# Evasión de cortafuegos y ofuscación

Esta es la característica en torno a la cual está construido SecurQbit: mantenerse conectado en redes que bloquean activamente las VPN. Esta página explica, a alto nivel, cómo funciona la inspección profunda de paquetes (DPI), cómo la derrota SecurQbit y las concesiones que implica.

> **Nota:** La ofuscación es una herramienta legítima y defensiva para eludir la censura. Úsala para proteger tu propia conexión y acceder a la información. Sigue siempre las leyes y políticas que se te apliquen.

## Cómo bloquea las VPN la DPI

Bloquear una VPN por dirección IP es burdo y fácil de evadir. Los cortafuegos modernos y los sistemas de censura nacionales, en cambio, inspeccionan las *características* del tráfico en tiempo real:

- **Identificación de protocolos** — reconocer los bytes distintivos del protocolo de enlace de las VPN más comunes.
- **Análisis estadístico** — tamaños de paquetes, temporización y patrones de flujo que no se parecen a la navegación normal.
- **Sondeo activo** — conectarse a un servidor sospechoso para ver si "habla" VPN.
- **Heurística de SNI y de extremos** — marcar las conexiones a infraestructura de VPN conocida.

Cuando alguna de ellas se activa, el sistema limita o descarta en silencio la conexión. Por eso una VPN normal funciona en casa pero muere en un campus, una LAN corporativa, un hotel o una red nacional filtrada.

## Cómo lo evade SecurQbit

SecurQbit envuelve el túnel cifrado en una capa de ofuscación diseñada para no dar a la DPI nada a lo que aferrarse. La sesión se moldea para ser estadísticamente indistinguible del tráfico web HTTPS estándar:

1. **Imitación de HTTPS** — el protocolo de enlace y las cargas útiles se asemejan a una sesión web ordinaria de TLS sobre el 443, el tráfico más común en cualquier red.
2. **Sin firma fija** — no hay un protocolo de enlace de VPN estático que identificar; el patrón en la red varía.
3. **Remodelado adaptable** — SecurQbit observa la red y ajusta el tamaño y la temporización de los paquetes sobre la marcha. Si una ruta está siendo limitada o sondeada, cambia de forma para mantener viva la sesión.
4. **Resistencia al sondeo** — el servidor no se revela como infraestructura de VPN ante los sondeos activos.

El resultado: para el cortafuegos, tu tráfico parece el de alguien navegando por la web sobre HTTPS.

```text
What DPI sees:   TLS 1.3 / HTTPS over port 443  →  allowed
What's inside:   Forward-secret, AEAD-encrypted SecurQbit tunnel
```

## Cuándo usarla

La ofuscación está **siempre activada a plena potencia**: no hay ningún modo que elegir ni nada que activar. Funciona de forma automática y se adapta a la red, y es más importante cuando estás:

- Detrás de un cortafuegos corporativo o institucional estricto.
- En una red donde otras VPN conectan pero luego se atascan o se limitan.
- Dentro de una internet filtrada a nivel nacional.

Como es totalmente automática, no hay nada que configurar. Consulta [Resolución de problemas](/troubleshooting) si una conexión no se establece.

## Concesiones de rendimiento

Disfrazar el tráfico no es gratis. Imitar el HTTPS y remodelar los flujos añade algo de sobrecarga, pero SecurQbit ejecuta la ofuscación a plena potencia en todo momento y se apoya en su [optimización consciente de la red](/performance) para mantener el coste tan bajo como las condiciones lo permitan:

- En una red sin restricciones, la sobrecarga es baja y apenas medible.
- En una red hostil que sondea o limita activamente, se requiere más remodelado, por lo que la sobrecarga es modesta: el precio de seguir conectado.

## Cómo se relaciona con el cifrado

La ofuscación oculta *que* estás usando una VPN; el cifrado protege *lo que* envías. Las dos capas son independientes; consulta [Cifrado y protocolos](/encryption) y la [Arquitectura de seguridad](/architecture) para ver el panorama completo.
