Un protocolo de VPN es el conjunto de instrucciones que su aplicación de VPN utiliza para configurar, proteger y regir su conexión a un servidor de VPN. OpenVPN es un protocolo de VPN que no tiene debilidades conocidas y es eficaz para eludir ciertos métodos de censura en línea. OpenVPN también tiene la ventaja de ser compatible con una enorme variedad de plataformas y dispositivos.
Existen implementaciones de código cerrado de OpenVPN, pero también hay una Community Edition gratuita y de código abierto.
En este artículo, analizamos en profundidad cómo funciona OpenVPN, cómo mantiene segura a la comunidad de Proton VPN y cómo se compara con otros protocolos de VPN. Este artículo le resultará de gran utilidad si usted ya comprende cómo funciona una VPN.
- ¿Cómo me mantiene seguro OpenVPN?
- Canales de OpenVPN
- ¿Puede OpenVPN eludir la censura de las VPN?
- ¿Se ha auditado OpenVPN?
- OpenVPN vs. WireGuard®
Obtenga más información sobre cómo funciona una VPN
Lanzado inicialmente en 2001, OpenVPN está comenzando a mostrar su antigüedad en términos de velocidad, rendimiento y eficiencia. Sin embargo, todavía se lo considera ampliamente seguro, una percepción que se vio reforzada por los documentos publicados en 2013 por Edward Snowden, el denunciante de la NSA.
Estos indicaban firmemente que, siempre que no se utilicen claves precompartidas(nueva ventana), OpenVPN era el único protocolo de VPN de uso común en ese momento que la NSA no podía descifrar. WireGuard®, un protocolo de VPN más reciente y seguro, aún no se había desarrollado en 2013. Aunque WireGuard es más rápido, ligero y eficiente, no puede igualar la trayectoria comprobada de OpenVPN.
Ventajas de OpenVPN:
- Código abierto
- Seguridad de eficacia comprobada
- Puede ejecutarse a través de UDP o TCP
- Ampliamente compatible
Desventajas de OpenVPN:
- Actualmente, su rendimiento no puede igualar al de WireGuard (aunque se está trabajando para mejorarlo)
- Base de código relativamente grande y compleja
Proton VPN es compatible con OpenVPN en todas nuestras aplicaciones:
- Windows
- macOS
- Android
- Android TV (a través de Smart Protocol)
- iOS e iPadOS
- Aplicación y CLI de Linux
- Chrome OS
¿Cómo me mantiene seguro OpenVPN?
OpenVPN utiliza varias tecnologías criptográficas para mantener seguros sus datos y no tiene vulnerabilidades conocidas. Las tecnologías utilizadas por la mayoría de las implementaciones modernas de OpenVPN (incluida la de Proton VPN) son:
AES
Advanced Encryption Standard (AES) es un cifrado de clave simétrica que se utiliza para cifrar y descifrar los datos transmitidos a través de su conexión de VPN.
Está certificado por el Instituto Nacional de Estándares y Tecnología(nueva ventana) (NIST) y el Gobierno de los Estados Unidos lo utiliza para proteger datos clasificados. AES tiene un tamaño de clave máximo de 256 bits (AES-256), y el Gobierno de los EE. UU. considera que AES-256 es suficiente para proteger información “ultrasecreta”(nueva ventana).
Cuando se utiliza como parte de la suite de cifrado de OpenVPN, AES se puede usar en los modos AES-CBC (Cipher Block Chaining) o AES-GCM (Galois/Counter Mode). Para fines de aprendizaje sobre cómo funciona Proton VPN, solo necesita conocer AES-GCM
Aunque es igualmente seguro, el AES-GCM, más moderno, es un cifrado de cifrado autenticado con datos asociados(nueva ventana) (AEAD) que puede autenticar datos además de protegerlos. Todavía se requiere HMAC SHA (ver más abajo) para autenticar la conexión TLS, pero AES-GCM es más eficiente (y, por lo tanto, más rápido) para autenticar datos que SHA.
Más información sobre el cifrado AES
RSA
OpenVPN se basa en AES para proteger sus datos, pero para enviarlos a través de la conexión de VPN, OpenVPN aplica criptografía de clave pública(nueva ventana). Este sistema criptográfico utiliza un intercambio de claves asimétrico, donde sus datos se cifran utilizando la clave pública compartida abiertamente del destinatario deseado. Luego, estos datos solo pueden ser descifrados por la clave privada secreta del destinatario, .
El cifrado de clave asimétrica es eficaz para enviar datos de forma secreta a través de Internet, pero es lento en comparación con los sistemas de cifrado simétrico como AES. Por eso se utiliza principalmente en las VPN para autenticar las conexiones entre el cliente de VPN y el servidor de VPN. OpenVPN utiliza el criptosistema RSA(nueva ventana) para esto.
Las longitudes de clave RSA pueden ser de casi cualquier tamaño, pero una clave de 4096 bits es lo suficientemente segura sin incurrir en una alta sobrecarga computacional que resulte inútil y ralentice su conexión.
DHE
Se puede utilizar un intercambio de claves Diffie-Hellman(nueva ventana) (DHE) para proteger el intercambio de claves TLS de manera similar a RSA, con la ventaja adicional de que también proporciona secreto perfecto hacia adelante(nueva ventana) (forward secrecy). El secreto perfecto hacia adelante garantiza que se utilicen claves nuevas para cada sesión, de modo que incluso si una sesión se ve comprometida de alguna manera, ninguna otra sesión se verá afectada. El secreto perfecto hacia adelante garantiza que los atacantes no puedan descifrar sesiones históricas de VPN con una sola clave comprometida.
Sin embargo, debido a que DHE reutiliza un conjunto limitado de números primos, puede ser vulnerable a ataques Logjam(nueva ventana). Este problema es mucho menos preocupante si se utilizan tamaños de clave lo suficientemente grandes, pero su uso para proteger los intercambios de claves TLS sigue siendo controvertido.
Debido a esto, Proton VPN utiliza el soporte de DHE en la suite de cifrado de OpenVPN para proporcionar secreto perfecto hacia adelante, pero no para proteger el intercambio de claves en sí.
HMAC SHA
OpenVPN utiliza HMAC SHA para validar los certificados TLS utilizados en el intercambio de claves TLS. Esto protege contra los ataques de intermediario (man-in-the-middle).
La familia SHA(nueva ventana) de funciones hash criptográficas(nueva ventana) se utiliza para autenticar datos. Cuando estas complejas funciones matemáticas se realizan sobre un conjunto de datos, se crea una huella digital única. Si cambia solo un bit de esos datos, la huella digital SHA también cambia.
Se sabe que SHA-1 (una función hash de 160 bits) es vulnerable a los ataques de colisión(nueva ventana), pero SHA-2 todavía se considera seguro. Más importante aún, OpenVPN solo utiliza SHA para calcular los valores del código de autenticación de mensajes basado en hash(nueva ventana) (HMAC) de todos modos. Estos son mucho más difíciles de atacar que el algoritmo SHA por sí solo, hasta el punto de que incluso SHA-1 todavía se considera lo suficientemente seguro para HMAC(nueva ventana).
Canales de OpenVPN
OpenVPN utiliza dos canales independientes para transferir datos de forma segura entre su dispositivo y el servidor de VPN.

El canal de datos
Antes de enviar sus datos a través del túnel de VPN, OpenVPN los cifra con un cifrado de clave simétrica.
Proton VPN utiliza hasta AES-256 en modo GCM para verificar los datos.
El canal de control
Una vez que los datos están cifrados, se pueden enviar a través del túnel de VPN. El canal de control establece una conexión TLS entre el cliente de VPN y el servidor de VPN. Esto se protege mediante un cifrado de clave simétrica, pero con un intercambio de claves asimétrico.
Proton VPN utiliza hasta AES-256-GCM para su cifrado simétrico, con autenticación de hash RSA-4096 y HMAC SHA-384 para verificar los certificados TLS. El conjunto de cifrado que utilizamos también incluye un acuerdo de claves Diffie-Hellman (DHE) para proporcionar secreto perfecto hacia adelante.
¿Puede OpenVPN superar la censura de las VPN?
Una de las grandes ventajas de OpenVPN es que puede funcionar tanto con el protocolo de transmisión UDP como con el TCP, que son los dos protocolos principales que controlan cómo se envían los datos a través de internet. UDP es más rápido, mientras que TCP es más confiable, pero la principal ventaja de esta flexibilidad es que TCP es útil para superar la censura de gobiernos y otras organizaciones.
Obtenga más información sobre la diferencia entre UDP y TCP
El puerto TCP 443 es utilizado por HTTPS(nueva ventana), el estándar de cifrado que protege la web. Esto dificulta el bloqueo de OpenVPN cuando se ejecuta a través del puerto TCP 443 sin bloquear todo el tráfico HTTPS, lo que hace que OpenVPN sea útil para eludir los bloqueos de VPN de bajo nivel.
Sin embargo, las formas más avanzadas de inspección profunda de paquetes pueden detectar fácilmente la diferencia entre los paquetes HTTPS y de VPN.
Más información sobre la inspección profunda de paquetes
¿Se ha auditado OpenVPN?
Después de una campaña de financiación colectiva, OpenVPN 2.4 fue auditado de forma independiente(nueva ventana) por OSTIF y QuarksLab en 2016. Los resultados fueron muy positivos, y la única vulnerabilidad crítica o alta descubierta se relacionaba con la susceptibilidad a un ataque de denegación de servicio y no afectó la seguridad de los usuarios. Este problema también se solucionó rápidamente.
Sin embargo, ya ha pasado bastante tiempo desde 2016, y OpenVPN 2.6.1 es la versión más reciente al momento de escribir este artículo.
OpenVPN vs. WireGuard
El nuevo protocolo WireGuard es seguro, rápido y eficiente, razón por la cual Proton VPN lo utiliza ahora como nuestro protocolo de VPN por defecto. La capacidad de OpenVPN para ejecutarse a través de TCP sigue siendo una ventaja sobre el WireGuard estándar, pero Proton VPN ahora ha desarrollado una implementación de WireGuard que también se ejecuta a través de TCP.
Más información sobre WireGuard
WireGuard también constituye la base de nuestro protocolo de ofuscación Stealth, que es mucho más eficaz para evadir los bloqueos de censura que ejecutar OpenVPN a través de TCP.
El hecho de que la seguridad de OpenVPN siga estando más probada que la de WireGuard aún puede resultar atractivo para algunos, pero existen pocas razones para elegirlo en lugar de WireGuard, a menos que su dispositivo actual no sea compatible con WireGuard.
Pensamientos finales
Durante muchos años, OpenVPN fue de hecho el protocolo de VPN por defecto y, debido a esto, sigue contando con un excelente soporte en enrutadores y otros dispositivos con capacidad para internet. Sigue siendo muy seguro, pero ofrece pocas ventajas en comparación con el más vanguardista WireGuard (especialmente las implementaciones personalizadas de Proton VPN del protocolo más reciente).







