VLESS Reality es una forma de ejecutar un proxy cifrado que, ante cualquier cosa que vigile la red, parece una visita corriente a un sitio web real. Combina el transporte ligero VLESS de Xray con el handshake REALITY, que toma prestada la huella TLS de un sitio genuino para que la inspección profunda de paquetes no tenga nada que marcar. La configuración requiere un servidor pequeño y unos quince minutos.

Respuesta corta: rentas un servidor fuera de la red filtrada, instalas Xray en él, activas un inbound VLESS con seguridad REALITY e importas el enlace generado en una app cliente. REALITY hace la parte difícil: vuelve el handshake TLS de tu servidor indistinguible del de un sitio web real y popular, que es la razón por la que esta combinación sigue pasando donde herramientas más viejas quedan bloqueadas.

Puntos clave

  • VLESS es el transporte sin adornos de Xray. Por sí mismo no lleva cifrado, así que siempre se combina con una capa de seguridad — aquí, REALITY.
  • REALITY es el truco que importa: hace que tu servidor presente el handshake TLS de un sitio de terceros real, venciendo tanto la toma de huella como el sondeo activo sin necesidad de tu propio dominio ni certificado.
  • Esto es autoalojado. Necesitas tu propio servidor (un VPS barato) en una ubicación que no esté filtrada — no hay cuenta que registrar.
  • Dos vías de configuración comunes: el panel web 3x-ui (lo más fácil) o un config de Xray escrito a mano (más control). Abajo se cubren ambas.
  • Es potente, pero es tuyo de operar: un servidor, sin conmutación por error y mantenimiento continuo son los costos reales.

Qué es VLESS Reality en realidad

Tres piezas se apilan juntas, y ayuda separarlas.

Xray (Xray-core) es el motor del proxy — un descendiente activamente mantenido del proyecto V2Ray. Habla varios protocolos; VLESS es uno de ellos.

VLESS es un protocolo de transporte deliberadamente mínimo. El nombre señala lo que deja fuera: donde el protocolo VMess más antiguo hacía su propio cifrado y su autenticación basada en marcas de tiempo, VLESS suelta todo eso y no lleva nada de cifrado propio. Eso suena como un retroceso hasta que ves el punto. Al quitarse del medio, VLESS deja que una capa de seguridad dedicada haga el cifrado, con menos sobrecarga y una firma más limpia en la red.

REALITY es esa capa de seguridad, y es la razón por la que esta configuración vale la molestia. El problema que resuelve es específico. Un proxy TLS normal tiene que presentar un certificado, y un certificado es una huella. Los certificados autofirmados parecen sospechosos; un certificado para tu propio dominio ata el servidor a ti y puede enumerarse. Peor aún, los sistemas de censura ejecutan sondeos activos: se conectan ellos mismos a un servidor sospechoso para ver cómo se comporta. La mayoría de los disfraces fallan esa prueba.

La respuesta de REALITY es dejar de fingir y empezar a tomar prestado. En lugar de servir su propio certificado, tu servidor completa un handshake TLS 1.3 real usando la identidad de un sitio web genuino y popular que tú nominas. Un cliente autorizado — uno que tiene tu clave pública y un short ID que coincide — es dirigido hacia el proxy. Cualquier otro, incluido un sondeador gubernamental, es reenviado de forma transparente a ese sitio web real y ve su certificado real y válido. No hay anomalía que detectar, porque para un observador externo la conexión es una conexión real a un sitio real.

Si quieres el contexto más amplio de por qué existen herramientas como esta, cómo Irán, Rusia y China bloquean las VPN cubre la inspección profunda de paquetes y los sistemas de sondeo activo que REALITY está construido para sobrevivir.

Qué necesitas antes de empezar

  • Un VPS (servidor privado virtual) en una ubicación que no esté detrás del cortafuegos que intentas cruzar. Cualquier instancia pequeña que ejecute un Debian o Ubuntu reciente sirve.
  • Acceso SSH a ese servidor, como root o un usuario sudo.
  • Unos quince minutos.

Una cosa que no necesitas es tu propio nombre de dominio ni un certificado TLS. Eliminar ese requisito es la principal comodidad de REALITY, y buena parte de por qué esta configuración es más rápida de levantar que los proxies de TLS y dominio que la precedieron.

Configuración, vía A: el panel 3x-ui

Si prefieres hacer clic a editar JSON, el panel 3x-ui es la ruta más común, y genera las claves por ti. Los pasos numerados:

  1. Consigue un VPS y conéctate. Crea el servidor con tu proveedor, luego entra por SSH: ssh root@your-server-ip.
  2. Ejecuta el script de instalación. Pega el instalador de una línea del README del proyecto 3x-ui. Instala el panel y Xray, e imprime una dirección de panel, un puerto y un acceso.
  3. Inicia sesión y blíndalo. Abre la URL del panel en un navegador e inicia sesión. Cambia de inmediato el nombre de usuario, la contraseña y la ruta del panel por defecto — un panel expuesto con credenciales por defecto es la forma más común en que estas configuraciones se ven comprometidas.
  4. Crea el inbound. Añade un nuevo inbound, pon el protocolo en VLESS, y pon la seguridad en REALITY.
  5. Deja que el panel rellene la criptografía. Usa los botones para generar el UUID, el par de claves x25519 y un short ID. Para el destino y el SNI, elige un sitio real que cumpla los criterios de la sección de abajo.
  6. Exporta e importa. Guarda, luego copia el enlace para compartir o escanea el código QR en tu app cliente. Ese único enlace contiene todo lo que el cliente necesita.

Ese es el flujo entero. El panel hace exactamente lo que hace la vía manual; solo oculta el archivo de configuración.

Configuración, vía B: el config de Xray a mano

La ruta manual te da más control y ninguna pieza móvil extra. Ejecutarás dos comandos para generar las credenciales, y luego escribirás un archivo de configuración.

  1. Instala Xray-core. Usa el instalador oficial del proyecto XTLS Xray-core. Coloca el binario y un servicio systemd en el servidor.
  2. Genera las credenciales. Ejecuta xray uuid para un ID de cliente, luego xray x25519 para un par de claves. Mantén la clave privada en el servidor; la clave pública va a tus clientes.
  3. Escribe el config. Un inbound VLESS mínimo con REALITY se ve así:
    {
      "inbounds": [{
        "port": 443,
        "protocol": "vless",
        "settings": {
          "clients": [{ "id": "PASTE-UUID", "flow": "xtls-rprx-vision" }],
          "decryption": "none"
        },
        "streamSettings": {
          "network": "tcp",
          "security": "reality",
          "realitySettings": {
            "dest": "example.com:443",
            "serverNames": ["example.com"],
            "privateKey": "PASTE-PRIVATE-KEY",
            "shortIds": ["", "0123abcd"]
          }
        }
      }],
      "outbounds": [{ "protocol": "freedom" }]
    }
  4. Reinicia y comprueba. Reinicia el servicio Xray y confirma que está escuchando en el puerto 443.
  5. Construye el enlace del cliente. Ensambla la URL para compartir a partir del UUID, tu clave pública, un short ID y el SNI. La mayoría de la gente genera esto una vez y lo reutiliza.

Aquí unos pocos campos se ganan su lugar. flow puesto en xtls-rprx-vision activa XTLS Vision, que recorta el cifrado duplicado de tunelizar TLS dentro de TLS, así que es más rápido y más silencioso a la vez. dest y serverNames son la identidad prestada. privateKey se empareja con la clave pública que tiene tu cliente, y shortIds permite a un servidor distinguir entre clientes.

Elegir un "dest" — la única decisión que importa

El sitio de destino que tomas prestado es la diferencia entre pasar desapercibido y destacar. Apunta a un sitio que:

  • Admita TLS 1.3 y HTTP/2 (REALITY necesita un handshake moderno que imitar).
  • No esté ya bloqueado donde están tus clientes — te escondes dentro de su tráfico, así que tiene que ser accesible.
  • Esté alojado fuera de tu propio país y no sea raro de visitar para alguien de allí.
  • No sea tu propio dominio, y no sea un host diminuto u oscuro que se vería extraño como destino.

Acierta con esto y el tráfico de tu servidor es estadísticamente aburrido. Equivócate — un sitio bloqueado, o uno que en realidad no admite el handshake que afirmas — y te has vuelto más llamativo, no menos.

Conectar un cliente

El mismo enlace de conexión funciona en todas las plataformas; lo importas en el cliente que encaje con tu dispositivo.

  • Windows / Linux: v2rayN y clientes de escritorio similares.
  • Android: v2rayNG.
  • iOS: apps que admiten VLESS con REALITY y el flow Vision — Shadowrocket, Streisand y V2Box son opciones comunes. Pega el enlace o escanea el QR.

Sea lo que sea lo que uses, haz una comprobación rápida después de conectar: confirma que tu IP pública ha cambiado a la del servidor, y que el DNS no se está fugando por fuera del túnel. Un proxy que se fuga en silencio anula el propósito.

En qué es bueno — y sus límites reales

La versión honesta del argumento es corta. VLESS Reality es, hoy, una de las formas más fiables de sacar una conexión de una red fuertemente filtrada. Vence el sondeo activo que atrapa a las herramientas más simples, no necesita dominio ni certificado, y con Vision el costo de rendimiento es pequeño. Para el problema de la censura en concreto, es excelente.

Pero el autoalojamiento es un trato, no una comida gratis, y los costos vale la pena decirlos con claridad:

  • Es un único punto de fallo. Un servidor, una dirección IP. Si esa IP queda bloqueada, o tu proveedor marca la instancia, estás caído sin conmutación por error hasta que reconstruyas en otra parte.
  • Tú eres el operador. Parchear el sistema operativo, actualizar Xray, mantener seguras las claves y el panel: ese trabajo no se detiene. Un panel desactualizado o una contraseña por defecto reutilizada es un riesgo real, no hipotético.
  • La cobertura depende del cliente. Enrutar un dispositivo entero, manejar el DNS y comportarse de forma segura cuando el túnel se cae son aquí trabajo del cliente, y los clientes varían. Una VPN completa estandariza ese comportamiento; una configuración de proxy te deja más de eso a ti. Ese contraste es el corazón de Shadowsocks vs una VPN.
  • El disfraz también necesita mantenimiento. Un destino prestado que queda bloqueado, o un cliente que se queda atrás del protocolo, puede volver ruidosa una configuración silenciosa.

También hay un enfoque paralelo que conviene conocer. REALITY oculta un proxy imitando un sitio web; el mundo de WireGuard responde al mismo problema de la inspección profunda de paquetes desde el lado de la VPN reconfigurando el protocolo en sí, que es el tema de AmneziaWG vs WireGuard. Y si quieres primero la comparación de base de estos protocolos de túnel, WireGuard vs OpenVPN vs IKEv2 expone las concesiones.

Preguntas frecuentes

¿Qué es VLESS Reality? Es la combinación de dos cosas en Xray: VLESS, un protocolo de transporte ligero que lleva tu tráfico, y REALITY, una capa de seguridad que disfraza la conexión como una visita TLS normal a un sitio web real. Juntos forman un proxy difícil de detectar o sondear para los sistemas de censura.

¿VLESS Reality está cifrado? Sí — pero no por VLESS. VLESS en sí no lleva cifrado. El cifrado viene de la sesión TLS 1.3 genuina que REALITY establece, que es el mismo cifrado moderno que asegura el HTTPS ordinario. Así que tu tráfico está cifrado; el cifrado simplemente vive en la capa REALITY en lugar de en el transporte.

¿Qué significa "VLESS"? Es un protocolo de transporte de la familia V2Ray/Xray, diseñado como un sucesor más ligero de VMess. El nombre apunta a lo que quita: hace menos, sobre todo soltando el cifrado integrado y la autenticación por marca de tiempo que VMess llevaba. Ese minimalismo es la característica — deja el cifrado a TLS o REALITY y mantiene bajas la sobrecarga y las firmas.

¿VLESS es mejor que VMess? Para una configuración sigilosa moderna, normalmente sí. VLESS es más ligero y puede usar el flow XTLS Vision, que VMess no puede, y se combina limpiamente con REALITY. VMess sigue funcionando y trae su propio cifrado integrado, pero su handshake es más fácil de tomar por huella, que es exactamente lo que intentas evitar en una red filtrada.

¿VLESS Reality es gratis? El software sí — Xray y REALITY son de código abierto sin costo. Lo que pagas es el servidor en el que corre. Desconfía de las configuraciones "gratis" públicas compartidas en línea: usar una significa enrutar todo tu tráfico por el servidor de un desconocido, con el mismo problema de confianza que cualquier proxy gratis.

En resumen

  • VLESS Reality es un proxy sigiloso autoalojado: el transporte VLESS de Xray más el handshake REALITY, que disfraza el servidor como un sitio web real.
  • Vence la toma de huella y el sondeo activo que bloquean a las herramientas más simples, y no necesita tu propio dominio ni certificado.
  • La configuración es un VPS y un config corto (ya sea a través del panel 3x-ui o un archivo escrito a mano), y la elección más importante de todas es el sitio de destino que tomas prestado.
  • El costo es la propiedad: un servidor, sin conmutación por error, y el mantenimiento que viene con operar tu propia infraestructura.

Operar tu propio servidor VLESS Reality te da control total, a costa de ser quien lo mantiene parcheado, pagado y vivo. Si estás en el iPhone y preferirías tener una conexión WireGuard ofuscada que no tengas que operar — sin servidor que rentar, sin claves que rotar, sin correo ni cuenta — ese es el lado para el que está construida Snap VPN, y está en la App Store.