Este artículo ha sido actualizado para incluir los protocolos VPN WireGuard® y Stealth.
Explicamos qué es un protocolo VPN y qué hace. También comparamos las fortalezas y debilidades de los protocolos más comunes, incluidos OpenVPN, WireGuard®, IKEv2, PPTP y L2TP.
Antes de confiar en una VPN para proteger tu actividad en internet, debes asegurarte de que hayan implementado las medidas de seguridad necesarias. Evaluar los aspectos más técnicos de una VPN puede ser difícil. A menudo significa luchar por entender una sopa de letras de diferentes siglas.
Hemos comenzado una serie de publicaciones donde explicamos algunas de nuestras medidas de seguridad para que las personas puedan tomar decisiones más informadas. Nuestra primera publicación explicaba qué significa HMAC SHA-384. Esta publicación investigará los protocolos VPN, qué hacen, cómo funcionan y qué significa si un servicio VPN utiliza OpenVPN sobre L2TP, por ejemplo.
Esta publicación profundiza en algunos de los mecanismos internos de las VPN. Si bien intentamos explicar los términos claramente, esta publicación será más útil si tienes algunos conocimientos técnicos básicos. Si no estás seguro de cómo funciona una VPN, podría ser útil leer el artículo vinculado a continuación antes de continuar.
Protocolos VPN
Las VPN dependen de lo que se llama “tunelización” para crear una red privada entre dos ordenadores a través de internet. Un protocolo VPN, también conocido como “protocolo de tunelización”, son las instrucciones que usa tu dispositivo para negociar la conexión cifrada segura que forma la red entre tu ordenador y otro.
Un protocolo VPN generalmente se compone de dos canales: un canal de datos y un canal de control. El canal de control es responsable del intercambio de claves, la autenticación y los intercambios de parámetros (como proporcionar una IP o rutas y servidores DNS). El canal de datos, como habrás adivinado, es responsable de transportar los datos de tu tráfico de internet. Juntos, estos dos canales establecen y mantienen un túnel VPN seguro. Sin embargo, para que tus datos pasen a través de este túnel seguro, deben estar encapsulados.
La encapsulación es cuando un protocolo VPN toma bits de datos, conocidos como paquetes de datos, de tu tráfico de internet y los coloca dentro de otro paquete. Esta capa adicional es necesaria porque las configuraciones de protocolo que usa tu VPN dentro del canal de datos no son necesariamente las mismas que usa el internet normal. La capa adicional permite que tu información viaje a través del túnel VPN y llegue a su destino correcto.
Todo esto es un poco técnico, así que una visión general amplia: cuando te conectas a un servidor VPN, la VPN utiliza su canal de control para establecer claves compartidas y conectar entre tu dispositivo y el servidor. Una vez establecida esta conexión, el canal de datos comienza a transmitir tu tráfico de internet. Cuando una VPN analiza las fortalezas y debilidades de su rendimiento o habla de un “túnel VPN seguro”, está hablando de su canal de datos. Una vez que se ha establecido el túnel VPN, el canal de control tiene la tarea de mantener la estabilidad de la conexión.
PPTP
El protocolo de túnel punto a punto (PPTP) es uno de los protocolos VPN más antiguos. Se desarrolló inicialmente con el soporte de Microsoft, y por tanto todas las versiones de Windows y la mayoría de los demás sistemas operativos tienen soporte nativo para PPTP.
PPTP utiliza el protocolo punto a punto (PPP), que es como una proto-VPN en sí misma. A pesar de ser bastante antiguo, PPP puede autenticar a un usuario (normalmente con MS-CHAP v2) y encapsular los datos, permitiéndole gestionar tanto las tareas del canal de control como las del canal de datos. Sin embargo, PPP no es enrutable; no se puede enviar a través de internet por sí solo. Así que PPTP encapsula de nuevo los datos encapsulados en PPP utilizando una encapsulación de enrutamiento genérico (GRE) para establecer su canal de datos.
Desafortunadamente, PPTP no tiene ninguna de sus propias funciones de cifrado o autenticación. Confía en PPP para implementar estas funciones, lo cual es problemático ya que el sistema de autenticación de PPP y el cifrado que Microsoft añadió, MPPE, son ambos débiles.
Cifrado: El protocolo de cifrado punto a punto de Microsoft (MPPE(ventana nueva)), que utiliza el algoritmo RSA RC4. La fuerza máxima de MPPE son claves de 128 bits.
Velocidad: Debido a que sus protocolos de cifrado no requieren mucha potencia de cálculo (RC4 y solo claves de 128 bits), PPTP mantiene velocidades de conexión rápidas.
Vulnerabilidades conocidas: PPTP ha tenido numerosas vulnerabilidades de seguridad conocidas desde 1998. Una de las vulnerabilidades más graves explota la autenticación MS-CHAP v2 no encapsulada para realizar un ataque de hombre en el medio (MITM).
Puertos del cortafuegos: Puerto TCP 1723. El uso de GRE por parte de PPTP significa que no puede navegar por un cortafuegos de traducción de direcciones de red y es uno de los protocolos VPN más fáciles de bloquear. (Un cortafuegos NAT permite a varias personas compartir una dirección IP pública al mismo tiempo. Esto es importante porque la mayoría de los usuarios individuales no tienen su propia dirección IP).
Estabilidad: PPTP no es tan fiable, ni se recupera tan rápidamente como OpenVPN sobre conexiones de red inestables.
Conclusión: Si te preocupa asegurar tus datos, no hay razón para usar PPTP. Incluso Microsoft ha aconsejado(ventana nueva) a sus usuarios mejorar a otros protocolos VPN para proteger sus datos.
L2TP/IPSec
El protocolo de túnel de capa dos (L2TP) estaba destinado a reemplazar a PPTP. L2TP puede gestionar la autenticación por sí solo y realiza encapsulación UDP, por lo que, en cierto modo, puede formar tanto el canal de control como el de datos. Sin embargo, al igual que PPTP, no añade ningún cifrado por sí mismo. Aunque L2TP puede enviar PPP, para evitar las debilidades inherentes de PPP, L2TP suele emparejarse con el conjunto de seguridad del protocolo de Internet (IPSec) para manejar su cifrado y autenticación.
IPSec es un marco flexible que se puede aplicar tanto a las VPN como a la seguridad a nivel de enrutamiento y aplicación. Cuando te conectas a un servidor VPN con L2TP/IPSec, IPSec negocia las claves compartidas y autentica la conexión de un canal de control seguro entre tu dispositivo y el servidor.
IPSec luego encapsula los datos. Cuando IPSec realiza esta encapsulación, aplica un encabezado de autenticación y utiliza la carga de seguridad de encapsulación (ESP). Estos encabezados especiales añaden una firma digital a cada paquete para que los atacantes no puedan manipular tus datos sin alertar al servidor VPN.
ESP cifra los paquetes de datos encapsulados para que ningún atacante pueda leerlos (y, dependiendo de los ajustes de la VPN, también autentica el paquete de datos). Una vez que IPSec ha encapsulado los datos, L2TP encapsula esos datos de nuevo usando UDP para que puedan pasar a través del canal de datos.
Varios protocolos VPN, incluido IKEv2, utilizan cifrado IPSec. Aunque generalmente es seguro, IPSec es muy complejo, lo que puede llevar a una implementación deficiente. L2TP/IPSec tiene soporte en la mayoría de los principales sistemas operativos.
Cifrado: L2TP/IPSec puede utilizar cifrado 3DES o AES, aunque dado que 3DES se considera ahora un cifrado débil, rara vez se utiliza.
Velocidad: L2TP/IPSec es generalmente más lento que OpenVPN cuando se utiliza la misma fuerza de cifrado. Esto se debe principalmente al hecho de que el cifrado AES utilizado por OpenVPN está acelerado por hardware en la mayoría de los procesadores comunes.
Vulnerabilidades conocidas: L2TP/IPSec es un protocolo VPN avanzado, pero una presentación filtrada de la NSA(ventana nueva) sugiere que la agencia de inteligencia ya ha encontrado formas de manipularlo. Además, debido a la complejidad de IPSec, muchos proveedores de VPN usaron claves precompartidas(ventana nueva) para configurar L2TP/IPSec.
Puertos del cortafuegos: El puerto UDP 500 se utiliza para el intercambio de claves inicial, el puerto UDP 5500 para el cruce de NAT y el puerto UDP 1701 para permitir el tráfico L2TP. Debido a que utiliza estos puertos fijos, L2TP/IPSec es más fácil de bloquear que otros protocolos.
Estabilidad: L2TP/IPSec no es tan estable como algunos de los protocolos VPN más avanzados. Su complejidad puede provocar caídas frecuentes de la red.
Conclusión: La seguridad de L2TP/IPSec es indudablemente una mejora con respecto a PPTP, pero podría no proteger tus datos de atacantes avanzados. Sus velocidades más lentas e inestabilidad también significan que los usuarios solo deberían considerar el uso de L2TP/IPSec si no hay otras opciones.
IKEv2/IPSec
El intercambio de claves de Internet versión dos (IKEv2) es un protocolo de túnel relativamente nuevo que en realidad es parte de la suite IPSec. Microsoft y Cisco cooperaron en el desarrollo del protocolo IKEv2/IPSec original, pero ahora hay muchas iteraciones de código abierto.
IKEv2 configura un canal de control autenticando un canal de comunicación seguro entre tu dispositivo y el servidor VPN utilizando el algoritmo de intercambio de claves Diffie–Hellman(ventana nueva). IKEv2 utiliza entonces ese canal de comunicación seguro para establecer lo que se llama una asociación de seguridad, lo que simplemente significa que tu dispositivo y el servidor VPN están utilizando las mismas claves de cifrado y algoritmos para comunicarse.
Una vez establecida la asociación de seguridad, IPSec puede crear un túnel, aplicar encabezados autenticados a tus paquetes de datos y encapsularlos con ESP. (De nuevo, dependiendo del cifrado que se use, el ESP podría gestionar la autenticación del mensaje). Los paquetes de datos encapsulados se encapsulan de nuevo en UDP para que puedan pasar a través del túnel.
IKEv2/IPSec tiene soporte en Windows 7 y versiones posteriores, macOS 10.11 y versiones posteriores, así como en la mayoría de los sistemas operativos móviles.
Cifrado: IKEv2/IPSec puede utilizar una variedad de algoritmos criptográficos diferentes, incluidos AES, Blowfish y Camellia. Tiene soporte para cifrado de 256 bits.
Velocidad: IKEv2/IPSec es un protocolo VPN rápido, aunque generalmente no tan rápido como OpenVPN acelerado por hardware o WireGuard.
Vulnerabilidades conocidas: IKEv2/IPSec no tiene debilidades conocidas, y casi todos los expertos en seguridad informática lo consideran seguro cuando se implementa correctamente con Perfect Forward Secrecy.
Puertos del cortafuegos: El puerto UDP 500 se utiliza para el intercambio de claves inicial y el puerto UDP 4500 para el cruce de NAT. Debido a que siempre utiliza estos puertos, IKEv2/IPSec es más fácil de bloquear que otros protocolos.
Estabilidad: IKEv2/IPSec tiene soporte para el protocolo de Movilidad y Multihoming, lo que lo hace más fiable que la mayoría de los demás protocolos VPN, especialmente para los usuarios que a menudo cambian entre diferentes redes WiFi.
Conclusión: Con una seguridad fuerte, altas velocidades y mayor estabilidad, IKEv2/IPSec es un buen protocolo VPN. Sin embargo, la reciente introducción de WireGuard significa que hay pocas razones para elegirlo sobre el protocolo VPN más nuevo.
OpenVPN
OpenVPN es un protocolo de túnel de código abierto. A diferencia de los protocolos VPN que dependen de la suite IPSec, OpenVPN utiliza SSL/TLS para gestionar su intercambio de claves y configurar su canal de control y un protocolo OpenVPN único para gestionar la encapsulación y el canal de datos.
Esto significa que tanto su canal de datos como su canal de control están cifrados, lo que lo hace algo único en comparación con otros protocolos VPN. Tiene soporte en todos los principales sistemas operativos a través de software de terceras partes.
Cifrado: OpenVPN puede utilizar cualquiera de los diferentes algoritmos criptográficos contenidos en la biblioteca OpenSSL(ventana nueva) para cifrar sus datos, incluidos AES, RC5 y Blowfish.
Más información sobre el cifrado AES
Velocidad: Cuando se usa UDP, OpenVPN mantiene conexiones rápidas, aunque generalmente se acepta que IKEv2/IPSec y WireGuard son más rápidos.
Vulnerabilidades conocidas: OpenVPN no tiene vulnerabilidades conocidas siempre que se implemente con un algoritmo de cifrado suficientemente fuerte y Perfect Forward Secrecy. Es el estándar de la industria para las VPN preocupadas por la seguridad de los datos.
Puertos del cortafuegos: OpenVPN se puede configurar para ejecutarse en cualquier puerto UDP o TCP, incluido el puerto TCP 443, que gestiona todo el tráfico HTTPS y lo hace muy difícil de bloquear.
Estabilidad: OpenVPN es muy estable en general y tiene un modo TCP para vencer la censura.
Conclusión: OpenVPN es seguro, fiable y de código abierto. Es uno de los mejores protocolos VPN actualmente en uso, especialmente para usuarios preocupados principalmente por la seguridad de los datos. Su capacidad para enrutar conexiones a través de TCP (ver abajo) también lo convierte en una buena opción para evadir la censura. Sin embargo, aunque carece de la ventaja anticensura de OpenVPN, WireGuard también es seguro y es más rápido que OpenVPN.
WireGuard®
WireGuard(ventana nueva) es un protocolo VPN de código abierto que es seguro, rápido y eficiente.
Cifrado: WireGuard utiliza ChaCha20 para el cifrado simétrico (RFC7539(ventana nueva)), Curve25519 para el intercambio de claves anónimo, Poly1305 para la autenticación de datos y BLAKE2s para el hash (RFC7693(ventana nueva)). Tiene soporte automático para Perfect Forward Secrecy.
Velocidad: WireGuard utiliza algoritmos criptográficos nuevos y de alta velocidad. ChaCha20, por ejemplo, es mucho más simple que los cifrados AES de igual fuerza y casi igual de rápido, aunque la mayoría de los dispositivos ahora vienen con instrucciones para AES integradas en su hardware. El resultado es que WireGuard ofrece velocidades de conexión rápidas y tiene bajos requisitos de CPU.
Vulnerabilidades conocidas: WireGuard se ha sometido a varias verificaciones formales, y para ser incorporado en el kernel de Linux, la base de código de WireGuard Linux fue auditada de forma independiente(ventana nueva) por una tercera parte.
Puertos del cortafuegos: WireGuard se puede configurar para usar cualquier puerto y normalmente se ejecuta sobre UDP. Sin embargo, Proton VPN también ofrece un WireGuard TCP en la mayoría de nuestras aplicaciones.
Estabilidad: WireGuard es un protocolo VPN muy estable e introduce nuevas funciones que otros protocolos de túnel no tienen, como mantener una conexión VPN mientras se cambia de servidor VPN o se cambia de red WiFi.
Conclusión: WireGuard, un protocolo VPN de última generación, es rápido, eficiente y seguro. No está tan “probado en batalla” como OpenVPN y no ofrece las capacidades anticensura basadas en TCP de OpenVPN (ver abajo), pero para la mayoría de la gente, la mayor parte del tiempo, es el protocolo VPN que recomendamos usar.
Más información sobre WireGuard
Stealth
Stealth es un nuevo protocolo VPN desarrollado por Proton. Con él, puedes acceder a sitios censurados y comunicarte con personas en las redes sociales, incluso cuando los protocolos VPN habituales están bloqueados por tu gobierno u organización.
Stealth se basa en WireGuard tunelizado sobre TLS. Por tanto, utiliza el mismo cifrado que WireGuard, con una capa añadida de cifrado TLS. Por lo demás, es idéntico a WireGuard (descrito anteriormente).
Otros términos importantes
Al revisar las comparaciones de los diferentes protocolos VPN, es posible que te hayas encontrado con acrónimos o términos técnicos con los que no estabas familiarizado. Explicamos algunos de los más importantes aquí.
TCP vs. UDP
El protocolo de control de transmisión (TCP) y el protocolo de datagramas de usuario (UDP) son las dos formas diferentes en que los dispositivos pueden comunicarse entre sí a través de internet. Ambos se ejecutan sobre el Protocolo de Internet, que es responsable de enviar paquetes de datos hacia y desde direcciones IP.
Cuando ves que un protocolo de túnel utiliza un puerto TCP o un puerto UDP, significa que configura una conexión entre tu ordenador y el servidor VPN utilizando uno de estos dos protocolos.
El hecho de que un protocolo VPN utilice TCP, UDP o ambos puede afectar significativamente a su rendimiento. El TCP se centra principalmente en entregar los datos con precisión ejecutando comprobaciones adicionales para asegurar que los datos están en el orden correcto y corrigiéndolos si no lo están.
Esto suena como una buena función, pero realizar comprobaciones lleva tiempo, lo que resulta en un rendimiento más lento. Ejecutar una VPN sobre TCP (TCP sobre TCP) puede ralentizar tu conexión en lo que se llama un colapso TCP.
Por ejemplo, si tienes tráfico TCP pasando a través de un túnel TCP de OpenVPN y los datos TCP en el túnel detectan un error, intentará compensar, lo que podría causar que el túnel TCP sobrecompense. Este proceso puede causar graves retrasos en la entrega de tus datos.
Sin embargo, también es bueno para vencer la censura. Esto se debe a que el tráfico HTTPS(ventana nueva) utiliza el puerto TCP 443, por lo que si enrutas tu conexión VPN sobre el mismo puerto, parece tráfico VPN seguro ordinario.
La capacidad de ejecutar tráfico VPN sobre el puerto 443 es una de las mayores ventajas de usar OpenVPN (y WireGuard, si se usa la implementación TCP personalizada del protocolo de Proton VPN).
Más información sobre TCP y UDP
Perfect Forward Secrecy
Perfect Forward Secrecy es un componente de seguridad crítico de la comunicación cifrada. Se refiere a las operaciones que gobiernan cómo se generan tus claves de cifrado. Si tu VPN tiene soporte para Perfect Forward Secrecy, creará un conjunto único de claves para cada sesión (es decir, cada vez que establezcas una nueva conexión VPN).
Esto significa que incluso si un atacante consigue de alguna manera una de tus claves, solo puede usarla para acceder a datos de esa sesión VPN específica. Los datos en el resto de tus sesiones permanecerían seguros ya que diferentes claves únicas los protegen. También significa que tu clave de sesión permanecerá segura incluso si la clave privada de tu VPN queda expuesta.
Protocolos utilizados por las aplicaciones de Proton VPN
Comenzamos Proton VPN para asegurar que activistas, disidentes y periodistas tengan acceso seguro y privado a internet. Para mantener segura a la comunidad de Proton, solo usamos protocolos VPN examinados y de confianza. La siguiente lista muestra qué protocolos VPN tienen soporte en nuestras diferentes aplicaciones:
- Windows: OpenVPN, WireGuard® y Stealth
- macOS: OpenVPN, IKEv2, WireGuard y Stealth
- Android: OpenVPN, WireGuard y Stealth
- iOS/iPadOS: OpenVPN, IKEv2, WireGuard y Stealth
- Linux: OpenVPN y WireGuard
Puedes usar OpenVPN y WireGuard en modos UDP o TCP.
Aprende a cambiar los protocolos VPN
Nuestras aplicaciones para Windows, macOS, Android e iOS/iPadOS tienen soporte para Smart Protocol. Esta función anticensura sondea inteligentemente las redes para descubrir la mejor configuración de protocolo VPN requerida para un rendimiento óptimo o evitar la censura.
Por ejemplo, puede cambiar automáticamente de IKEv2 a OpenVPN, o de OpenVPN UDP a OpenVPN TCP, usando diferentes puertos según sea necesario.
Más información sobre Smart Protocol
Todas nuestras aplicaciones utilizan los ajustes de seguridad más fuertes soportados por el protocolo VPN. OpenVPN, WireGuard e IKEv2/IPSec son los únicos protocolos que la gran mayoría de expertos en seguridad informática acuerdan que son seguros.
Nos negamos a ofrecer conexiones VPN usando PPTP o L2TP/IPSec (aunque son más baratos de ejecutar y más fáciles de configurar) porque su seguridad no cumple con nuestros estándares.
Cuando inicias sesión en Proton VPN, puedes estar seguro de que tu conexión VPN está usando los protocolos de túnel más recientes y fuertes.
Un cordial saludo,
El equipo de Proton VPN
Puedes seguirnos en las redes sociales para estar al día de los últimos lanzamientos de Proton VPN:
Twitter (ventana nueva)| Facebook(ventana nueva) | Reddit(ventana nueva)
Para obtener una cuenta de correo electrónico cifrado gratuita de Proton Mail, visita: proton.me/mail(ventana nueva)
