Descargar
Volver al blog
Guías··9 min de lectura

Qué es una VPN: guía completa

Idioma: EnglishالعربيةDeutschفارسیFrançaisहिन्दीBahasa IndonesiaItaliano日本語한국어PolskiPortuguêsРусскийไทยTürkçeУкраїнськаTiếng Việt简体中文繁體中文

Una red privada virtual — VPN — es un servicio que enruta el tráfico de internet de un dispositivo a través de un túnel cifrado hacia un servidor operado por el proveedor. Esta guía explica cómo funciona una VPN a nivel técnico, qué puede y qué no puede hacer por tu privacidad y seguridad, y cómo evaluar las opciones disponibles.

Qué hace realmente una VPN

Una app de VPN crea un túnel de red entre el dispositivo de un usuario y un servidor remoto. Todo el tráfico del dispositivo con destino a internet se encapsula, se cifra y se envía a través de este túnel hacia el servidor, que luego reenvía el tráfico a su destino en la internet pública. El tráfico de retorno sigue el camino inverso.

De este esquema se derivan dos cambios prácticos. Primero, las redes entre el dispositivo y el servidor VPN — incluido el Wi-Fi local, el proveedor de internet y cualquier red de tránsito — solo observan tráfico cifrado entre el dispositivo y el servidor VPN. Segundo, la internet pública ve las solicitudes como originadas en la dirección IP del servidor VPN en lugar de la dirección real del dispositivo.

Una VPN, por lo tanto, modifica quién puede observar el tráfico y qué dirección queda visible para los servicios remotos. No hace, por sí sola, que una conexión sea anónima, ni elimina todas las formas de rastreo.

Cómo funciona una VPN

El mecanismo central es la encapsulación combinada con el cifrado. Cuando el cliente VPN está activo, el sistema operativo enruta los paquetes salientes a través de una interfaz de red virtual creada por la app de VPN. Cada paquete se envuelve dentro de un paquete nuevo — se encapsula — y se cifra usando una clave de sesión negociada cuando se estableció la conexión.

Tunelización

La encapsulación significa que el paquete original — incluida su dirección de destino y su carga útil — se convierte en la carga útil de un paquete externo dirigido al servidor VPN. El paquete externo viaja por la internet pública hasta el servidor, que descifra la carga útil y reenvía el paquete original.

Cifrado

Los protocolos VPN modernos usan algoritmos de cifrado autenticado como ChaCha20-Poly1305 o AES-GCM. Las claves de sesión se negocian en el momento de la conexión usando protocolos de intercambio de claves basados en criptografía de clave pública. Esto garantiza que un observador en medio de la conexión no pueda leer el tráfico encapsulado ni modificarlo sin que se detecte.

Enrutamiento y DNS

Más allá del cifrado, la app de VPN también reconfigura la tabla de enrutamiento del sistema operativo para que todo el tráfico — o, en algunas configuraciones, solo destinos específicos — se envíe a través del túnel. Las consultas DNS también suelen enrutarse a través de la VPN para evitar fugas hacia la red local.

Casos de uso comunes

Las VPN cumplen varios propósitos distintos, y la configuración adecuada del proveedor depende de cuál de ellos sea la motivación principal.

  • Privacidad frente a las redes locales. Las conexiones de Wi-Fi público — cafeterías, hoteles, aeropuertos — pueden exponer tráfico sin cifrar a otros usuarios de la misma red. Una VPN elimina esa exposición porque el tráfico se cifra antes de salir del dispositivo.
  • Privacidad frente a los proveedores de internet. Los proveedores de internet pueden observar los destinos de las consultas DNS sin cifrar y los metadatos de las conexiones TLS. Una VPN traslada esa visibilidad del proveedor de internet al proveedor de la VPN.
  • Selección de ubicación geográfica. Algunos servicios restringen el acceso según la dirección IP del usuario. Una VPN permite que el usuario parezca conectarse desde el país donde se encuentra el servidor VPN.
  • Acceso a la red para organizaciones. Las VPN corporativas se usan para permitir que los trabajadores remotos alcancen servicios internos privados que no están expuestos a la internet pública.

Protocolos en las VPN modernas

El protocolo determina cómo se establece el túnel, qué algoritmos criptográficos se usan y cómo se comporta la conexión ante la pérdida de paquetes o los cambios de red. Los protocolos más comunes en los servicios VPN de consumo son WireGuard, OpenVPN e IKEv2/IPsec.

WireGuard es el más reciente de los tres. Usa un conjunto reducido de primitivas criptográficas modernas, cabe en unas cuatro mil líneas de código y está integrado en el kernel de Linux, así como en la mayoría de los sistemas operativos de consumo. Su diseño favorece la simplicidad, el rendimiento y una superficie de auditoría pequeña.

OpenVPN es más antiguo y considerablemente más flexible: admite muchos conjuntos de cifrado, transportes y opciones de configuración. Esa flexibilidad tiene como costo la complejidad. OpenVPN sigue ampliamente implementado, sobre todo en entornos empresariales.

IKEv2/IPsec viene integrado en iOS, macOS y Windows. Rinde bien en dispositivos móviles y gestiona los cambios de red — por ejemplo, el paso entre Wi-Fi y datos móviles — con fluidez.

Hay disponible una comparación detallada de los dos protocolos de consumo más comunes en nuestra comparación de WireGuard y OpenVPN.

VPN frente a proxy y Tor

A veces se confunde las VPN con los proxies y con la red Tor. Los mecanismos y los modelos de amenaza son distintos.

Un servidor proxy reenvía el tráfico de una aplicación específica — lo más común, HTTP — a un destino en nombre del usuario. Los proxies por lo general no cifran el tráfico por sí mismos, y operan a nivel de aplicación en lugar de a nivel de red.

Tor es una red de anonimato que enruta el tráfico a través de tres relés elegidos de un conjunto operado por voluntarios, cifrando cada salto por separado. Tor brinda anonimato frente a la red — ningún relé por sí solo puede observar a la vez el origen y el destino — pero es más lento que una VPN y no es adecuado para tareas de alto rendimiento.

Una VPN brinda cifrado frente a la red local y cambia la dirección IP observable, pero traslada la confianza al proveedor de la VPN, que ve la dirección real del usuario y los destinos que este alcanza.

Limitaciones que debes entender

Una VPN es un componente de una postura de privacidad más amplia y no debe tratarse como una solución completa. Se aplican varias limitaciones importantes.

El proveedor de la VPN es un nuevo punto de confianza. Donde antes el proveedor de internet tenía visibilidad de las conexiones, ahora el proveedor de la VPN tiene una visibilidad equivalente. Por eso la credibilidad de su política sin registros y del diseño de su infraestructura cobra importancia. Nuestra guía sobre las políticas de VPN sin registros explica qué significan realmente esas afirmaciones.

La seguridad del dispositivo no cambia. Una VPN no protege contra el malware que se ejecuta en el dispositivo, los ataques de phishing, las extensiones de navegador comprometidas ni el rastreo por parte de aplicaciones a las que ya se les ha concedido acceso a los datos del usuario.

El rastreo a nivel de sitio web continúa. Una VPN cambia la dirección IP visible para los servicios remotos, pero no afecta a las cookies, a las huellas digitales del navegador ni a las cuentas en las que el usuario tiene la sesión iniciada.

Cómo elegir un proveedor

Al evaluar servicios de VPN, conviene examinar varios factores.

  • Compatibilidad de protocolos. Los proveedores modernos deberían admitir WireGuard o IKEv2/IPsec. OpenVPN sigue siendo una opción razonable por compatibilidad.
  • Política de privacidad e historial de auditorías.Una política de privacidad breve y específica, con resultados de auditorías independientes, es más creíble que un texto de marketing que asegura tener “cifrado de grado militar” sin más detalles.
  • Requisitos de cuenta. Los servicios que operan sin cuentas de usuario conservan menos datos y reducen el volumen de información que podría quedar expuesto en caso de una filtración.
  • Implementación del kill switch. Un kill switch que funcione evita la exposición del tráfico si el túnel se desconecta. Nuestra descripción general de los kill switch de VPN explica cómo verificar que uno funcione correctamente.
  • Jurisdicción. El país en el que está constituido el proveedor afecta al régimen legal bajo el cual opera.

Snap VPN está construida en torno a varios de estos principios: un único protocolo, sin cuentas de usuario, un kill switch activado de forma predeterminada y una red de servidores cuidada en tres regiones en lugar de decenas de ubicaciones poco utilizadas. Los pasos de configuración detallados están documentados en la guía de configuración para iPhone.

The Snap VPN Team
Editorial