¿Qué necesita saber sobre los protocolos VPN? OpenVPN, WireGuard & Co.

VPN protocol Cómo

¿Está interesado en soluciones VPN, pero no sabe mucho sobre términos como IPSec, OpenVPN y WireGuard? VPNheroes le explica lo que hay detrás.

Muchos proveedores comerciales de servicios VPN suelen soportar varios protocolos VPN para asegurar la comunicación entre el ordenador de casa y el servidor de Internet. Los protocolos VPN son el corazón de una red privada virtual (VPN) y permiten conexiones seguras y anónimas a Internet.

La multitud de protocolos y estándares utilizados no facilita el seguimiento. VPNheroes ayuda y presenta los protocolos VPN más populares.

Los mejores servicios VPN

NordVPN

Valoración de los editores de NordVPN: 9.5 /10

Ver tarifas

VPN exprés

Valoración de los editores de Express VPN: 9.3 /10

Ver tarifas

Surfshark VPN

Valoración de los editores de Surfshark VPN: 9.2 /10

Ver tarifas

¿Qué es un protocolo VPN?

Para la comunicación entre dos ordenadores o entre el cliente y el servidor, es necesario acordar un lenguaje común. Los comandos y procesos forman diferentes conjuntos de reglas, que se combinan en un protocolo. El protocolo constituye así la base de una conversación ordenada entre el ordenador de casa y, por ejemplo, un servidor de Internet.

La particularidad de los protocolos VPN en comparación con otros conjuntos de reglas es que el «lenguaje VPN» ofrece herramientas adicionales para cifrar los datos mediante métodos criptográficos. Al igual que en un túnel, esto hace que la comunicación mutua de los participantes sea invisible para los extraños.

OpenVPN: el estándar del sector

OpenVPN es un software gratuito utilizado por la mayoría de los proveedores de VPN y es uno de los protocolos de VPN más populares. Se ha establecido como el estándar de facto y es adecuado para la mayoría de los casos de uso.

Como proyecto de código abierto, también se beneficia de la experiencia de una comunidad de desarrolladores amplia y, sobre todo, libre, que comprueba continuamente el amplísimo código del programa en busca de lagunas y mejora el rendimiento. Además, el proceso es transparente y permite que las líneas de código sean revisadas por terceros.

OpenVPN en iOS

OpenVPN en Windows

Para construir una red privada virtual, OpenVPN utiliza la biblioteca OpenSSL, pero también admite conexiones con TLS. OpenVPN funciona con varios algoritmos de cifrado, como 3DES, AES, RC5 y Blowfish.

Si se implementa correctamente, OpenVPN proporciona un nivel muy alto de seguridad y estabilidad en diferentes redes, como (W)LAN y celular. Para el transporte de datos, OpenVPN utiliza TCP o UDP, lo que garantiza una transmisión de datos flexible. Además, el protocolo VPN funciona muy bien con los cortafuegos.

Either passwords or certificates are used as authentication methods. Furthermore, OpenVPN is available on many platforms and is supported by all common operating systems, including Windows, macOS, Linux, Unix, Android and iOS. Pero antes de poder utilizarlo en un sistema, suele ser necesario un software adicional y otras configuraciones.

Pros

  • Muy seguro
  • Código abierto
  • Disponible en muchas plataformas y sistemas operativos
  • Conexiones estables
  • Compatible con cortafuegos

Contras

  • Gran esfuerzo para la resolución de problemas
  • No se puede utilizar «fuera de la caja».

IKEv2/IPSec: Estable en movimiento

La primera versión de Internet Key Exchange (IKEv1) fue codesarrollada por la empresa de telecomunicaciones Cisco Systems, mientras que la versión 2 (IKEv2) se creó en colaboración con Microsoft. Un detalle interesante: IKEv1 se basa en parte en el Protocolo de Asociación de Seguridad de Internet y Gestión de Claves (ISAKMP), que la Agencia de Seguridad Nacional (NSA) de Estados Unidos también ayudó a desarrollar.

IKEv2 forma parte de la colección de protocolos IPSec y garantiza el intercambio seguro de las claves utilizadas para IPSec. IPSec (Internet Protocol Security) admite diferentes algoritmos de cifrado, como 3DES, AES, Blowfish y Camellia.

La configuración del sistema IKEv2/IPSec es compleja en el lado del servidor y utiliza un puerto UDP fijo para la comunicación, lo que a menudo provoca conflictos con los cortafuegos. IPSec forma parte del protocolo de Internet IPv4 e IPv6 y generalmente se considera un protocolo VPN seguro y muy rápido.

Sin embargo, en el pasado se ha alegado que la NSA descifró el algoritmo de cifrado subyacente como parte del llamado programa Bullrun.

Sin embargo, esto nunca fue confirmado por los expertos, y la vulnerabilidad subyacente ha sido corregida desde entonces. IKEv2 es muy adecuado para las conexiones móviles, ya que se reconecta automáticamente si pierdes temporalmente tu conexión a Internet, por ejemplo al entrar en un ascensor o al viajar por un túnel.

Pros

  • Muy rápido
  • Disponible en muchas plataformas
  • Seguro
  • Conexiones estables, fuertes en el uso móvil

Contras

  • Configuración compleja en el lado del servidor
  • El puerto UDP fijo provoca conflictos con el cortafuegos

WireGuard: El faro de la esperanza

Entre los protocolos VPN actuales, WireGuard es el representante más joven y también el más prometedor de la ronda, pero todavía está en una fase temprana según el desarrollador. El proyecto de código abierto afirma que ofrece un protocolo VPN especialmente sencillo, seguro y, sobre todo, rápido.

La particularidad de WireGuard es que el protocolo forma parte del núcleo de Linux y tiene un tamaño de código muy reducido. Los desarrolladores esperan que esto ofrezca ventajas significativas en términos de mantenimiento y resolución de problemas del código del programa, así como una velocidad de procesamiento significativamente mayor. Además, se supone que la integración de Linux reducirá notablemente el esfuerzo informático y, por tanto, la necesidad de energía, lo que resulta especialmente interesante para los dispositivos móviles.

WireGuard utiliza un algoritmo llamado ChaCha20 para el cifrado de datos. Aunque el protocolo VPN se desarrolló originalmente para Linux, también está disponible para otras plataformas, como Windows, macOS, Android e iOS. A pesar de su estado de desarrollo, WireGuard ya es utilizado por algunos proveedores comerciales de VPN, como Hide.me, Mullvad VPN, NordVPN y Surfshark.

NordVPN sortea el problema de las direcciones IP estáticas en su solución WireGuard con un servidor NAT adicional que distribuye direcciones IP dinámicas.

Por el momento, WireGuard es todavía una obra en la que se está trabajando con diligencia. No obstante, ya puede hacerse una idea de cómo será el vehículo criptográfico al final.

Un problema de momento es el anonimato comparativamente peor, ya que WireGuard trabaja con direcciones IP fijas. El futuro mostrará en qué dirección se desarrollará el recién llegado y cómo se comportará en la práctica – y si los elogios anticipados están finalmente justificados.

Pros

  • Muy estable, incluso al cambiar de red
  • Extremadamente rápido
  • Código abierto
  • Forma parte del núcleo de Linux
  • Disponible para muchas plataformas

Contras

  • Fase inicial de desarrollo
  • El anonimato sólo se garantiza con soluciones adicionales

SoftEther VPN: Tesis de maestría de Japón

SoftEther se desarrolló en la Universidad japonesa de Tsukuba como parte de una tesis de máster del estudiante Daiyuu Nobori y está disponible para su descarga gratuita desde 2013. El protocolo VPN supera los cortafuegos y se considera inmune a la llamada inspección profunda de paquetes (DPI), una técnica que también utilizan los regímenes autoritarios para filtrar el tráfico de datos individuales.

Los paquetes de datos que pasan por un túnel VPN suelen llevar el sello VPN en letras grandes. Aunque los datos del paquete siguen estando protegidos, las autoridades gubernamentales y los proveedores de Internet pueden pescar y bloquear fácilmente estos paquetes VPN. Esta es una práctica habitual en China, Irán y Rusia, por ejemplo, donde el flujo de datos de los servicios VPN está ampliamente bloqueado.

El protocolo forma parte del software SoftEther VPN y, al igual que OpenVPN y WireGuard, se publica bajo una licencia de código abierto. El paquete de software puede manejar varios protocolos VPN y se ejecuta en varias plataformas como Windows, macOS, Linux, FreeBSD y Solaris.

Se instala como software de cliente y servidor por separado y también es adecuado para los usuarios que quieren operar su propia VPN. La solución japonesa es una de las representantes menos conocidas entre los protocolos VPN. Actualmente, Hide.me es el único proveedor comercial de VPN que utiliza SoftEther.

Pros

  • Fuente abierta
  • Supera los cortafuegosDisponible para muchas plataformas y versátil

Contras

  • No está muy extendido

Catapult Hydra y Chameleon: Los homebrewers

Catapult Hydra, el nombre suena elegante y misterioso a la vez y recuerda un poco a la organización secreta de los cómics de Marvel. El protocolo VPN es un desarrollo propio de la empresa de software estadounidense AnchorFree (ahora: Aura) y se utiliza en Hotspot Shield, el servicio VPN del fabricante, entre otros.

Catapult Hydra se basa en el protocolo de cifrado ampliamente utilizado Transport Layer Security (TLS). El fabricante promete una velocidad significativamente mayor en comparación con las soluciones VPN convencionales basadas en TLS. Sin embargo, el fabricante es llamativamente reticente con los detalles sobre Catapult Hydra.

Un proceso de auditoría transparente, como es habitual en proyectos de código abierto como OpenVPN y WireGuard, no tiene lugar con Catapult Hydra, protegido por patente. Por lo tanto, el protocolo VPN permanece cerrado a las personas ajenas para fines de auditoría. No obstante, otros proveedores de VPN como Kaspersky y Bitdefender también utilizan Catapult Hydra en sus productos.

Al igual que Catapult Hydra, Chameleon pertenece a los protocolos VPN propietarios y actualmente sólo es utilizado por un fabricante. Los desarrolladores de Golden Frog prometen para su servicio de VPN VyprVPN que los datos de la VPN identificados a través de la inspección profunda de paquetes (DPI) ya no podrán ser bloqueados.

El protocolo Chameleon, que se basa en OpenVPN, intenta cambiar su forma en este punto y adaptarse a su entorno apareciendo tan poco visible como los paquetes no cifrados en el gran flujo de datos de Internet. Sin embargo, estas características de ofuscación – con técnicas alternativas basadas en proxy – también están disponibles en otros proveedores de VPN como NordVPN, Surfshark y Hide.me.

Pros

  • Adaptación óptima al servicio
  • Velocidades rápidas

Contras

  • No se puede comprobar el código en busca de vulnerabilidades

L2TP/IPSec, PPTP, SSTP: la vieja guardia

El Protocolo de Túnel de Capa 2 (L2TP) se combina a menudo con IPSec para el cifrado, ya que L2TP no proporciona su propio procedimiento criptográfico para el flujo de datos. Por lo tanto, todas las afirmaciones sobre la seguridad de IPSec pueden aplicarse en principio también a L2TP.

L2TP/IPSec soporta muy buenos algoritmos de cifrado con 3DES y AES, pero no es necesariamente uno de los representantes más rápidos entre los protocolos VPN. Además, a menudo choca con la configuración de seguridad del cortafuegos, que bloquea el puerto UDP utilizado por L2TP/IPSec. Está disponible en muchas plataformas, pero se sospecha que está comprometido por la agencia de inteligencia estadounidense NSA.

El Protocolo de Túnel Punto a Punto (PPTP) fue utilizado durante mucho tiempo por Microsoft para las VPN internas y fue el primer protocolo de VPN soportado por Windows, por lo que era muy común. Debido a los graves agujeros de seguridad del protocolo y a la vulnerabilidad de los métodos de cifrado incorporados, en la actualidad no se recomienda en general utilizar PPTP como protocolo VPN.

El Protocolo de Túnel de Socket Seguro (SSTP) también proviene de Microsoft y fue especialmente desarrollado para su uso en los llamados escenarios de extremo a extremo. En este caso, el ordenador de un empleado debe tener acceso a la red de la empresa desde su casa, protegido por un túnel VPN.

SSTP se basa en los métodos criptográficos disponibles en TLS, como AES y ChaCha20, para el cifrado. SSTP se considera muy seguro y permite a los clientes acceder a una red detrás de un cortafuegos. Por tanto, no sufre los problemas típicos de otros protocolos VPN como IPSec y PPTP. Sin embargo, la especialización en un único escenario de uso también conduce a una importancia bastante baja en la competencia de los protocolos VPN.

Protocolos VPN: también una cuestión de confianza

Los servicios VPN, los protocolos y los métodos de encriptación utilizados son principalmente una cuestión de confianza. Tienes que confiar en que el servicio hace exactamente lo que dice hacer, y tienes que basarte en que las medidas de protección son de última generación. Pero, ¿qué protocolo de VPN es el adecuado para usted ahora?

¿Es más fiable el protocolo que está sujeto a un proceso de auditoría continuo y transparente, como es habitual en los proyectos de código abierto? ¿O confía en el protocolo propietario de un único fabricante, que se ha adaptado con precisión al servicio VPN correspondiente, pero que al mismo tiempo se desarrolla, optimiza y controla a puerta cerrada? Si se trata de confianza pura, las soluciones basadas en el código abierto salen ganando debido a su alto nivel de transparencia.

¿Cuál es el mejor protocolo VPN?

La cuestión del mejor protocolo no es tan fácil de responder. En principio, lo ideal es poder elegir entre varios protocolos, ya que así el usuario tiene varias opciones en función del caso de uso. OpenVPN ofrece el mejor compromiso de estabilidad, seguridad y velocidad y es adecuado para muchos escenarios de aplicación. Le sigue de cerca WireGuard, que tiene grandes perspectivas de futuro y destaca por sus sofisticadas funciones de seguridad y su rapidísima velocidad.

Muchos proveedores de VPN ya han subsanado el punto débil con las direcciones IP estáticas. Sin embargo, hay que tener en cuenta que WireGuard aún no está totalmente maduro. IKEv2 es especialmente adecuado para las conexiones móviles, por ejemplo con un smartphone. A largo plazo, sin embargo, WireGuard podría superar a IKEv2, ya que uno de los puntos fuertes de WireGuard es su protección contra los cambios repentinos de red, como por ejemplo de WLAN a LTE.

David West
Rate author
VPN heroes