Explicación de protocolos VPN: ¿Cuál deberías usar?

¿Qué es un protocolo VPN?

Un protocolo VPN es un conjunto de instrucciones/normas que describen cómo se debe establecer una conexión entre tu dispositivo y el servidor VPN. El protocolo determina la velocidad y puede utilizar algoritmos de cifrado para ayudar a mantener tus datos seguros.

Los diferentes protocolos tienen diferentes parámetros y especificaciones cuando están en uso. Estos incluyen técnicas de autenticación, tipos de corrección de errores, formato de direcciones y tamaño del paquete de datos, entre otras cosas.

Esta guía se centrará más en seguridad, privacidad, velocidad y estabilidad.

Los protocolos VPN notables admitidos por la mayoría de los proveedores de VPN comerciales incluyen PPTP, L2TP/IPSec, SSTP, OpenVPN, IKEv2/IPSec y WireGuard.

Sin más preámbulos, ¡comencemos!

Una breve comparación de varios protocolos VPN estándar:

Protocolos VPN comúnmente utilizados

Estos son los protocolos que la mayoría de los proveedores de VPN de renombre prefieren ofrecer. Son seguros, con velocidades rápidas y estabilidad, y no se ven comprometidos fácilmente.

Estos incluyen:

OpenVPN

OpenVPN es el estándar de la industria en cuanto a protocolos VPN. OpenVPN es de código abierto y utiliza la biblioteca OpenSSL junto con otras tecnologías de seguridad.

OpenSSL es un conjunto de herramientas para SSL/TLS y criptografía, lo necesario para comunicaciones seguras de extremo a extremo.

OpenVPN es el protocolo VPN más seguro y también altamente configurable. OpenSSL proporciona todo el cifrado y autenticación necesarios.

OpenVPN, por lo tanto, puede utilizar varios cifrados ofrecidos por la biblioteca OpenSSL. La mayoría de los proveedores de VPN prefieren usar el cifrado Blowfish y AES.

El cifrado VPN se realiza tanto en el canal de datos como en el canal de control. El cifrado del canal de datos asegura tus datos, mientras que el cifrado del canal de control asegura la conexión.

Esto garantiza que tu conexión VPN y tus datos nunca estén en riesgo. Sin embargo, la mayoría de los proveedores de VPN utilizan el cifrado más alto en el canal de control en lugar del canal de datos.

Generalmente, OpenVPN utiliza el cifrado más alto disponible. Es decir, un cifrado con encriptación de 256 bits, un apretón de manos RSA-4096 y autenticación de hash SHA-512. A veces, también puede incluir autenticación HMAC y Perfect Forward Secrecy.

Incluso utiliza aceleración de hardware para mejorar el rendimiento.

Al ser de código abierto, OpenVPN ha sido auditado por diversas entidades y se ha encontrado seguro sin vulnerabilidades graves.

A menudo, cuando se descubren vulnerabilidades, se solucionan rápidamente. Además, no puede debilitarse incluso por agencias gubernamentales, especialmente cuando se utiliza Perfect Forward Secrecy.

OpenVPN TCP y OpenVPN UDP

Además de una seguridad impecable, OpenVPN ofrece velocidad y confiabilidad a través de sus dos protocolos de comunicación. OpenVPN TCP para la confiabilidad y OpenVPN UDP para la velocidad.

OpenVPN TCP y UDP pueden ejecutarse en un solo puerto TCP/UDP 443. UDP se puede configurar para ejecutarse en otro puerto. El mismo puerto se utiliza para el tráfico web HTTP seguro. Esto dificulta el bloqueo de las conexiones OpenVPN.

Se recomienda usar OpenVPN cuando la seguridad y la privacidad sean de suma importancia. Debido a la sobrecarga de cifrado, OpenVPN podría no ser adecuado para tareas de baja latencia, como los videojuegos. Sin embargo, si tienes una conexión de alta velocidad, esto no importará.

OpenVPN utiliza software de terceros para ser compatible con la mayoría de los dispositivos con capacidad VPN. Casi todos los proveedores de VPN también ofrecen este protocolo.

Además, el proyecto OpenVPN tiene clientes/apps personalizados de OpenVPN que se pueden usar individualmente. Se requiere configuración manual.

Tenemos una guía completa sobre OpenVPN en TCP frente a UDP si estás interesado en una descripción detallada.

Ventajas

• Código abierto.
• Seguridad impecable con Secreto Perfecto hacia adelante.
• Compatible con una variedad de cifrados (configurables).
• Sortea fácilmente cortafuegos/restricciones.
• Casi todos los proveedores de VPN lo ofrecen.
• Ha sido probado, auditado y comprobado.
• Incluye UDP y TCP.
• Difícil de debilitar.

Desventajas

• Gran sobrecarga de cifrado.
• No es muy rápido.
• Base de código pesado.
• Requiere software de terceros para compatibilidad.

IKEv2

Este protocolo también se conoce como IKEv2/IPsec. Internet Key Exchange versión 2 (IKEv2) es un protocolo de túneles y, como su nombre indica, se utiliza para intercambiar claves de forma segura.

Necesita otro protocolo para cifrado y autenticación para ser utilizado como protocolo VPN. Por eso se empareja con IPSec.

Como se mencionó anteriormente (L2TP/IPSec), IPSec ofrece un canal seguro y permite diversos algoritmos de cifrado. Por lo tanto, puedes obtener hasta un cifrado de 256 bits en este protocolo.

Dado que IKEv2 es un protocolo de intercambio de claves, utiliza el intercambio de claves Diffie-Hellman y permite el Secreto Perfecto hacia adelante para proteger sus datos.

El protocolo es confiable, ya que utiliza reconocimientos, procesamiento de errores, control de transmisión y una traducción de direcciones de red incorporada.

También es estable, ya que vuelve a establecer automáticamente las conexiones VPN perdidas de manera más eficiente que otros protocolos.

Además, admite movilidad normal a través del protocolo de movilidad y multihoming (MOBIKE). Esto permite a los usuarios cambiar de red y mantener una conexión segura.

Por lo tanto, IKEv2 es adecuado para teléfonos móviles, ya que cambian regularmente entre conexiones de internet de red móvil y WIFI. Esta es también la razón por la que IKEv2 es el protocolo incorporado en la mayoría de los teléfonos móviles compatibles con VPN.

Debido a una mejora con respecto a IKEv1, IKEv2 es más rápido y eficiente, consume menos ancho de banda y no tiene vulnerabilidades conocidas. Las vulnerabilidades surgen cuando los proveedores de VPN lo implementan de manera deficiente.

Originalmente, IKEv2 fue desarrollado a partir de un esfuerzo conjunto entre Microsoft y Cisco. Era compatible con Blackberry, iOS y Windows 7.

Sin embargo, muchas iteraciones de IKEv2 ahora son de código abierto y admiten otras plataformas.

Un buen VPN que utiliza IKEv2 es NordVPN.

Ventajas

• Velocidades rápidas e ininterrumpidas.
• Máxima protección a través de AES.
• Reconexiones automáticas estables.
• Puedes cambiar de redes sin preocupaciones.
• Seguro sin vulnerabilidades.
• Admite dispositivos Blackberry y otras plataformas.

Desventajas

• Una mala implementación puede llevar a problemas.
• Versión de código cerrado.
• Puede sufrir restricciones de cortafuegos.

Echa un vistazo a nuestra guía sobre el protocolo IKEv2 VPN para una descripción detallada.

WireGuard

WireGuard es un protocolo de código abierto relativamente nuevo que es simple y fácil de usar. Fue diseñado para ser más rápido que IPSec y más eficiente que OpenVPN.

Aunque todavía está en desarrollo, la mayoría de los proveedores de VPN de buena reputación han adoptado WireGuard como uno de sus protocolos principales. Otros ofrecen una versión modificada bajo un nombre diferente.

WireGuard utiliza criptografía de vanguardia para mantener seguro el tráfico de internet. Utiliza nuevos cifrados que no son adoptados por otros protocolos.

Para el cifrado, utiliza ChaCha20. ChaCha20 es seguro y tiene un rendimiento más rápido que el AES común, incluso en dispositivos móviles.

Esta criptografía de última generación incluso garantiza que la computación cuántica no rompa fácilmente el cifrado.

Su código base también es ligero para garantizar una superficie de ataque mínima.

El código se puede revisar rápidamente incluso por individuos, a diferencia de OpenVPN, que tiene un código voluminoso. Cuanto más pequeño es el código, más fácil es auditarlo e identificar vulnerabilidades y debilidades.

Ya que incluso su mecanismo de cifrado es más rápido en teléfonos móviles, WireGuard presume de un alto rendimiento. También utiliza una interfaz de red simple que se puede configurar fácilmente.

Con un cifrado eficiente, WireGuard utiliza el menor ancho de banda. Sus conexiones dependen de UDP. Debido a su alto rendimiento, WireGuard ofrece las velocidades más rápidas.

A pesar de todo lo bueno, la configuración predeterminada de WireGuard guarda registros de tu dirección IP estática. Esto representa una preocupación importante sobre la privacidad para la mayoría de los usuarios.

Además, al ser relativamente nuevo y estar en desarrollo, todavía necesita más pruebas.

WireGuard es compatible con casi todas las plataformas informáticas. Es adecuado para tareas que requieren alta velocidad, no consume mucha energía y ofrece un cifrado seguro.

Ventajas

• Código abierto.
• Alto rendimiento con velocidades muy rápidas.
• Código base ligero.
• Funciona bien incluso con teléfonos móviles.
• Bajo consumo de ancho de banda.
• Excelente seguridad.
• Sin vulnerabilidades conocidas.

Desventajas

• Solo utiliza UDP.
• Fácil de bloquear.
• Todavía está en desarrollo.
• Configuración predeterminada riesgosa: registro de IP.

Echa un vistazo a nuestra guía sobre OpenVPN vs. WireGuard para un análisis detallado de estos dos protocolos.

Protocolos VPN obsoletos

Estos son protocolos que la mayoría de los proveedores de VPN de buena reputación dejaron de ofrecer debido a sus vulnerabilidades. Sin embargo, todavía puedes obtenerlos en la mayoría de los proveedores de VPN.

Los protocolos incluyen:

PPTP

El protocolo de túnel punto a punto (PPTP) es uno de los protocolos VPN más antiguos. Este protocolo no especifica cómo debe implementarse la seguridad.

Se basa en varios métodos de autenticación para proporcionar seguridad, como el MS-CHAP v2. Este método de autenticación no es seguro y tiene varias debilidades y vulnerabilidades conocidas.

En cuanto al cifrado, PPTP se basa en el cifrado RC4 con cifrado de 128 bits. Este cifrado RC4 es rápido y ligero. También es vulnerable a ataques de diccionario, ataques de fuerza bruta e incluso cambios de bits.

Hace más de una década, PPTP fue vulnerado en dos días debido a un exploit en MS-CHAP v2. Por aquel entonces, las herramientas más recientes presumían de vulnerarlo en menos de 24 horas. Teniendo en cuenta esto junto con MS-CHAP v2, no se recomienda el uso de PPTP para la privacidad y la seguridad.

Sin embargo, puedes utilizar PPTP para tareas de alta velocidad. Es fácil de configurar (sin software adicional) y tiene una sobrecarga computacional muy baja.

Por lo tanto, hasta la fecha, PPTP sigue siendo un estándar para los servicios de VPN corporativos y comerciales. También es un protocolo VPN integrado en la mayoría de los dispositivos compatibles con VPN.

PPTP utiliza el puerto TCP 1723, lo que facilita su bloqueo.

Ventajas

• Velocidades muy rápidas.
• Muy fácil de configurar.
• La mayoría de los proveedores de VPN lo admiten.
• Compatible con la mayoría de las plataformas.

Desventajas

• Seguridad y cifrado débiles.
• No aumenta tu privacidad.
• Agencias gubernamentales o incluso personas con conocimientos técnicos pueden vulnerarlo fácilmente.
• No puede eludir restricciones/fácil de bloquear.
• Varias vulnerabilidades conocidas.

L2TP/IPsec

Este protocolo consta de dos partes, aunque a veces se le llama L2TP. Son el Protocolo de túnel de capa 2 (L2TP) y la Seguridad del protocolo de Internet (IPsec).

L2TP es solo un protocolo de túnel: crea una conexión segura para el intercambio de datos pero no los cifra. Por lo tanto, debe combinarse con un protocolo que permita el cifrado de datos. Para eso está IPSec.

IPSec se encarga del cifrado, el intercambio de claves y la autenticación. Permite el uso de varios algoritmos de cifrado. IPSec proporciona un canal seguro cuando se utiliza en conjunto, mientras que L2TP se encarga del túnel.

L2TP/IPSec puede usar cifrado de 256 bits, que es muy seguro. Sin embargo, la mayoría de las VPN no implementan este protocolo como deberían. Utilizan claves compartidas previamente, que pueden encontrarse fácilmente. Por lo tanto, lo debilitan.

Además, la mayoría de los expertos sugieren firmemente que la NSA debilitó IPsec cuando estaba en desarrollo.

L2TP/IPSec es relativamente más lento que otros protocolos. Esto se debe a la doble encapsulación. Al igual que PPTP, este protocolo también utiliza puertos fijos, lo que facilita su bloqueo.

Puedes utilizarlo cuando otros protocolos fallen, ya que ofrece buena estabilidad. Es más fácil de configurar y es compatible con casi todos los dispositivos que admiten VPN.

Ventajas

• Más seguro que su predecesor, PPTP.
• Relativamente estable.
• Fácil de configurar.
• La mayoría de los proveedores de VPN lo admiten.
• Disponible en la mayoría de las plataformas informáticas.

Desventajas

• Dependencia de puertos fijos.
• Puede ser bloqueado.
• Puede ser comprometido.
• Relativamente más lento.
• La mala implementación lo debilita.

SSTP

El Protocolo de Tunelización Segura de Sockets (SSTP) es un protocolo seguro que proporciona cifrado utilizando los estándares de cifrado SSL/TLS.

Estos estándares también se utilizan para proporcionar tráfico HTTP seguro. SSTP puede asegurar el Protocolo de comunicación Punto a Punto (PPP) y, en algunos casos, L2TP.

Con una integración ajustada, SSTP puede ser fuerte y estable como otros protocolos seguros. A través del canal SSL/TSL, SSTP puede usar varios cifrados que pueden ofrecer cifrado de 256 bits. Sin embargo, SSL es susceptible al ataque POODLE Man-in-the-middle (MITM).

Lo único de SSTP es el uso del puerto 443. Este puerto se utiliza para el tráfico HTTPS, esencialmente la mayoría de tus actividades en la web.

Esto convierte a SSTP en un protocolo VPN sigiloso. Puede sortear bloqueos geográficos y es difícil de bloquear en cortafuegos a menos que nadie quiera que el tráfico web siga adelante.

Si otros protocolos mejores no están disponibles, SSTP puede ayudar a eludir restricciones. Cuando se implementa correctamente, puede ofrecer buenas velocidades. Pero a veces puede sufrir de colapso de TCP, lo que dificulta la fiabilidad y el rendimiento.

SSTP es un protocolo de Microsoft y solo es compatible con algunas plataformas. Incluyen Windows, Linux y BSD. Al ser un protocolo de Microsoft, SSTP no está disponible para auditorías públicas.

Además, la cooperación de Microsoft con la NSA puede hacerte dudar de este protocolo. Es decir, si la privacidad y la seguridad son tu máxima prioridad.

Ventajas

• Sigiloso, puede sortear cortafuegos.
• Seguro.
• Excelente integración con Windows.

Desventajas

• Código cerrado.
• SSL es susceptible a MITM.
• Puede ser comprometido.
• No es muy compatible/admitido.

Nota: Evita los protocolos obsoletos a menos que no te preocupen tu privacidad y seguridad. Pueden ser tu último recurso cuando todo lo demás no funcione.

Protocolos VPN poco utilizados

Estos son protocolos VPN utilizados solo por algunos proveedores de VPN.

SoftEther

SoftEther es un protocolo VPN de código abierto por su excelente seguridad y velocidades rápidas. Comenzó como parte de una tesis de maestría en la Universidad de Tsukuba.

Aunque no ha ganado tracción en toda la industria, ya ha mostrado excelentes resultados en los proveedores de VPN que lo han adoptado.

SoftEther se basa en OpenSSL para el cifrado y la autenticación. Esto le da acceso a potentes cifrados, incluidos el AES-256 y el RSA-4096.

Además, SoftEther enruta el tráfico a través del puerto TCP 443, al igual que OpenVPN. Este puerto garantiza que el tráfico de SoftEther no sea bloqueado fácilmente, ya que es el puerto utilizado para el tráfico HTTPS.

Este protocolo presume de ser uno de los más rápidos en cuanto a velocidad de conexión. Tiene una función de traducción de direcciones de red incorporada y un DNS dinámico integrado.

También admite compresión de datos y da prioridad a VoIP debido a la calidad del servicio.

Solo dos VPN comerciales ofrecen el protocolo SoftEther: Hide.me y CactusVPN. A diferencia de otros protocolos, no es compatible de forma nativa con las plataformas informáticas.

Ventajas

• Código abierto.
• Seguro.
• Velocidades rápidas.
• Solución anti-restricciones de cortafuegos.
• Puede aplicar una variedad de cifrados.

Desventajas

• Relativamente nuevo.
• Utilizado por muy pocos proveedores de VPN.
• No es compatible de forma nativa con ninguna plataforma.

Protocolos VPN propietarios

Estos son protocolos que son propiedad y están controlados por un proveedor de VPN específico. Se crean y personalizan exclusivamente para ser utilizados dentro de sus servicios de VPN.

Otros proveedores de VPN no pueden utilizar estos protocolos, ya que son de código cerrado.

Los protocolos VPN propietarios generalmente se desarrollan para ofrecer mejores velocidades de conexión, seguridad y estabilidad, y superar los desafíos presentes en los protocolos comúnmente utilizados.

Algunos proveedores pueden crear los suyos propios, mientras que otros se basan en protocolos de código abierto existentes.

Dado que no son de código abierto, nadie sabe lo que hay debajo del capó excepto los proveedores. Algunos proveedores afirman que su protocolo ha sido auditado de forma independiente sin fallas para inspirar confianza.

No obstante, las ofertas de estos protocolos incluyen código ligero para minimizar la superficie de ataque, criptografía bien establecida con Perfect Forward Secrecy, soporte UDP y TCP, excelente estabilidad, ventaja de alto rendimiento y otras características.

Algunos de los protocolos VPN propietarios más conocidos de VPNs de buena reputación incluyen: Catapult Hydra, Chameleon, Lightway y NordLynx.

Ventajas de los protocolos VPN propietarios

• Cifrado impecable.
• Velocidades de conexión rápidas.
• Alto rendimiento.
• Bajo consumo de ancho de banda.
• Capacidad para sortear la censura y las restricciones de cortafuegos.

Desventajas de los protocolos VPN propietarios

• Código cerrado.
• Solo los utiliza un único proveedor.
• No se pueden conocer las vulnerabilidades.

Conclusión

Los protocolos VPN proporcionan pautas y especificaciones sobre cómo se debe establecer una conexión VPN. Una conexión VPN puede ser más rápida, más segura o más estable, dependiendo del protocolo.

Muchos proveedores de VPN prefieren el protocolo OpenVPN porque es completo. Tiene la mejor seguridad, buenas velocidades de conexión y fiabilidad.

También sortea fácilmente cortafuegos y otras restricciones. Si este protocolo no funciona bien, puedes usar otros protocolos, como WireGuard para velocidades rápidas e IKEv2/IPSec para estabilidad.

También obtienes buena seguridad. IKEv2/IPSec funciona mejor con teléfonos móviles y maneja eficientemente los cambios de red.

Si tu proveedor de VPN ofrece SoftEther, también puedes usarlo. Es una excelente opción equilibrada, como el protocolo OpenVPN.

Si puedes, evita los protocolos obsoletos. A menos que la privacidad y la seguridad no sean tu máxima prioridad.