Cómo funciona el Gran Cortafuegos de China: técnicas y límites
Last updated: abril 9, 2026
Explicación técnica de cómo China censura internet: bloqueo de DNS, inspección DPI, inyección RST y más. Sin jerga de marketing.
Imagina que intentas enviar una carta a un amigo en el extranjero. Tu carta llega a la oficina de correos local, donde un funcionario la abre, lee la dirección y el contenido, y decide si dejarla pasar o devolverla. Si la dirección contiene palabras prohibidas, la carta simplemente desaparece. Si el contenedor en que la enviaste parece sospechoso, el funcionario abre inspecciona su estructura antes de decidir qué hacer. Eso, en esencia, es lo que hace el Gran Cortafuegos de China (GFW) con el tráfico de internet. Es el sistema de censura más grande y sofisticado del mundo, y entender cómo funciona requiere conocer varias técnicas que trabajan juntas, no una sola barrera.
DNS: El directorio telefónico envenenado
Cuando escribes un sitio web en tu navegador, tu ordenador necesita convertir ese nombre (como "bbc.com") en una dirección numérica llamada dirección IP, que identifica dónde vive ese sitio en internet. Para hacer esa conversión, tu ordenador pregunta a un servidor DNS, que es como un directorio telefónico de internet.
El GFW intercepta estas preguntas de DNS. Si preguntas por un sitio bloqueado, el servidor DNS controlado por el gobierno devuelve una dirección IP falsa, o simplemente no contesta. Esto se llama envenenamiento de DNS. Es la técnica más simple y la más barata: si tu ordenador nunca obtiene la dirección correcta, nunca puede conectarse al sitio. Es como si, cuando preguntas el número de teléfono de un amigo a un operador, el operador deliberadamente te da un número falso o te dice que no existe.
La belleza de este enfoque es que funciona a nivel nacional: casi todos los ordenadores chinos usan servidores DNS que pueden ser manipulados por las autoridades. Sin embargo, tiene un límite obvio: si usas un servidor DNS diferente, fuera del control chino, la técnica falla. Por eso el GFW también implementa otras técnicas.
Bloqueo de direcciones IP: Cortar la vía directa
Algunos sitios no dependen de un nombre bonito. Un periodista podría simplemente escribir la dirección IP numérica directamente en su navegador, evitando el paso del DNS. Para cerrar esta vía, el GFW simplemente bloquea rangos enteros de direcciones IP conocidas como hostiles. Si el tráfico intenta llegar a una de estas direcciones, los routers fronterizos chinos lo descartan.
Esto es más costoso que el envenenamiento de DNS, porque requiere inspeccionar cada paquete de datos que entra o sale del país. Pero China tiene la capacidad técnica y financiera para hacerlo. El tradeoff es que este método es rígido: bloquea todo el tráfico legítimo hacia esas direcciones IP también.
Inspección profunda de paquetes: Leyendo el sobre sin abrirlo
Ahora las cosas se vuelven sofisticadas. Imagina que alguien envía cartas en sobres especiales que no muestran la dirección completa en el exterior. Podrías intentar enviarlas sin pasar por el filtro tradicional del correo. Para detectarlas, el funcionario necesita examinar cómo está construido el sobre, su tamaño, el patrón de cómo se pliega, la tinta que usa.
Eso es lo que la inspección profunda de paquetes (DPI) hace. Analiza no solo el destino de los datos (dirección IP), sino también cómo están estructurados los datos mismos: qué protocolo usan (HTTPS, SSH, etc.), cuál es su tamaño, con qué frecuencia se envían, qué patrones tienen. Ciertos protocolos de proxy o herramientas de evasión tienen "firmas" reconocibles. El tráfico que encaja con esas firmas puede ser bloqueado o ralentizado drásticamente.
Inspección del Indicador de Nombre del Servidor: Leer el nombre en el sobre antes de abrirlo
Cuando te conectas a un sitio web seguro usando HTTPS, tu navegador necesita decirle al servidor cuál es el nombre del sitio que quieres visitar, porque un mismo servidor puede hospedar múltiples sitios. Esa información se llama SNI (Server Name Indication) y viaja sin encriptar, aunque el resto de la conexión esté encriptada.
El GFW inspecciona este dato. Si el SNI dice que vas a un sitio bloqueado, la conexión se interrumpe antes de que comience a encriptarse. Es como si el funcionario de correos pudiera leer el nombre del destinatario en un sobre sellado, sin abrirlo. Este método es particularmente efectivo porque muchas herramientas de evasión antiguamente no lo tenían en cuenta.
Sondeo activo: Probar si el puente es sospechoso
Otra técnica es más invasiva. Si el GFW sospecha que un servidor o dirección IP es un proxy para evadir censura, le envía pruebas. Le pide que responda de maneras específicas. Si responde como un proxy conocido respondería, el sistema lo bloquea o lo marca para inspección más intensiva.
Esto es parecido a un policía que, viendo pasar un coche sospechoso, le pide que acelere o frene para confirmar si es un coche de huida. Requiere mantener bases de datos constantemente actualizadas sobre cómo se comportan nuevas herramientas.
Por qué funciona, y por qué no siempre
El GFW funciona porque combina múltiples capas: DNS envenenado, bloqueos de IP, análisis de patrones de tráfico y sondeo activo. Atacar una sola capa no es suficiente. Además, el gobierno chino invierte recursos masivos y tiene control sobre la mayoría de la infraestructura de red nacional.
Sin embargo, no es perfecto. Los proxies que rotan constantemente sus servidores, que ofuscan profundamente sus patrones de tráfico, o que utilizan técnicas muy nuevas como REALITY (que imita TLS completamente) pueden escapar temporalmente. Snowflake, un sistema que distribuye proxies a través de voluntarios que usan navegadores web corrientes, hace que sea muy difícil bloquear de forma centralizada.
Esta es una carrera constante: las autoridades desarrollan nuevas técnicas de detección, y los desarrolladores de software de evasión crean nuevas formas de ocultarse. Ninguna solución es permanente.
El punto más importante es este: el GFW no es un muro imposible, sino un sistema de capas que funciona porque la mayoría de los usuarios utilizan la infraestructura por defecto. Para quienes necesitan evadir la censura, existen rutas, pero cada una tiene tradeoffs: mayor latencia, posible riesgo legal, configuración más compleja. Entender cómo funciona el GFW es el primer paso para entender cómo funciona la censura en internet en general, y por qué la libertad de conexión requiere tanto trabajo técnico como político.
DNS: El directorio telefónico envenenado
Cuando escribes un sitio web en tu navegador, tu ordenador necesita convertir ese nombre (como "bbc.com") en una dirección numérica llamada dirección IP, que identifica dónde vive ese sitio en internet. Para hacer esa conversión, tu ordenador pregunta a un servidor DNS, que es como un directorio telefónico de internet.
El GFW intercepta estas preguntas de DNS. Si preguntas por un sitio bloqueado, el servidor DNS controlado por el gobierno devuelve una dirección IP falsa, o simplemente no contesta. Esto se llama envenenamiento de DNS. Es la técnica más simple y la más barata: si tu ordenador nunca obtiene la dirección correcta, nunca puede conectarse al sitio. Es como si, cuando preguntas el número de teléfono de un amigo a un operador, el operador deliberadamente te da un número falso o te dice que no existe.
La belleza de este enfoque es que funciona a nivel nacional: casi todos los ordenadores chinos usan servidores DNS que pueden ser manipulados por las autoridades. Sin embargo, tiene un límite obvio: si usas un servidor DNS diferente, fuera del control chino, la técnica falla. Por eso el GFW también implementa otras técnicas.
Bloqueo de direcciones IP: Cortar la vía directa
Algunos sitios no dependen de un nombre bonito. Un periodista podría simplemente escribir la dirección IP numérica directamente en su navegador, evitando el paso del DNS. Para cerrar esta vía, el GFW simplemente bloquea rangos enteros de direcciones IP conocidas como hostiles. Si el tráfico intenta llegar a una de estas direcciones, los routers fronterizos chinos lo descartan.
Esto es más costoso que el envenenamiento de DNS, porque requiere inspeccionar cada paquete de datos que entra o sale del país. Pero China tiene la capacidad técnica y financiera para hacerlo. El tradeoff es que este método es rígido: bloquea todo el tráfico legítimo hacia esas direcciones IP también.
Inspección profunda de paquetes: Leyendo el sobre sin abrirlo
Ahora las cosas se vuelven sofisticadas. Imagina que alguien envía cartas en sobres especiales que no muestran la dirección completa en el exterior. Podrías intentar enviarlas sin pasar por el filtro tradicional del correo. Para detectarlas, el funcionario necesita examinar cómo está construido el sobre, su tamaño, el patrón de cómo se pliega, la tinta que usa.
Eso es lo que la inspección profunda de paquetes (DPI) hace. Analiza no solo el destino de los datos (dirección IP), sino también cómo están estructurados los datos mismos: qué protocolo usan (HTTPS, SSH, etc.), cuál es su tamaño, con qué frecuencia se envían, qué patrones tienen. Ciertos protocolos de proxy o herramientas de evasión tienen "firmas" reconocibles. El tráfico que encaja con esas firmas puede ser bloqueado o ralentizado drásticamente.
Inspección del Indicador de Nombre del Servidor: Leer el nombre en el sobre antes de abrirlo
Cuando te conectas a un sitio web seguro usando HTTPS, tu navegador necesita decirle al servidor cuál es el nombre del sitio que quieres visitar, porque un mismo servidor puede hospedar múltiples sitios. Esa información se llama SNI (Server Name Indication) y viaja sin encriptar, aunque el resto de la conexión esté encriptada.
El GFW inspecciona este dato. Si el SNI dice que vas a un sitio bloqueado, la conexión se interrumpe antes de que comience a encriptarse. Es como si el funcionario de correos pudiera leer el nombre del destinatario en un sobre sellado, sin abrirlo. Este método es particularmente efectivo porque muchas herramientas de evasión antiguamente no lo tenían en cuenta.
Sondeo activo: Probar si el puente es sospechoso
Otra técnica es más invasiva. Si el GFW sospecha que un servidor o dirección IP es un proxy para evadir censura, le envía pruebas. Le pide que responda de maneras específicas. Si responde como un proxy conocido respondería, el sistema lo bloquea o lo marca para inspección más intensiva.
Esto es parecido a un policía que, viendo pasar un coche sospechoso, le pide que acelere o frene para confirmar si es un coche de huida. Requiere mantener bases de datos constantemente actualizadas sobre cómo se comportan nuevas herramientas.
Por qué funciona, y por qué no siempre
El GFW funciona porque combina múltiples capas: DNS envenenado, bloqueos de IP, análisis de patrones de tráfico y sondeo activo. Atacar una sola capa no es suficiente. Además, el gobierno chino invierte recursos masivos y tiene control sobre la mayoría de la infraestructura de red nacional.
Sin embargo, no es perfecto. Los proxies que rotan constantemente sus servidores, que ofuscan profundamente sus patrones de tráfico, o que utilizan técnicas muy nuevas como REALITY (que imita TLS completamente) pueden escapar temporalmente. Snowflake, un sistema que distribuye proxies a través de voluntarios que usan navegadores web corrientes, hace que sea muy difícil bloquear de forma centralizada.
Esta es una carrera constante: las autoridades desarrollan nuevas técnicas de detección, y los desarrolladores de software de evasión crean nuevas formas de ocultarse. Ninguna solución es permanente.
El punto más importante es este: el GFW no es un muro imposible, sino un sistema de capas que funciona porque la mayoría de los usuarios utilizan la infraestructura por defecto. Para quienes necesitan evadir la censura, existen rutas, pero cada una tiene tradeoffs: mayor latencia, posible riesgo legal, configuración más compleja. Entender cómo funciona el GFW es el primer paso para entender cómo funciona la censura en internet en general, y por qué la libertad de conexión requiere tanto trabajo técnico como político.
🛡️
Recommended VPN Services
Top-rated VPNs trusted by millions
N
NordVPN
⭐ ELECCIÓN DEL EDITOR
★★★★★ 9.5/10 · 6,000+ servers · Funciona en China
$3.39/mo
View Deal →
S
Surfshark
BEST VALUE
★★★★★ 9.6/10 · Unlimited devices
$2.49/mo
View Deal →
E
ExpressVPN
PREMIUM
★★★★★ 9.4/10 · 94 countries
$6.67/mo
View Deal →
Disclosure: SaveClip may earn a commission when you sign up through our links. This helps us keep our tools free for everyone.