Shadowsocks: configuración y conexión en 2026

Si has recibido una configuración del proveedor o has encontrado instrucciones en el chat, pero aún no entiendes qué poner dónde, este material es para ti. Shadowsocks: la configuración y conexión en la práctica resultan ser más simples de lo que parece, pero hay varios lugares donde la gente se queda atascada. Vamos a desglosar todo en orden: desde la estructura de la configuración hasta el diagnóstico, cuando hay conexión, pero los sitios no se abren.

Qué es Shadowsocks y por qué se necesita para eludir bloqueos

Shadowsocks no es un VPN en el sentido clásico. Es un proxy cifrado basado en SOCKS5 que oculta el tráfico como un HTTPS normal. Desde la perspectiva del proveedor y el equipo DPI, es simplemente una solicitud web, nada sospechoso.

Es por eso que es tan difícil de bloquear por protocolo. Roskomnadzor puede bloquear una dirección IP específica del servidor, pero detectar "esto es Shadowsocks" para una inspección profunda del tráfico es mucho más complicado que atrapar OpenVPN o WireGuard.

En qué se diferencia Shadowsocks de un VPN clásico

Un VPN crea un túnel cifrado para todo el tráfico del dispositivo a nivel de red. Shadowsocks funciona de manera diferente: como un proxy. Es decir, solo las aplicaciones que pueden trabajar con SOCKS5 o HTTP-proxy pasarán automáticamente a través de él. En clientes móviles, esto se resuelve a través de la interfaz TUN, en el escritorio — a través del proxy del sistema.

Consecuencia práctica: si has iniciado Shadowsocks en Windows en modo PAC, tu cliente de torrent o Teams pueden ir directamente, pasando por alto el proxy. Esto no es un error: así funciona la arquitectura.

Cómo Shadowsocks oculta el tráfico y elude DPI

El HTTPS estándar se ve como un flujo de bytes cifrados con un apretón de manos TLS. Shadowsocks con cifrado chacha20-ietf-poly1305 genera una imagen similar: un flujo de datos que parece aleatorio sin encabezados característicos de protocolos VPN. DPI no ve firmas evidentes, por lo que no hay nada que bloquear.

Pero en 2026, los proveedores en Rusia aprendieron a identificar el tráfico "similar a Shadowsocks" de manera heurística — por la entropía del flujo y los patrones de conexión. Sin un plugin de ofuscación, SS se corta cada vez más. Hablaremos de esto más adelante.

Cuándo Shadowsocks funciona mejor que WireGuard y OpenVPN

OpenVPN puro se detecta fácilmente: tiene un apretón de manos TLS característico con certificados y puertos conocidos. WireGuard también tiene patrones UDP reconocibles, aunque es más difícil de detectar. Shadowsocks sin ofuscación supera a la media de DPI mejor que ambos.

Pero VLESS/XRay con Reality y Amnezia con ofuscación son el siguiente nivel. En condiciones de bloqueos agresivos en 2026, son más resistentes. SS es una buena solución para la mayoría de las tareas, pero no es una panacea. Servicios como NvoVPN ofrecen varios protocolos a la vez, y si SS comienza a fallar con un proveedor específico, se puede cambiar sin buscar un nuevo servicio.

Qué necesitas preparar antes de la configuración

Antes de abrir el cliente, necesitas entender qué tienes en tus manos. La configuración de Shadowsocks son cuatro parámetros obligatorios: dirección del servidor, puerto, método de cifrado y contraseña. Eso es todo.

Dónde obtener una configuración funcional (ss:// enlace, código QR, JSON)

Si utilizas un servicio VPN de pago, la configuración se proporciona en el panel de usuario. Normalmente es un enlace ss://, un código QR (que es lo mismo, solo en diferente formato), o un archivo JSON para importación manual.

El enlace se ve aproximadamente así:ss://[email protected]:8388#MyServer. La parte antes de @ son el método de cifrado y la contraseña codificados, después está la dirección del servidor y el puerto, después de # está el nombre del perfil.

El código QR es el mismo enlace, solo que en forma de imagen. La mayoría de los clientes móviles pueden leerlo con la cámara directamente desde la interfaz.

Qué parámetros son importantes: servidor, puerto, método de cifrado, contraseña

El método de cifrado es en lo que más se suele cometer errores. Recomiendochacha20-ietf-poly1305 — funciona excelentemente en dispositivos móviles, es eficiente en recursos de CPU. En el escritorio funciona bienaes-256-gcm.

Evita rc4-md5, table y otros métodos antiguos. No son seguros, no resisten bien los ataques, y los DPI modernos pueden identificarlos mejor que los nuevos cifrados AEAD.

El puerto es otra historia. Si el proveedor bloquea puertos no estándar (típico en redes corporativas y móviles), solo funcionará el 443. Elige un servidor o configuración que soporte 443 si frecuentemente estás en redes restringidas.

Elección de plugin: simple-obfs y v2ray-plugin contra DPI

Los plugins de ofuscación son una capa adicional de camuflaje sobre Shadowsocks. Simple-obfs imita tráfico HTTP o TLS. V2ray-plugin es más avanzado, puede hacer WebSocket + TLS, lo que es prácticamente indistinguible de un sitio HTTPS normal.

En Rusia en 2026, sin plugin, SS funciona de manera inestable con muchos proveedores — especialmente con los "tres grandes". Si la configuración sin ofuscación no funciona o funciona de manera inestable, busca inmediatamente un servidor con v2ray-plugin en modo websocket+tls. Simple-obfs ya se considera una solución obsoleta.

Configuración de Shadowsocks en Android

En Android es lo más fácil — hay varios clientes decentes, y son gratuitos.

Instalación del cliente (shadowsocks-android / v2rayNG)

El cliente principal —shadowsocks-android del desarrollador «Max Lv». Busca en Google Play o descarga el APK desde GitHub (repositorio shadowsocks/shadowsocks-android). La versión en el momento de escribir esto es 5.3.x.

Si necesitas un cliente tanto para SS como para VLESS/XRay — eligev2rayNG. Soporta Shadowsocks junto con otros protocolos. Es conveniente si tienes varias configuraciones de diferentes tipos.

Importar configuración a través de ss:// y código QR

En shadowsocks-android: toca «+» en la esquina inferior derecha → «Escanear código QR» o «Importar desde el portapapeles». Si tienes un enlace ss:// — cópialo, entra en la aplicación y toca importar desde el portapapeles. La aplicación reconocerá automáticamente el formato.

Para entrada manual: «+» → «Ingresar manualmente» → completa los campos Server, Remote Port, Password, Encryption Method. Lo demás se puede dejar por defecto.

Después de añadir el perfil, tócalo para seleccionarlo como activo, luego toca el ícono del avión en la esquina inferior derecha. La aplicación solicitará permiso para la conexión VPN — acepta.

Configuración del plugin de ofuscación y verificación de conexión

Si la configuración utiliza un plugin: en la configuración del perfil busca el campo «Plugin» → selecciona v2ray-plugin o simple-obfs → introduce los parámetros del plugin (normalmente es una cadena del tipoobfs=websocket;host=example.com).

Después de conectarte, verifica la IP a través del navegador — entra en 2ip.ru o whoer.net. Si se muestra la dirección del servidor y no tu dirección doméstica — todo funciona.

Configuración de Shadowsocks en iPhone y iOS

Aquí comienza el dolor. En la App Store rusa no hay un cliente gratuito normal para Shadowsocks. Es un hecho, no una opinión.

Qué clientes están disponibles en la App Store (Shadowrocket, Potatso)

Shadowrocket — la mejor opción. Cuesta $2.99, soporta SS, VLESS, Trojan y un montón de otros protocolos. Se compra una vez, funciona sin suscripción. El problema es que no está disponible en la App Store rusa debido a bloqueos.

Potatso Lite — gratuito, pero más limitado. Si está disponible en tu región — pruébalo primero. Soporta configuraciones básicas de SS.

Para instalar Shadowrocket necesitas un Apple ID con región estadounidense o europea. La forma más limpia es crear un Apple ID separado para otra región, sin cambiar el principal. El acceso familiar no funciona para aplicaciones compradas en otra región.

Importar configuración y trabajar con restricciones regionales de la App Store

Después de instalar Shadowrocket: toca «+» en la esquina superior derecha → selecciona el tipo «SS» → pega el enlace ss:// en el campo URI o completa los campos manualmente. El código QR se escanea a través del botón del escáner junto al campo URI.

Si tienes un enlace ss:// en el portapapeles — Shadowrocket generalmente ofrece importarlo al iniciar. Es más conveniente que la entrada manual.

Activación del perfil VPN y permisos de iOS

En la primera conexión, iOS mostrará una solicitud para añadir la configuración VPN. Toca «Allow» e introduce el código de acceso del dispositivo. Sin este permiso, el proxy no funcionará.

Después de conectarte, aparecerá un ícono de VPN en la barra de estado. En la configuración de iOS (Configuración → VPN y gestión de dispositivos) puedes ver la conexión activa y gestionarla independientemente de la aplicación.

Configuración de Shadowsocks en Windows y Mac

En el escritorio, SS funciona como un proxy local. Esto es diferente de un VPN — es importante entenderlo desde el principio.

Shadowsocks para Windows: cliente y proxy del sistema

Descarga el cliente oficial desde GitHub (repositorio shadowsocks/shadowsocks-windows). No se requiere instalación — simplemente descomprime y ejecuta Shadowsocks.exe.

Después de iniciar, aparecerá un ícono en la bandeja. Clic derecho → «Servers» → «Add server» → completa los campos. O: «Import URL from clipboard», si tienes un enlace ss://.

Para activar: clic derecho en el ícono → «System Proxy» → activa. Esto configurará automáticamente el proxy del sistema en Windows. Los navegadores (Chrome, Edge) lo captarán de inmediato. Otras aplicaciones — depende de si pueden leer la configuración del proxy del sistema.

Como alternativa —v2rayN, que soporta tanto SS como VLESS en una sola interfaz.

ShadowsocksX-NG para macOS

ShadowsocksX-NG — cliente estándar para Mac. Descárgalo desde GitHub (shadowsocks/ShadowsocksX-NG), instálalo como una aplicación normal. En el primer inicio, macOS pedirá permiso para ejecutarlo — permite en Preferencias del Sistema → Privacidad y seguridad.

Agregar servidor: icono en la barra de menú → «Abrir ShadowsocksX-NG» → «Servidores» → «Preferencias del servidor» → botón «+». O importar a través de «Importar URL del servidor desde el portapapeles».

Modo proxy global y modo por reglas (PAC)

Modo Global — todo el tráfico pasa a través del proxy. Modo PAC — solo los sitios de la lista. PAC es más conveniente para el trabajo diario: los sitios rusos van directamente, los bloqueados — a través de SS.

Pero PAC tiene una trampa: las aplicaciones que no utilizan el proxy del sistema (muchas aplicaciones nativas de macOS, algunos juegos, clientes de torrent) irán directamente independientemente del modo. Si necesitas redirigir todo el tráfico — usa Global o configura a través de Proxifier.

Evasión de bloqueos de YouTube, Instagram, Telegram y otros servicios

Esto es lo que la mayoría configura en Shadowsocks. Veamos qué realmente funciona.

Evasión de la ralentización de YouTube a través de Shadowsocks

YouTube en Rusia se ralentiza a nivel del proveedor — no es un bloqueo total, pero la carga a 480p tiene buffering. SS resuelve el problema, porque el tráfico pasa a través de un servidor externo, eludiendo el DPI "inteligente" del proveedor.

Para streaming, la velocidad del servidor es importante. Chacha20-ietf-poly1305 funciona más rápido que aes-256-gcm en dispositivos sin aceleración de hardware AES — los móviles en primer lugar. Para YouTube en 4K se necesita una conexión estable de 25+ Mbps desde el servidor.

Acceso a Instagram, Facebook, Twitter/X

Instagram y Facebook (Meta) están bloqueados por decisión judicial desde 2022. Twitter/X funciona de manera inestable. Con Shadowsocks configurado, se abren en el navegador normal o en aplicaciones nativas — el tráfico pasa a través de un servidor externo que no ve estos bloqueos.

Matiz: en Android e iOS, las aplicaciones móviles de Instagram y Facebook utilizan el proxy del sistema, así que basta con activar el cliente SS. En Windows, en modo PAC, verifica que los dominios meta.com e instagram.com estén en la lista de reglas.

Estabilidad de Telegram y WhatsApp a través de proxy

Telegram en Rusia se corta periódicamente con algunos proveedores — no completamente, pero con retrasos y problemas con los medios. SS estabiliza la conexión. WhatsApp funciona sin bloqueos, pero a través de SS es más rápido en algunos operadores móviles con QoS agresivo.

Si SS con ofuscación no se las arregla con un proveedor específico — es señal de pasar a VLESS/XRay con Reality o Amnezia. Allí hay un nivel diferente de enmascaramiento.

Qué hacer si Shadowsocks no se conecta

La pregunta más frecuente. Vamos a desglosarlo paso a paso.

La conexión está, pero los sitios no se abren

Lo primero que debes verificar — el método de cifrado. Si en la configuración se indica aes-256-cfb, y el servidor está configurado en chacha20-ietf-poly1305, la conexión se establecerá formalmente, pero el tráfico será basura. El cliente no siempre informa de esto de manera clara.

Lista de verificación en este caso:

• El método de cifrado en el cliente coincide exactamente con el del servidor
• La contraseña se copió correctamente (sin espacios adicionales)
• En Windows/Mac está activado el proxy del sistema (no solo se ha iniciado el cliente)
• El navegador no utiliza su propia configuración de proxy que anula la del sistema

El proveedor bloquea el puerto o el DPI corta el tráfico

Si SS no se conecta en absoluto — primero prueba el puerto 443. Solo unos pocos lo bloquean, porque en él funciona todo el internet HTTPS. Si el servicio admite diferentes puertos, el 443 es la primera opción para redes problemáticas.

Si se conecta, pero se corta después de unos minutos — eso es DPI en acción. El proveedor identifica el tráfico de manera heurística y restablece la conexión. La solución es una: plugin de ofuscación. V2ray-plugin en modo websocket+tls en el puerto 443 — es tráfico prácticamente invisible para la mayoría de los sistemas DPI.

Si esto tampoco ayuda — es hora de pasar a VLESS/XRay (Reality) o Amnezia. Algunos proveedores ya bloquean cualquier tráfico "sospechoso" independientemente de la ofuscación.

Baja velocidad y cortes de conexión

La baja velocidad — en el 90% de los casos es un problema del servidor mismo o de la ruta hacia él, no de la configuración del cliente. Verifica el ping al servidor a través de la prueba integrada en el cliente o a través de la terminal.

Los cortes en internet móvil a menudo están relacionados con el cambio entre torres o la transición de Wi-Fi ↔ LTE. Activa la opción "keepalive" o "heartbeat" en la configuración del cliente, si está disponible. En shadowsocks-android, este es el parámetro "TCP Fast Open" y "UDP Relay" — prueba desactivarlos si hay inestabilidad.

Caso aparte — Smart TV y Apple TV. No hay cliente nativo de SS para ellos. La única opción funcional es la configuración en el router a través de OpenWrt o análogos con el paquete shadowsocks-libev. Es un tema de material separado, pero es importante saber que no se puede solucionar eludir el router allí.