El GFW chino y el SmartFilter iraní tienen estrategias distintas:
GFW (China):
- Detecta el handshake WireGuard en < 50 ms y descarta. Ningún bypass posible sin ofuscación.
- Para Shadowsocks-2022 puro: análisis estadístico de entropía sobre los primeros paquetes. Detecta 60-80% de las sesiones tras unos minutos. Los usuarios locales reportan throttling progresivo, no bloqueo seco.
- Para SS + v2ray-plugin (TLS+WS): muy difícil de bloquear sin daño colateral masivo. Es el setup recomendado por GFW Report para 2025-2026.
SmartFilter (Irán):
- WireGuard puro: bloqueado en 5-15 minutos según el datacenter de destino.
- Shadowsocks-2022 puro: pasa durante días en la mayoría de casos, throttling fuerte durante manifestaciones.
- SS + v2ray-plugin: muy fiable, incluso en períodos de tensión.
Rusia (TSPU):
- Bloquea WireGuard con reconocimiento progresivo desde finales de 2024.
- Shadowsocks sigue masivamente utilizado, pero TSPU sube en competencia trimestralmente. Vigilar ntc.party para el estado de las técnicas.
Conclusión: si te desplazas regularmente a China continental, Irán o Rusia, Shadowsocks + v2ray-plugin es más robusto que WireGuard puro. Para ir más lejos, ver nuestra guía bypass DPI en Contabo.
Negación plausible (plausible deniability)
Tema sensible pero legítimo: si usas un túnel en un país donde es ilegal, ¿puedes negarlo si te inspeccionan?
WireGuard: negación débil. Un simple ip link show revela la interfaz wg0. El archivo /etc/wireguard/wg0.conf es explícito. En un móvil, la app WireGuard está listada. Si examinan tu dispositivo, estás expuesto.
Shadowsocks: negación moderada. El binario ss-local puede ser renombrado, la config en un archivo arbitrario. En móvil, apps como Outline (Google Jigsaw) o Shadowrocket están en las stores. No indetectable, pero menos evidente. Para negación realmente plausible, mira Tor con obfs4 o Snowflake.
Nota importante: en cualquier caso, en la frontera china o iraní, nunca tener la app en el móvil que presentas en aduana es la regla. Un móvil limpio + configuración sobre la marcha sigue siendo la práctica de los residentes que se toman el tema en serio.
Ecosistema de cliente móvil
Es un punto práctico a menudo olvidado. Compatibilidad 2026:
| Cliente | iOS | Android | Windows | macOS | Linux |
|---|---|---|---|---|---|
| WireGuard oficial | ✅ AppStore | ✅ PlayStore + F-Droid | ✅ | ✅ | ✅ wg-quick |
| Outline (Shadowsocks Google) | ✅ | ✅ | ✅ | ✅ | ✅ |
| Shadowrocket | ✅ (2,99 €) | ❌ | ❌ | ❌ | ❌ |
| v2rayN / v2rayNG | ❌ | ✅ v2rayNG | ✅ v2rayN | ❌ | ❌ |
| ClashX / ClashY | ✅ | ✅ ClashY | ✅ | ✅ | ✅ |
En iOS, el ecosistema Shadowsocks está dominado por Shadowrocket (de pago, pago único 2,99 €) que soporta SS, SS+v2ray-plugin, V2Ray, Trojan, y ofrece kill switch. Inversión razonable si planeas viajes a Asia.
En Android, v2rayNG (open source, F-Droid) gestiona todos los protocolos SS + V2Ray. Outline (Jigsaw) es más simple pero limitado a SS solamente.
Para WireGuard, la app oficial es universal y excelente. Difícil hacerlo mejor en UX. Punto ganador claro para el día a día.
Seguridad criptográfica
Ambos protocolos usan primitivas modernas y se consideran seguros en 2026.
WireGuard:
- ChaCha20-Poly1305 (cifrado autenticado AEAD)
- Curve25519 (intercambio de claves)
- BLAKE2s (hashing)
- HKDF (derivación de claves)
- Sin PFS por sesión (claves estables mientras no las rotes), pero rekey periódico automático cada 2 minutos o 60 GB.
Shadowsocks-2022 (SIP022):
- ChaCha20-Poly1305 o AES-256-GCM (AEAD)
- Pre-shared key (32 bytes base64)
- Sin intercambio de claves asimétrico — es una debilidad teórica (imposible hacer forward secrecy estricto), pero en la práctica la clave estática compartida es OK si es aleatoria y rotada cada 6-12 meses.
Veredicto seguridad: contra amenazas "técnicas" (intercepción pasiva, MITM de red), ambos son equivalentes en 2026. Contra amenazas "activas" (revelación del uso de una VPN), Shadowsocks es más discreto. Contra amenazas "materiales" (incautación del dispositivo), ninguno es suficiente — hace falta Tor + Tails.
Coste operativo en VPS
Sobre un mismo VPS Contabo VPS S (4,99 €/mes, ver oferta):
| Métrica | WireGuard puro | Shadowsocks-rust + plugin |
|---|---|---|
| RAM en reposo | ~5 MB | ~15 MB |
| RAM @ 100 Mbps | ~12 MB | ~45 MB |
| CPU @ 100 Mbps | 4% de un vCPU | 8-14% de un vCPU |
| Disco consumido | ~2 MB binario | ~12 MB binario + cert TLS |
| Logs (auto-rotados) | ~500 KB/día | ~1,5 MB/día |
En un VPS S con 4 vCPU / 8 GB RAM, puedes alojar los dos simultáneamente sin degradación. Es nuestro setup recomendado: WireGuard para 90% de los usos, Shadowsocks como fallback para redes hostiles.
Curva de aprendizaje
WireGuard: ~2 horas para un sysadmin para entender claves pub/priv, AllowedIPs, NAT para el forward, kill switch via PostUp/PostDown. Doc oficial buena, nuestra guía self-host Contabo cubre todo.
Shadowsocks-rust: ~1 hora para el setup básico en claro. +2 horas para entender v2ray-plugin (TLS+WS), dominio, Caddy. Documentación oficial correcta, muchos tutoriales en chino (a pasar por DeepL).
Para un principiante completo: WireGuard es más simple conceptualmente, Shadowsocks es más simple de instalar "tal cual" sin ofuscación. Con ofuscación, son equivalentes.
Cuándo elegir una VPN comercial en su lugar
Honestidad editorial: self-host de Shadowsocks o WireGuard requiere un VPS + mantenimiento. Si solo quieres una VPN para Netflix US, ocultar tu IP diaria o uso esporádico sin técnica, una VPN comercial es más rentable en tiempo.
Nuestra referencia cross-sell: NordVPN ofrece WireGuard (NordLynx) + obfuscated servers (basado en OpenVPN ofuscado). Bueno en China el 70% del tiempo, excelente en otros lugares. Coste ~3 €/mes en plan 2 años.
Cuando el self-host gana:
- Uso permanente + necesidad de IP fija no compartida.
- Volumen de transferencia grande (las VPN comerciales hacen throttling tras ~500 GB/mes en la práctica).
- Confidencialidad fuerte (un proveedor comercial puede ser requerido por la justicia; tu VPS es tuyo).
Cuando lo comercial gana:
- Movilidad geográfica fuerte (NordVPN tiene 6000+ servidores en 60 países, tu VPS Contabo tiene 1).
- Sin ganas de mantener (sin actualizaciones Ubuntu, sin cert TLS, sin fail2ban).
- Necesidad de IPs diferentes regularmente (deporte, streaming geo-bloqueado).
Muchos de nuestros lectores tienen ambos: self-host para diario, comercial para casos específicos.
Matriz de decisión final
| Quieres... | Elige | Por qué |
|---|---|---|
| Always-on todo el tráfico, simple | WireGuard | Transparente OS, kill switch fácil |
| Bypass GFW China | SS + v2ray-plugin | Más discreto al DPI |
| Bypass firewall corporativo (solo 443) | SS + v2ray-plugin o wstunnel | TLS + WS sobre 443 |
| Velocidad máxima en enlace estable | WireGuard | Kernel-space, UDP single-trip |
| Multiplexar varios usuarios / apps | Shadowsocks | SOCKS5 estándar |
| Setup más rápido (sin ofuscación) | WireGuard | Herramientas maduras |
| Rutas dirigidas por app (split tunneling a nivel app) | Shadowsocks | Apps opt-in explícito |
| Discreción ante inspección del dispositivo | SS > WG (pero limitado) | Sin interfaz de red dedicada |
Para profundizar
- Self-host VPN en Contabo: guía WireGuard completa 2026
- V2Ray VMess/VLess: configuración completa 2026
- wstunnel: túnel TCP/UDP sobre WebSocket 2026
- Enrutado VPN custom Contabo: bypass DPI Irán / China
Fuentes técnicas:
- Especificación Shadowsocks 2022 (SIP022)
- WireGuard whitepaper — Jason A. Donenfeld
- GFW Report — datos live de bloqueos
- shadowsocks-rust GitHub
- v2ray-plugin GitHub
Artículo publicado el 2026-06-03. Benchmarks realizados sobre VPS Contabo VPS S Núremberg + cliente residencial fibra Madrid, abril 2026. Todas las técnicas anti-censura evolucionan rápidamente: lo que es cierto en Q2 2026 puede cambiar en Q4. Siempre contrastar con fuentes locales antes de desplazamiento de riesgo.
Recordatorio legal: el uso de Shadowsocks o WireGuard es legal en la UE, EE.UU., Canadá y la mayoría de países. Ilegal en China, Irán, Rusia, EAU con sanciones variables. VPNSmith publica esta comparativa con fines educativos — tú eres el único responsable de tu uso.
★ Datacenter Nuremberg GDPR · ✓ IPv4 dédiée incluse · 200+ Mbps garantis
Probar Contabo30 jours satisfait ou remboursé→
