Este artículo ha sido actualizado para incluir los protocolos VPN WireGuard® y Stealth.
Explicamos qué es un protocolo VPN y qué hace. También comparamos las fortalezas y debilidades de los protocolos más comunes, incluidos OpenVPN, WireGuard®, IKEv2, PPTP y L2TP.
Antes de confiar en una VPN para proteger tu actividad en internet, necesitas asegurarte de que han implementado las salvaguardas necesarias. Evaluar los aspectos más técnicos de una VPN puede ser difícil. A menudo significa luchar por entender una sopa de letras de diferentes acrónimos.
Hemos comenzado una serie de publicaciones donde explicamos algunas de nuestras medidas de seguridad para que la gente pueda tomar decisiones más informadas. Nuestra primera publicación explicaba qué significa HMAC SHA-384. Esta publicación investigará los protocolos VPN, qué hacen, cómo funcionan y qué significa si un servicio VPN usa OpenVPN sobre L2TP, por ejemplo.
Esta publicación profundiza en algunos de los mecanismos internos de las VPN. Si bien intentamos explicar los términos claramente, esta publicación será más útil si llegas con algunos conocimientos técnicos básicos. Si no estás seguro de cómo funciona una VPN, podría ser útil leer el artículo vinculado a continuación antes de continuar.
Protocolos VPN
Las VPN dependen de lo que se llama “tunelización” para crear una red privada entre dos ordenadores a través de internet. Un protocolo VPN, también conocido como “protocolo de tunelización”, son las instrucciones que usa tu dispositivo para negociar la conexión cifrada segura que forma la red entre tu ordenador y otro.
Un protocolo VPN generalmente se compone de dos canales: un canal de datos y un canal de control. El canal de control es responsable del intercambio de claves, la autenticación y los intercambios de parámetros (como proporcionar una IP o rutas y servidores DNS). El canal de datos, como habrás adivinado, es responsable de transportar tus datos de tráfico de internet. Juntos, estos dos canales establecen y mantienen un túnel VPN seguro. Sin embargo, para que tus datos pasen a través de este túnel seguro, deben ser encapsulados.
La encapsulación es cuando un protocolo VPN toma bits de datos, conocidos como paquetes de datos, de tu tráfico de internet y los coloca dentro de otro paquete. Esta capa extra es necesaria porque las configuraciones de protocolo que usa tu VPN dentro del canal de datos no son necesariamente las mismas que usa el internet normal. La capa adicional permite que tu información viaje a través del túnel VPN y llegue a su destino correcto.
Esto es todo un poco técnico, así que visión general amplia: cuando te conectas a un servidor VPN, la VPN usa su canal de control para establecer claves compartidas y conectar entre tu dispositivo y el servidor. Una vez establecida esta conexión, el canal de datos comienza a transmitir tu tráfico de internet. Cuando una VPN discute las fortalezas y debilidades de su rendimiento o habla de un “túnel VPN seguro”, está hablando de su canal de datos. Una vez que se ha establecido el túnel VPN, el canal de control se encarga de mantener la estabilidad de la conexión.
PPTP
El protocolo de tunelización punto a punto (PPTP) es uno de los protocolos VPN más antiguos. Inicialmente fue desarrollado con soporte de Microsoft, y por lo tanto todas las versiones de Windows y la mayoría de los demás sistemas operativos tienen soporte nativo para PPTP.
PPTP usa el protocolo punto a punto (PPP), que es como una proto-VPN en sí misma. A pesar de ser bastante antiguo, PPP puede autenticar a un usuario (generalmente con MS-CHAP v2) y encapsular datos por sí mismo, permitiéndole manejar las tareas tanto del canal de control como del canal de datos. Sin embargo, PPP no es enrutable; no se puede enviar a través de internet por sí solo. Así que PPTP encapsula los datos encapsulados en PPP nuevamente utilizando encapsulación de enrutamiento genérico (GRE) para establecer su canal de datos.
Desafortunadamente, PPTP no tiene ninguna de sus propias funciones de cifrado o autenticación. Confía en PPP para implementar estas funciones — lo cual es problemático ya que el sistema de autenticación de PPP y el cifrado que Microsoft le añadió, MPPE, son ambos débiles.
Cifrado: El protocolo de cifrado punto a punto de Microsoft (MPPE(ventana nueva)), que usa el algoritmo RSA RC4. La fuerza máxima de MPPE es de claves de 128 bits.
Velocidad: Debido a que sus protocolos de cifrado no requieren mucha potencia informática (RC4 y solo claves de 128 bits), PPTP mantiene velocidades de conexión rápidas.
Vulnerabilidades conocidas: PPTP ha tenido numerosas vulnerabilidades de seguridad conocidas desde 1998. Una de las vulnerabilidades más graves explota la autenticación MS-CHAP v2 no encapsulada para realizar un ataque man-in-the-middle (MITM).
Puertos de cortafuegos: Puerto TCP 1723. El uso de GRE por parte de PPTP significa que no puede navegar por un cortafuegos de traducción de direcciones de red y es uno de los protocolos VPN más fáciles de bloquear. (Un cortafuegos NAT permite a varias personas compartir una dirección IP pública al mismo tiempo. Esto es importante porque la mayoría de los usuarios individuales no tienen su propia dirección IP).
Estabilidad: PPTP no es tan confiable, ni se recupera tan rápidamente como OpenVPN sobre conexiones de red inestables.
Conclusión: Si te preocupa asegurar tus datos, no hay razón para usar PPTP. Incluso Microsoft ha aconsejado(ventana nueva) a sus usuarios que actualicen a otros protocolos VPN para proteger sus datos.
L2TP/IPSec
El protocolo de tunelización de capa dos (L2TP) estaba destinado a reemplazar a PPTP. L2TP puede manejar la autenticación por sí solo y realiza encapsulación UDP, por lo que, en cierto modo, puede formar tanto el canal de control como el de datos. Sin embargo, similar a PPTP, no añade ningún cifrado por sí mismo. Si bien L2TP puede enviar PPP, para evitar las debilidades inherentes de PPP, L2TP generalmente se empareja con el conjunto de seguridad del protocolo de internet (IPSec) para manejar su cifrado y autenticación.
IPSec es un marco flexible que se puede aplicar a las VPN, así como a la seguridad de nivel de enrutamiento y aplicación. Cuando te conectas a un servidor VPN con L2TP/IPSec, IPSec negocia las claves compartidas y autentica la conexión de un canal de control seguro entre tu dispositivo y el servidor.
IPSec luego encapsula los datos. Cuando IPSec realiza esta encapsulación, aplica un encabezado de autenticación y usa la Carga de Seguridad de Encapsulación (ESP). Estos encabezados especiales añaden una firma digital a cada paquete para que los atacantes no puedan manipular tus datos sin alertar al servidor VPN.
ESP cifra los paquetes de datos encapsulados para que ningún atacante pueda leerlos (y, dependiendo de los ajustes de la VPN, también autentica el paquete de datos). Una vez que IPSec ha encapsulado los datos, L2TP encapsula esos datos nuevamente usando UDP para que puedan pasar a través del canal de datos.
Varios protocolos VPN, incluido IKEv2, usan cifrado IPSec. Si bien generalmente es seguro, IPSec es muy complejo, lo que puede llevar a una mala implementación. L2TP/IPSec es compatible con la mayoría de los principales sistemas operativos.
Cifrado: L2TP/IPSec puede usar cifrado 3DES o AES, aunque dado que 3DES ahora se considera un cifrado débil, rara vez se usa.
Velocidad: L2TP/IPSec es generalmente más lento que OpenVPN cuando se usa la misma fuerza de cifrado. Esto se debe principalmente al hecho de que el cifrado AES utilizado por OpenVPN está acelerado por hardware en los procesadores más comunes.
Vulnerabilidades conocidas: L2TP/IPSec es un protocolo VPN avanzado, pero una presentación filtrada de la NSA(ventana nueva) sugiere que la agencia de inteligencia ya ha encontrado formas de manipularlo. Además, debido a la complejidad de IPSec, muchos proveedores de VPN utilizaron claves precompartidas(ventana nueva) para configurar L2TP/IPSec.
Puertos de cortafuegos: El puerto UDP 500 se usa para el intercambio inicial de claves, el puerto UDP 5500 para el cruce NAT y el puerto UDP 1701 para permitir el tráfico L2TP. Debido a que usa estos puertos fijos, L2TP/IPSec es más fácil de bloquear que algunos otros protocolos.
Estabilidad: L2TP/IPSec no es tan estable como algunos de los protocolos VPN más avanzados. Su complejidad puede llevar a caídas frecuentes de la red.
Conclusión: La seguridad de L2TP/IPSec es indudablemente una mejora sobre PPTP, pero podría no proteger tus datos de atacantes avanzados. Sus velocidades más lentas e inestabilidad también significan que los usuarios solo deben considerar usar L2TP/IPSec si no hay otras opciones.
IKEv2/IPSec
El intercambio de claves de internet versión dos (IKEv2) es un protocolo de tunelización relativamente nuevo que en realidad es parte de la propia suite IPSec. Microsoft y Cisco cooperaron en el desarrollo del protocolo IKEv2/IPSec original, pero ahora hay muchas iteraciones de código abierto.
IKEv2 configura un canal de control autenticando un canal de comunicación seguro entre tu dispositivo y el servidor VPN utilizando el algoritmo de intercambio de claves Diffie-Hellman(ventana nueva). IKEv2 luego usa ese canal de comunicación seguro para establecer lo que se llama una asociación de seguridad, lo que simplemente significa que tu dispositivo y el servidor VPN están usando las mismas claves de cifrado y algoritmos para comunicarse.
Una vez que la asociación de seguridad está en su lugar, IPSec puede crear un túnel, aplicar encabezados autenticados a tus paquetes de datos y encapsularlos con ESP. (De nuevo, dependiendo de qué cifrado se use, el ESP podría manejar la autenticación del mensaje). Los paquetes de datos encapsulados se encapsulan luego nuevamente en UDP para que puedan pasar a través del túnel.
IKEv2/IPSec es compatible con Windows 7 y versiones posteriores, macOS 10.11 y versiones posteriores, así como la mayoría de los sistemas operativos móviles.
Cifrado: IKEv2/IPSec puede usar una gama de diferentes algoritmos criptográficos, incluidos AES, Blowfish y Camellia. Admite cifrado de 256 bits.
Velocidad: IKEv2/IPSec es un protocolo VPN rápido, aunque generalmente no tan rápido como OpenVPN acelerado por hardware o WireGuard.
Vulnerabilidades conocidas: IKEv2/IPSec no tiene debilidades conocidas, y casi todos los expertos en seguridad informática lo consideran seguro cuando se implementa correctamente con Perfect Forward Secrecy.
Puertos de cortafuegos: El puerto UDP 500 se usa para el intercambio inicial de claves y el puerto UDP 4500 para el cruce NAT. Debido a que siempre usa estos puertos, IKEv2/IPSec es más fácil de bloquear que algunos otros protocolos.
Estabilidad: IKEv2/IPSec admite el protocolo de Movilidad y Multihoming, lo que lo hace más confiable que la mayoría de los otros protocolos VPN, especialmente para usuarios que a menudo cambian entre diferentes redes WiFi.
Conclusión: Con una seguridad fuerte, altas velocidades y mayor estabilidad, IKEv2/IPSec es un buen protocolo VPN. Sin embargo, la reciente introducción de WireGuard significa que hay pocas razones para elegirlo sobre el protocolo VPN más nuevo.
OpenVPN
OpenVPN es un protocolo de tunelización de código abierto. A diferencia de los protocolos VPN que dependen de la suite IPSec, OpenVPN usa SSL/TLS para manejar su intercambio de claves y configurar su canal de control, y un protocolo OpenVPN único para manejar la encapsulación y el canal de datos.
Esto significa que tanto su canal de datos como su canal de control están cifrados, lo que lo hace algo único en comparación con otros protocolos VPN. Es compatible con todos los principales sistemas operativos a través de software de terceros.
Cifrado: OpenVPN puede usar cualquiera de los diferentes algoritmos criptográficos contenidos en la biblioteca OpenSSL(ventana nueva) para cifrar sus datos, incluidos AES, RC5 y Blowfish.
Más información sobre el cifrado AES
Velocidad: Cuando usa UDP, OpenVPN mantiene conexiones rápidas, aunque IKEv2/IPSec y WireGuard son generalmente aceptados como más rápidos.
Vulnerabilidades conocidas: OpenVPN no tiene vulnerabilidades conocidas siempre que se implemente con un algoritmo de cifrado suficientemente fuerte y Perfect Forward Secrecy. Es el estándar de la industria para las VPN preocupadas por la seguridad de los datos.
Puertos de cortafuegos: OpenVPN se puede configurar para ejecutarse en cualquier puerto UDP o TCP, incluido el puerto TCP 443, que maneja todo el tráfico HTTPS y hace que sea muy difícil de bloquear.
Estabilidad: OpenVPN es muy estable en general y tiene un modo TCP para derrotar la censura.
Conclusión: OpenVPN es seguro, confiable y de código abierto. Es uno de los mejores protocolos VPN actualmente en uso, especialmente para usuarios preocupados principalmente por la seguridad de los datos. Su capacidad para enrutar conexiones a través de TCP (ver a continuación) también lo convierte en una buena opción para evadir la censura. Sin embargo, aunque carece de la ventaja anticensura de OpenVPN, WireGuard también es seguro y es más rápido que OpenVPN.
WireGuard®
WireGuard(ventana nueva) es un protocolo VPN de código abierto que es seguro, rápido y eficiente.
Cifrado: WireGuard usa ChaCha20 para cifrado simétrico (RFC7539(ventana nueva)), Curve25519 para intercambio de claves anónimo, Poly1305 para autenticación de datos y BLAKE2s para hashing (RFC7693(ventana nueva)). Admite automáticamente Perfect Forward Secrecy.
Velocidad: WireGuard utiliza nuevos algoritmos criptográficos de alta velocidad. ChaCha20, por ejemplo, es mucho más simple que los cifrados AES de igual fuerza y casi tan rápido, aunque la mayoría de los dispositivos ahora vienen con instrucciones para AES integradas en su hardware. El resultado es que WireGuard ofrece velocidades de conexión rápidas y tiene bajos requisitos de CPU.
Vulnerabilidades conocidas: WireGuard ha pasado por varias verificaciones formales, y para ser incorporado en el kernel de Linux, la base de código de WireGuard Linux fue auditada independientemente(ventana nueva) por un tercero.
Puertos de cortafuegos: WireGuard se puede configurar para usar cualquier puerto y generalmente se ejecuta sobre UDP. Sin embargo, Proton VPN también ofrece WireGuard TCP en la mayoría de nuestras aplicaciones.
Estabilidad: WireGuard es un protocolo VPN muy estable e introduce nuevas funciones que otros protocolos de tunelización no tienen, como mantener una conexión VPN mientras se cambian los servidores VPN o se cambian las redes WiFi.
Conclusión: Un protocolo VPN de última generación, WireGuard es rápido, eficiente y seguro. No está tan “probado en batalla” como OpenVPN y no ofrece las capacidades anticensura basadas en TCP de OpenVPN (ver a continuación), pero para la mayoría de las personas, la mayor parte del tiempo, es el protocolo VPN que recomendamos usar.
Más información sobre WireGuard
Stealth
Stealth es un nuevo protocolo VPN desarrollado por Proton. Con él, puedes acceder a sitios censurados y comunicarte con personas en las redes sociales, incluso cuando los protocolos VPN regulares están bloqueados por tu gobierno u organización.
Stealth se basa en WireGuard tunelizado sobre TLS. Por lo tanto, usa el mismo cifrado que WireGuard, con una capa añadida de cifrado TLS. Por lo demás, es idéntico a WireGuard (descrito anteriormente).
Otros términos importantes
Al repasar las comparaciones de los diferentes protocolos VPN, es posible que te hayas encontrado con acrónimos o términos técnicos con los que no estabas familiarizado. Explicamos algunos de los más importantes aquí.
TCP vs. UDP
El protocolo de control de transmisión (TCP) y el protocolo de datagramas de usuario (UDP) son las dos formas diferentes en que los dispositivos pueden comunicarse entre sí a través de internet. Ambos se ejecutan en el Protocolo de Internet, que es responsable de enviar paquetes de datos hacia y desde direcciones IP.
Cuando ves que un protocolo de tunelización usa un puerto TCP o un puerto UDP, significa que establece una conexión entre tu ordenador y el servidor VPN utilizando uno de estos dos protocolos.
Si un protocolo VPN usa TCP, UDP o ambos puede afectar significativamente su rendimiento. El TCP se centra principalmente en entregar datos con precisión ejecutando comprobaciones adicionales para asegurar que los datos estén en el orden adecuado y corrigiéndolos si no lo están.
Esto suena como una buena función, pero realizar comprobaciones lleva tiempo, lo que resulta en un rendimiento más lento. Ejecutar una VPN sobre TCP (TCP sobre TCP) puede ralentizar tu conexión en lo que se llama un colapso TCP.
Por ejemplo, si tienes tráfico TCP pasando a través de un túnel TCP OpenVPN y los datos TCP en el túnel detectan un error, intentará compensar, lo que podría causar que el túnel TCP sobrecompense. Este proceso puede causar retrasos severos en la entrega de tus datos.
Sin embargo, también es bueno para derrotar la censura. Esto se debe a que el tráfico HTTPS(ventana nueva) usa el puerto TCP 443, por lo que si enrutas tu conexión VPN sobre el mismo puerto, parece tráfico VPN seguro ordinario.
La capacidad de ejecutar tráfico VPN sobre el puerto 443 es una de las mayores ventajas de usar OpenVPN (y WireGuard, si usas la implementación TCP personalizada del protocolo de Proton VPN).
Más información sobre TCP y UDP
Perfect Forward Secrecy
Perfect Forward Secrecy es un componente de seguridad crítico de la comunicación cifrada. Se refiere a las operaciones que gobiernan cómo se generan tus claves de cifrado. Si tu VPN admite Perfect Forward Secrecy, creará un conjunto único de claves para cada sesión (es decir, cada vez que establezcas una nueva conexión VPN).
Esto significa que incluso si un atacante de alguna manera obtiene una de tus claves, solo puede usarla para acceder a datos de esa sesión VPN específica. Los datos en el resto de tus sesiones permanecerían seguros ya que diferentes claves únicas los protegen. También significa que tu clave de sesión permanecerá segura incluso si la clave privada de tu VPN queda expuesta.
Protocolos utilizados por las aplicaciones de Proton VPN
Comenzamos Proton VPN para asegurar que activistas, disidentes y periodistas tengan acceso seguro y privado a internet. Para mantener segura a la comunidad de Proton, solo usamos protocolos VPN confiables y verificados. La siguiente lista muestra qué protocolos VPN son compatibles en nuestras diferentes aplicaciones:
- Windows: OpenVPN, WireGuard® y Stealth
- macOS: OpenVPN, IKEv2, WireGuard y Stealth
- Android: OpenVPN, WireGuard y Stealth
- iOS/iPadOS: OpenVPN, IKEv2, WireGuard y Stealth
- Linux: OpenVPN y WireGuard
Puedes usar OpenVPN y WireGuard en modos UDP o TCP.
Aprende cómo cambiar protocolos VPN
Nuestras aplicaciones de Windows, macOS, Android e iOS/iPadOS admiten Smart Protocol. Esta función anticensura sondea inteligentemente las redes para descubrir la mejor configuración de protocolo VPN requerida para un rendimiento óptimo o para eludir la censura.
Por ejemplo, puede cambiar automáticamente de IKEv2 a OpenVPN, o de OpenVPN UDP a OpenVPN TCP, usando diferentes puertos según sea necesario.
Más información sobre Smart Protocol
Todas nuestras aplicaciones usan los ajustes de seguridad más fuertes admitidos por el protocolo VPN. OpenVPN, WireGuard e IKEv2/IPSec son los únicos protocolos que la gran mayoría de los expertos en seguridad informática acuerdan que son seguros.
Nos negamos a ofrecer conexiones VPN usando PPTP o L2TP/IPSec (aunque son más baratos de ejecutar y más fáciles de configurar) porque su seguridad no cumple con nuestros estándares.
Cuando inicias sesión en Proton VPN, puedes estar seguro de que tu conexión VPN está utilizando los protocolos de tunelización más recientes y fuertes.
Un cordial saludo,
El equipo de Proton VPN
Puedes seguirnos en las redes sociales para estar al día de los últimos lanzamientos de Proton VPN:
Twitter (ventana nueva)| Facebook(ventana nueva) | Reddit(ventana nueva)
Para obtener una cuenta de correo electrónico cifrado gratuita de Proton Mail, visita: proton.me/mail(ventana nueva)
