Por qué el protocolo que usa tu VPN importa más que el precio: WireGuard, OpenVPN e IKEv2 explicados sin tecnicismos

Vamos a decirte por qué es tan importante el protocolo que elijas en una VPN, y también te explicaremos tres de los más importantes de forma detallada. Te hablaremos de los WireGuard, OpenVPN e IKEv2, que puedes encontrar en servicios como NordVPN o cualquiera de los mejores servicios de VPN, incluso también en alguna VPN gratis.

Vamos a empezar explicándote qué es eso de los protocolos de una VPN y por qué son tan importantes. Y luego pasaremos a decirte lo que ofrecen los protocolos  WireGuard, OpenVPN e IKEv2, para que sepas cuál elegir. Todo ello lo intentaremos explicar de una manera fácil y entendible.

Por qué el protocolo puede importar más que otras cosas

A la hora de elegir una VPN, lo normal es fijarnos sobre todo en aspectos prácticos, como el precio de su suscripción, la cantidad de servidores que ofrece y en cuántos países los tiene repartidos, e incluso en aspectos como la estética y el diseño de su aplicación. Sin embargo, no solemos fijarnos tanto en los protocolos soportados por cada servicio, y es algo importante.

El protocolo es la capa que determina el funcionamiento del VPN en sí. El que elijas puede definir directamente aspectos como la velocidad o la fortaleza del cifrado de la conexión, además de otras cosas como la estabilidad de la red, y cómo gestionan las posibles interrupciones de la red o sus transiciones.

Por lo tanto, el protocolo le da forma a la experiencia de la VPN cuando la utilizas. Aquí hay varias opciones modernas, como un OpenVPN que ofrece una gran seguridad, un WireGuard con un rendimiento más rápido, o el IKEv2 que es perfecto para los usuarios móviles. Cuál elegir dependerá de cómo quieras usar la red y los propósitos en cada momento.

OpenVPN es el estándar de la industria

OpenVPN lleva siendo el estándar que domina la industria VPN desde su lanzamiento en 2001. Es el gran veterano, eso tiene un valor enorme para la ciberseguridad, puesto que supone dos décadas y media de auditorías, pruebas en entornos reales y revisiones por parte de los investigadores de seguridad de todo el mundo.

Su principal ventaja es su flexibilidad, puesto que puede configurarse fácilmente para funcionar en cualquier puertos, usando tanto UDP como TCP. Esto permite que el protocolo pueda funcionar contra cortafuegos restrictivos, siendo un muy buen arma contra la censura de Internet, así como en redes corporativas bloqueadas donde WireGuard o IKEv2 podrían ser cortadas.

Como el OpenVPN tiene entre sus modos el poder funcionar sobre TCP en el puerto 443, el mismo que usa el tráfico web https normal es caso imposible bloquearlo sin romper la navegación general. Utiliza un cifrado AES-256, considerado considerado prácticamente imposible de romper con la computación actual, por lo que tu tráfico viaja seguro para que no espíen lo que haces.

El precio a pagar está en la velocidad. Porque sí, OpenVPN es esa tecnología veterana perfectamente segura y privada, pero ofrece una velocidad de navegación algo inferior a la de otras alternativas.

WireGuard es moderno y veloz

WireGuard es el protocolo más moderno de los tres de los que te hablamos hoy, y su gran baza es su simplicidad extrema. Su código fuente ocupa apenas unas 4.000 líneas frente a las 70.000 de OpenVPN, y menos código significa menos puntos donde algo puede fallar o atascarse, y mayor velocidad. También facilita mucho las cosas para las auditorías.

La parte más interesante de este protocolo es que prioriza simplicidad y velocidad, pero no hace sacrificios en seguridad. Es de código abierto, por lo que cualquiera puede revisarlo y utilizarlo, y utiliza varios tipos de cifrados como el algoritmo ChaCha20-Poly1305 para el cifrado autenticado (AEAD) de los paquetes de datos, o varios algoritmos criptográficos como Curve25519 para el intercambio de claves, ChaCha20 para el cifrado, Poly1305 para la autenticación y BLAKE2s para el hash. 

Pero donde realmente se luce este protocolo es en la velocidad, pudiendo llegar a cuadruplicar la velocidad de conexión de OpenVPN en algunas configuraciones. También mantiene una latencia baja en actividades en tiempo real, siendo la mejor alternativa para el gaming, el streaming de contenidos o las videoconferencias.

Uno de sus peros está en la privacidad, porque este protocolo almacena direcciones IP en el servidor durante las conexiones. Esto es así porque fue diseñado como primitiva de bajo nivel, un bloque o preset para que las VPN construyan sobre él, no como una solución final para que los usuarios finales lo utilicen directamente sin una configuración adicional. 

Lo positivo aquí es que las VPN comerciales sí han solucionado esto precisamente con configuraciones adicionales, como sistemas doble NAT o asignación de IP dinámicas para mantener la privacidad. 

Tampoco funciona sobre TCP, solo en UDP. Esto es importante porque si quieres usarlo en alguna red donde se bloquea el TCP, entonces este protocolo queda inservible sin herramientas adicionales que lo corrijan. 

IKEv2 es perfecto para móviles

IKEv2 es un protocolo pensado para el teléfono móvil y la vida real de los usuarios convencionales. Concretamente para esos usuarios que nos movemos de un sitio a otro y vamos conectándonos a distintas redes. 

Su gran baza es el protocolo MOBIKE, que mantiene la conexión VPN activa incluso cuando cambias de red. Vamos, que si cambias de la WiFi de casa a tus datos móviles se mantiene tu túnel de conexión sin que tengas que hacer nada. Los otros protocolos también pueden gestionar esto, pero MOBIKE fue diseñado específicamente para estos escenarios.

Debes entender que MOBIKE es un protocolo de extensión de IKEv2 (RFC 4555) que permite renegociar la dirección IP del cliente sin reiniciar la sesión completa. Por lo tanto, en vez de simplemente reconectar la conexión VPN como pasa con los demás protocolos, el MOBIKE migra toda la sesión existente y sus datos.

Otro de los puntos fuertes de este protocolo está en sus tiempos de conexión, que iguala e incluso supera a los de los protocolos de la competencia. Los usuarios suelen conectarse en cuestión de segundos, y las reconexiones tras una interrupción de la red se producen casi al instante.

IKEv2 utiliza el algoritmo de cifrado AES-256-GCM para ofrecer una máxima seguridad. También usa SHA-2-384 para la verificación de la integridad y claves Diffie-Hellmann de 3072 bits. Esta estructura de seguridad cumple con los estrictos requisitos de las empresas y las administraciones públicas. Además, IKEv2 también ofrece ventajas en velocidad, seguridad y estabilidad.

El talón de Aquiles de este protocolo está en la visibilidad. Usa puertos fijos y protocolos concretos, por lo que es más fácil de bloquear que OpenVPN cuando se enfrenta a cortafuegos agresivos como esos usados por algunos países para censurar Internet. Por lo tanto, a veces no funciona bien donde otros protocolos sí lo hacen.

Qué protocolo utilizar

Como puedes ver, cada protocolo tiene sus más y sus menos, por lo que no hay una elección sencilla. No hay uno que supere en todo a los demás, por lo que dependerá de para qué quieras usar cada uno de ellos. Este podría ser un buen resumen de cuándo conviene usar cada estándar:

• En tu casa: Para un uso general en tu casa, WireGuard es más rápido y seguro para el día a día.
• Streaming y gaming: WireGuard por tener menor latencia y mayor velocidad.
• En tu móvil, moviéndote entre redes: IKEv2 mantiene la conexión cuando cambias de WiFi a datos sin que lo notes.
• En países con censura de Internet: OpenVPN es el más difícil de bloquear. 
• En cortafuegos agresivos: OpenVPN es el más difícil de bloquear. 
• Si necesitas máxima seguridad: OpenVPN, por llevar mas de dos décadas recibiendo todo tipo de auditorías independientes.
• Si no sabes cuál elegir y tu VPN lo soporta: WireGuard es bastante equilibrada, y una buena opción por defecto.

En Xataka Basics | Guía para configurar tu router a fondo: dónde colocarlo, cómo configurarlo y sus principales funciones