El protocolo de túnel punto a punto (PPTP) es un protocolo de VPN que se utiliza para proteger la conexión entre tu dispositivo y un servidor VPN. Al ser uno de los protocolos de VPN más antiguos, el PPTP sufre de múltiples problemas de seguridad y hoy en día se considera obsoleto.

A pesar de esto, su amplia compatibilidad con una gran variedad de software y hardware heredados, su facilidad de configuración, su naturaleza ligera y el alto coste que supone para las empresas mejorar sus antiguos sistemas VPN de intranet corporativa basados en PPTP, hacen que en 2021 el protocolo siga utilizándose de forma generalizada.

¿Qué es un protocolo de VPN?

El protocolo de VPN es una combinación de protocolos de transmisión y estándares de cifrado que establecen una conexión segura entre tu dispositivo y un servidor VPN, y cifra los datos mientras viajan entre ellos.

Un protocolo de VPN debería proporcionar tres cosas:

  • Autenticación: evita que usuarios no autorizados se conecten al servidor VPN
  • Confidencialidad: uso del cifrado para garantizar que nadie pueda acceder (“espiar”) al contenido de los paquetes de datos enviados a través de la red VPN
  • Integridad: detecta si los datos transmitidos han sido manipulados de alguna manera

Los protocolos de VPN que se utilizan hoy en día incluyen:

  • PPTP
  • L2TP/IPsec
  • IKEv2 (/IPsec)
  • OpenVPN
  • WireGuard®
  • SSTP
  • SoftEther
  • Cisco AnyConnect (y su variante de código abierto OpenConnect): estos protocolos se utilizan casi exclusivamente en intranets de VPN corporativas, no en servicios de VPN comerciales como Proton VPN.

Más información sobre los protocolos de VPN

Más información sobre WireGuard

¿Qué es la VPN PPTP?

Historia

Desarrollada por un consorcio fundado por Microsoft, la especificación para PPTP fue diseñada para crear conexiones VPN a través de redes de acceso telefónico y se publicó en 1999. Microsoft añadió rápidamente soporte para PPTP a Windows 95, con el resultado de que pronto se convirtió en el protocolo de VPN por defecto para las intranets corporativas de todo el mundo.

Soporte

Durante los últimos más de 20 años, el soporte para PPTP se ha integrado en casi todas las plataformas compatibles con VPN, y sigue teniendo soporte nativo en Windows 11, Android 12, la mayoría de las distribuciones de Linux y la gran mayoría de los enrutadores compatibles con VPN.

Apple, sin embargo, eliminó(ventana nueva) el soporte para PPTP de iOS 10+ y macOS 10.12 Sierra en 2018, y desaconsejó su uso en versiones anteriores de sus sistemas operativos.

Las versiones recientes de Chrome OS no admiten PPTP directamente, pero es posible configurar conexiones PPTP utilizando el subsistema de Android en los Chromebooks que admiten Google Play Store.

Cómo funciona

PPTP es un protocolo de túnel(ventana nueva), no un protocolo de VPN completo en sí mismo. El cifrado y la autenticación se gestionan mediante el Protocolo Punto a Punto(ventana nueva) (PPP), pero el PPP no incluye ningún mecanismo de enrutamiento para dirigir los paquetes a su destino.

PPTP establece una conexión TCP con el servidor VPN a través del puerto 1723, volviendo a empaquetar los paquetes IP de PPP mediante la Encapsulación de Enrutamiento Genérico(ventana nueva) (GRE). Estos paquetes se cifran con el Cifrado Punto a Punto de Microsoft(ventana nueva) (MPPE), que utiliza un cifrado de flujo RC4 de RSA(ventana nueva) con un tamaño de clave máximo de 128 bits.

Normalmente, la autenticación se realiza mediante el protocolo MS-CHAP (ahora v2). (Es posible(ventana nueva) utilizar el protocolo más seguro AEP-TLS, pero esto implica implementar un sistema de certificados de servidor, lo que niega en gran medida las ventajas de utilizar PPTP en primer lugar).

Velocidad

PPTP es un protocolo de VPN muy sencillo y ligero. Esto permite un buen rendimiento de velocidad (especialmente en dispositivos con baja potencia de procesamiento) y una buena duración de la batería en dispositivos móviles. Esto es especialmente cierto si se compara con el protocolo OpenVPN, mucho más seguro (pero también más pesado).

Seguridad

Se sabe que el PPTP tiene numerosos problemas de seguridad críticos. Uno de los más graves es la posibilidad de una autenticación MS-CHAP v2 no encapsulada, lo que puede permitir a un atacante explotar debilidades criptográficas para obtener las credenciales del usuario.

Utilizando este exploit, las herramientas publicadas por primera vez por la leyenda de la criptografía Moxie Marlinspike en 2012 permiten romper el cifrado de PPTP en menos de un día(ventana nueva). Este fallo llevó a la propia Microsoft a recomendar(ventana nueva) el uso de L2TP/IP, IKEv2, IPsec o SSTP en su lugar.

En 2019, Microsoft también publicó una «declaración de aplicabilidad(ventana nueva)» en la que señalaba que el método de autenticación utilizado por MS-CHAP v2 es susceptible a ataques de diccionario(ventana nueva). Para colmo de males, el cifrado RC4 utilizado por PPTP para cifrar datos es vulnerable a ataques de inversión de bits(ventana nueva).

Por lo tanto, no fue ninguna sorpresa cuando, en 2014, Der Spiegel (ventana nueva)publicó documentos obtenidos del denunciante Edward Snowden que confirmaban que la NSA de los Estados Unidos no tiene apenas problemas para acceder a los datos protegidos con PPTP.

Diapositiva ultrasecreta obtenida de Edward Snowden que detalla cómo la NSA descifra fácilmente el cifrado de PPTP

Resistencia a la censura

PPTP utiliza el puerto TCP 1723, y los paquetes encapsulados por GRE utilizan el número de protocolo IP(ventana nueva) 47, ambos muy fáciles de bloquear mediante un cortafuegos.

Resumen

PPTP no es un protocolo de VPN seguro y nunca debería utilizarse en ninguna situación en la que la seguridad sea un factor.

Su facilidad de uso, su ligereza y su soporte casi omnipresente hacen que siga siendo útil en situaciones en las que la seguridad no es un problema. Por ejemplo, entre los casos de uso se incluye cuando necesitas superar la limitación de velocidad de tu ISP, desbloquear sitios web con restricciones geográficas y ver en streaming contenidos de Netflix a los que te hayas suscrito mientras viajas al extranjero.

Sin embargo, en Proton VPN creemos que las debilidades de seguridad de este protocolo obsoleto lo hacen inadecuado para su propósito, y que es una irresponsabilidad que los servicios de VPN comerciales modernos ofrezcan PPTP como opción a sus usuarios.

En Proton VPN solo ofrecemos protocolos de VPN criptográficamente seguros, implementados con sus ajustes de seguridad más elevados. Estos protocolos son:

  • OpenVPN 
  • IKEv2
  • WireGuard

Preguntas frecuentes

¿Qué puerto utiliza PPTP?

PPTP utiliza el puerto TCP 1723.

¿Qué es el passthrough PPTP?

Todos los enrutadores utilizan la traducción de direcciones de red (NAT) para asignar las conexiones entrantes y salientes a los dispositivos locales que están conectados a ellos. Sin embargo, no todos los enrutadores saben qué hacer con los paquetes que se han cifrado utilizando protocolos VPN más antiguos, como PPTP, IPSec y L2TP.

Para gestionar el tráfico que utiliza estos protocolos VPN, un enrutador debe admitir el passthrough VPN. Si no lo hace, el enrutador bloqueará el tráfico de la VPN. El passthrough PPTP sustituye el protocolo GRE básico que utiliza el PPTP por una versión mejorada que incluye un ID de llamada que puede utilizar para identificar a los clientes PPTP y enrutar correctamente sus paquetes.

La mayoría de los enrutadores modernos incluyen un passthrough VPN que puede gestionar todos los protocolos VPN comunes que se ven afectados por este problema (incluido el PPTP). Además de esto, los protocolos VPN modernos, como OpenVPN, IKEv2 y WireGuard, no se ven afectados por este problema, ya que se han diseñado para solucionarlo.

¿Necesito un cliente PPTP?

La mayoría de los dispositivos y sistemas operativos compatibles con VPN incluyen un cliente VPN PPTP nativo. Una excepción importante son los dispositivos Apple, que ya no admiten PPTP. Esta es una buena decisión por parte de Apple, ya que los protocolos VPN más modernos pueden hacer todo lo que hace el PPTP y, al mismo tiempo, son mucho más seguros.