¿Qué son las VPNs?

Una VPN (Virtual Private Network) es una herramienta que hay que usar hoy en día, o la usas o aceptas que tu ISP, gobierno, y cada empresa de publicidad del mundo sabe exactamente lo que haces en Internet.

Esta es la Parte 1 de una serie de escritos sobre VPNs. Esta cubre los conceptos básicos: qué es una VPN, cómo te protege, qué hace bueno a un proveedor de VPN, y por qué las VPNs gratuitas son peores que no usar nada en absoluto.

how-vpn-works.webp fuente de imagen: https://howtofix.guide/vpn/.


Por Qué Importa la Privacidad

La privacidad en Internet ha estado bajo ataque durante muchos años. Los gobiernos quieren saber lo que haces en línea para evitar que los manifestantes se levanten. Los ISPs (Internet Service Providers) quieren vender y compartir lo que haces en línea para ganar dinero. Los anunciantes quieren perfilar lo que haces en línea para mostrarte anuncios relevantes. Y los data brokers quieren empaquetar todo lo anterior y venderlo a quien pague.

Una VPN no resolverá todos los problemas de privacidad (nada lo hará), pero tapa un hueco enorme. Elimina el espionaje de tu ISP al cifrar tu conexión a Internet y enrutarla a través de un servidor que tú eliges (como un forward proxy). En lugar de que tu ISP vea que visitaste example.com, ve tráfico cifrado yendo a una dirección IP de un servidor VPN. Eso es todo. Saben que usas una VPN, pero no pueden ver lo que hay dentro del túnel (el proveedor de VPN sí puede, así que elige bien).


Qué Hace Realmente una VPN

Una VPN crea un túnel cifrado entre tu dispositivo y un servidor VPN. Todo tu tráfico de Internet pasa a través de este túnel antes de llegar a la Internet pública.

Cuando te conectas a una VPN, ocurren varias cosas. Primero, tu cliente VPN en tu dispositivo (computadora, teléfono, etc.) establece una conexión cifrada con un servidor VPN usando un protocolo como WireGuard u OpenVPN. Esto implica un handshake criptográfico donde tu dispositivo y el servidor se autentican mutuamente y acuerdan claves de cifrado de sesión.

Una vez que el túnel está activo, tu dispositivo crea una interfaz de red virtual y todo el tráfico saliente se enruta a través de esta interfaz. El cliente VPN cifra cada paquete, lo envuelve en un nuevo paquete UDP (o TCP) dirigido al servidor VPN, y lo envía a través de tu interfaz de red real. Esto se llama encapsulación: estás poniendo un paquete cifrado dentro de un paquete normal.

En el lado del servidor, ocurre lo inverso. El servidor VPN recibe el paquete exterior, elimina la encapsulación, descifra el paquete interior, y lo reenvía al destino en la Internet pública. La respuesta sigue el mismo camino de vuelta: el servidor de destino envía su respuesta al servidor VPN, el servidor VPN la cifra, la envía a través del túnel a tu dispositivo, y tu dispositivo la descifra.

Entonces una VPN proporciona estos beneficios:

  • Tu Dirección IP Está Oculta: Los sitios web y servicios a los que te conectas ven la dirección IP del servidor VPN, no la tuya. Esto significa que no pueden determinar tu ubicación física ni vincular tu actividad con tu red doméstica.
  • Tu ISP No Puede Ver Tu Tráfico: Tu ISP solo puede ver paquetes cifrados yendo a una IP de servidor VPN. No sabe qué sitios web estás visitando, qué estás descargando, ni qué servicios estás usando.
  • Las Consultas DNS Van a Través del Túnel: Una VPN correctamente configurada enruta tus consultas DNS a través del túnel cifrado y las resuelve en los servidores DNS del proveedor de VPN (o un servidor DNS de tu elección). Esto previene las DNS leaks, que son una de las formas más comunes en que los usuarios de VPN exponen accidentalmente su actividad de navegación. Sin protección contra DNS leaks, tu navegador podría seguir enviando consultas DNS al resolver de tu ISP aunque tu tráfico real vaya a través de la VPN.
  • Todo el Tráfico Está Cifrado en Tránsito: Incluso si alguien intercepta los paquetes entre tu dispositivo y el servidor VPN (por ejemplo, en una red Wi-Fi pública), no verán más que datos cifrados.
  • Ver Contenido Desde Cualquier Ubicación (Bonus): Un beneficio adicional es que puedes conectarte a un servidor VPN en otro país y ver contenido que está bloqueado en el tuyo.

for-dummies.webp


Tipos de Protocolos VPN

Un protocolo VPN es el conjunto de reglas que determina cómo se cifran y transmiten tus datos entre tu dispositivo y el servidor VPN. Los 2 principales protocolos VPN hoy en día son WireGuard y OpenVPN.


OpenVPN

El protocolo original.

OpenVPN es completamente configurable, puedes elegir tu cipher (AES-256-GCM, AES-256-CBC), tu método de intercambio de claves (RSA 2048/4096, ECDH), tu algoritmo de autenticación (SHA-256, SHA-512), y tu capa de transporte (UDP, TCP).

Esto significa que OpenVPN puede configurarse para escenarios muy específicos, lo cual es útil en ciertos entornos empresariales y entornos con infraestructura de censura compleja.

El proceso de intercambio de claves en OpenVPN funciona a través de TLS handshakes (el mismo mecanismo utilizado por HTTPS). Cuando tu cliente se conecta a un servidor, realizan un TLS handshake usando certificados X.509 y/o pre-shared keys para autenticarse mutuamente y establecer una clave de sesión. Esta clave de sesión se usa luego para el cifrado simétrico de tu tráfico real.

Esto significa que puedes configurar OpenVPN para enrutar tráfico sobre TCP en el puerto 443, lo que es muy útil en entornos de red restrictivos porque es esencialmente indistinguible del tráfico HTTPS normal a nivel de conexión. Un inspector de paquetes puede notar la diferencia si analiza el TLS fingerprint y los patrones de tráfico, pero los firewalls básicos que simplemente permiten el tráfico del puerto 443 lo dejarán pasar. Esto hace de OpenVPN una herramienta útil en entornos censurados y con restricciones de seguridad complejas.

La desventaja es que tiene una base de código grande, lo que significa una mayor superficie de ataque y overhead, haciendo las conexiones más lentas que WireGuard.


WireGuard

WireGuard es el estándar actual y la opción preferida para la mayoría de los casos de uso.

En lugar de permitirte configurar tus conexiones VPN con tantas opciones como quieras, te ofrece una preselección de las mejores opciones modernas y eso es todo.

Durante un WireGuard handshake, el iniciador envía un mensaje de inicio de handshake con su clave pública efímera y su clave pública estática (cifrada). El respondedor verifica la identidad del iniciador usando la clave pública preconfigurada, genera su propio par de claves efímeras, realiza 4 cálculos Diffie-Hellman usando combinaciones de claves estáticas y efímeras, y envía de vuelta una respuesta de handshake. Ambos lados ahora derivan claves de sesión simétricas idénticas de estos secretos compartidos.

WireGuard también soporta una pre-shared symmetric key (PSK) opcional que puede configurarse por peer. Esto proporciona una capa adicional de cifrado simétrico sobre la criptografía asimétrica, diseñada específicamente para proteger contra posibles futuros ataques de computación cuántica sobre Curve25519.

El handshake renueva automáticamente las claves cada pocos minutos para mantener perfect forward secrecy. Si un atacante compromete de alguna manera una clave de sesión, solo puede descifrar el tráfico de esa sesión específica, no de sesiones pasadas o futuras.

Además, la base de código de WireGuard es mucho más pequeña que la de OpenVPN, lo que significa menos overhead y menor exposición.

También es importante mencionar que WireGuard fue diseñado originalmente con asignaciones de IP estáticas por peer, lo que significa que el servidor necesita saber qué clave pública corresponde a qué IP de túnel. Algunos proveedores de VPN (por ejemplo, NordVPN con su implementación NordLynx) han construido sistemas sobre WireGuard para solucionar esto, usando double NAT o rotación de claves efímeras para que el servidor no asocie persistentemente tu clave pública con tu actividad. Mullvad y Proton manejan esto de forma transparente en sus implementaciones.

WireGuard solo opera sobre UDP, lo cual es excelente para la velocidad pero puede ser un problema en redes que restringen el tráfico UDP. Tampoco tiene ofuscación de tráfico integrada, lo que significa que la deep packet inspection puede identificarlo como una conexión VPN basándose en la estructura de los paquetes.


¿Cuál Deberías Usar?

Para la mayoría de los usuarios, WireGuard es la mejor opción, es más rápido y tiene una superficie de ataque menor. Tanto Mullvad como Proton VPN lo soportan como predeterminado.

Dado que OpenVPN es mucho más personalizable, funciona muy bien en entornos con firewalls restrictivos, redes que bloquean el tráfico UDP, o entornos de Internet censurados donde necesitas ocultarte dentro del tráfico TCP en el puerto 443.

Proton VPN soporta ambos protocolos mientras que Mullvad optó solo por WireGuard, pero agregó ofuscación Shadowsocks y UDP-over-TCP para compensar los escenarios de evasión de censura donde OpenVPN destaca.


Usar una VPN en Windows vs Linux

Podrías pensar que el sistema operativo subyacente no importa tanto, estás equivocado. No hablaré de MacOS/Apple porque sus productos son una porquería, odio estar encerrado en un ecosistema.


Windows y la Telemetría

Windows recopila una gran cantidad de datos de telemetría por defecto y la mayoría son “Requeridos” por Microsoft (por qué alguien elegiría voluntariamente Windows como su SO principal está más allá de mi comprensión).

Parte de la telemetría requerida en Windows incluye especificaciones del dispositivo, configuración del hardware, versión del SO, información de drivers, reportes de fallos del sistema, y el estado de Windows Update. La “Opcional” añade patrones de uso de aplicaciones, historial de navegación de Edge, patrones de escritura a mano y teclado, y reporte de errores mejorado. Tus patrones de escritura… mmm...

Estos endpoints de telemetría están codificados directamente en el SO y aunque puedes bloquearlos a nivel de firewall o DNS, las actualizaciones de Windows suelen reactivar la configuración de telemetría y agregar nuevos endpoints.

Entonces puedes tener una VPN activa, cifrando todo tu tráfico de Internet, y Windows sigue reportando a Microsoft a través de ese mismo túnel cifrado. Tu ISP no puede ver los datos de telemetría porque van a través de la VPN, pero Microsoft sí puede (porque son el destino). Moviste la vigilancia de tu ISP a Microsoft. Progreso supongo.


Linux y el Control

Linux toma el enfoque opuesto. La mayoría de las distribuciones recopilan cero telemetría por defecto. Ningún servicio en segundo plano reportando a casa. Sin analíticas de uso. Sin integración obligatoria en la nube. El SO no hace conexiones de red que tú no hayas configurado explícitamente (puedes optar por ello, claro).

En un sistema Linux, tienes total transparencia sobre cada conexión de red. Puedes ejecutar ss -tunap o netstat para ver exactamente qué se está comunicando y hacia dónde, y ver qué servicios están corriendo con systemctl. Esto significa que en una máquina Linux con una VPN activa, el único tráfico que sale de tu sistema es el tráfico que tú generaste intencionalmente.

En Linux, WireGuard corre como un módulo del kernel (wireguard.ko), lo que significa que el cifrado y descifrado ocurren en el espacio del kernel con un mínimo de overhead por cambio de contexto. La interfaz virtual (wg0) es una interfaz de red del kernel de primera clase.

También puedes controlar con mayor profundidad cómo la VPN se integra con tu sistema:

  • nftables / iptables para Reglas de Firewall: Puedes construir un kill switch que corte todo el tráfico si el túnel VPN cae, asegurarte de que solo el tráfico VPN salga de tu máquina, o enrutar aplicaciones específicas a través o fuera del túnel VPN. En mi configuración, uso reglas de nftables para correr Mullvad y Tailscale simultáneamente (más detalles aquí).
  • Network Namespaces para Aislamiento de Aplicaciones: Los network namespaces de Linux te permiten crear entornos de red completamente separados por proceso o grupo de procesos (cgroups). Puedes poner una aplicación específica en un namespace que solo tenga acceso a la interfaz VPN, haciendo físicamente imposible que esa aplicación filtre tráfico fuera del túnel.
  • resolvectl / systemd-resolved para Control de DNS: Puedes configurar ajustes DNS por interfaz, asegurando que las consultas DNS siempre vayan a través de los servidores DNS de la VPN y nunca se filtren al resolver de tu ISP. En Fedora y la mayoría de las distribuciones modernas, systemd-resolved maneja esto limpiamente cuando la conexión VPN está configurada correctamente.

Al Final

SÍ importa…

Una VPN en Windows sigue protegiendo tu tráfico de tu ISP, pero si te importa la privacidad, usa una VPN en Linux. En Linux, sabes exactamente qué tráfico está saliendo de tu máquina y hacia dónde va.

windows-vs-linux.webp


Proveedores de VPN Zero-Knowledge

La mayoría de los proveedores de VPN son una basura, suelen ser honeypots que obtienen tus datos y los venden, algunos lanzan el concepto de “VPN sin registros” pero no tienen evidencia ni auditorías que lo respalden.

Lo que quieres es un proveedor de VPN zero-knowledge: uno que esté diseñado técnica y operacionalmente de manera que incluso si sus servidores fueran incautados o fueran obligados por las fuerzas del orden, no tendrían nada útil que entregar.

Un servicio VPN verdaderamente zero-knowledge tiene:

  • Sin registro de actividad del usuario, tráfico, marcas de tiempo de conexión, o metadatos.
  • Sin requisito de información personal durante el registro (sin email, sin nombre).
  • Opciones de pago anónimo (criptomonedas como Monero, efectivo).
  • Auditorías de seguridad independientes regulares que verifican estas afirmaciones.
  • Clientes open-source para que el código pueda ser revisado independientemente.

Hay más VPNs pero solo tengo experiencia con Mullvad y Proton VPN, así que hablaré de ellas a continuación.


Proton VPN

Proton VPN es realmente bueno y tiene un historial sólido.

Proton tiene su sede en Suiza, un país con fuertes leyes de privacidad, sin embargo el país está considerando actualmente nueva legislación de vigilancia (la ordenanza OSCPT) que podría tener un impacto en la privacidad. Lo “bueno” es que Proton ya está trasladando parte de su infraestructura a la UE como precaución, pero toda la UE se está moviendo hacia una postura anti-privacidad, así que podría ser completamente inútil.

Política Sin Registros

Proton VPN mantiene una política sin registros que ha sido verificada de forma independiente. Han superado 4 auditorías anuales consecutivas de terceros, lo cual es algo positivo.

Infraestructura Propia

Proton gestiona su VPN en servidores bare-metal que poseen y controlan completamente. No hay ningún proveedor de nube de terceros ni intermediario que pudiera obtener datos de usuario del hardware físico.

Auditorías de Seguridad

Proton superó una auditoría SOC 2 Type II en 2025, que verifica la correcta implementación de controles de seguridad en toda su infraestructura. Este es un tipo diferente de auditoría a la verificación sin registros; valida su postura de seguridad general y los controles operacionales.

La Parte Interesante

Proton es seguro y todo eso, pero tienen un patrón de entregar datos de usuarios a las autoridades cuando son compelidos por tribunales suizos, y ha llevado a que personas reales sean identificadas y arrestadas.

En 2021, Proton Mail proporcionó la dirección IP de un activista climático francés a las autoridades suizas, quienes la compartieron con la policía francesa. En 2024, entregaron una dirección de email de recuperación que la policía española usó para identificar a un activista de la independencia catalana. Y justo esta semana, 404 Media informó que Proton Mail proporcionó datos de pago que el FBI usó para desenmascarar a un manifestante anónimo de Stop Cop City en Atlanta.

La defensa de Proton siempre es la misma: cumplen con las órdenes judiciales suizas, no pueden descifrar el contenido del email, y solo entregan los metadatos limitados que tienen. También enfatizan que su servicio VPN, a diferencia de Proton Mail, no registra direcciones IP, por lo que el lado VPN no ha sido implicado en estos casos. Esa distinción importa, pero hace que no puedas confiar en ellos al 100% (al menos en mi caso, especialmente después de escuchar las opiniones del CEO sobre ciertos temas).

Algunas conclusiones clave de esto: no pagues Proton con tarjeta de crédito, y usa un email de recuperación falso, haz tu tarea de opsec.

proton-vpn.webp


Mullvad VPN

Esta es otra buena opción para una VPN zero-knowledge con pros y contras.

Mullvad tiene su sede en Suecia, que también tiene fuertes leyes de protección de privacidad (pero de nuevo, como toda la UE, se están moviendo hacia un estado anti-privacidad).

Proceso de Registro

El proceso de registro es increíble y te dice todo lo que necesitas saber sobre su filosofía. Sin email. Sin nombre. Sin nada. Haces clic en “Generar número de cuenta” y obtienes un número de 16 dígitos asignado aleatoriamente. Ese es tu ID. Listo.

Pago Anónimo

Para el pago, puedes usar tarjeta de crédito o PayPal (menos privado), criptomonedas como Bitcoin y Monero (más privado), o literalmente puedes meter efectivo en un sobre con tu número de cuenta y enviarlo por correo a su oficina en Suecia. Abrirán el sobre, añadirán tiempo a tu cuenta, y triturarán el papel. Este nivel de acceso anónimo no tiene igual, me encanta.

Política Sin Registros

Mullvad ha sido auditado de forma independiente múltiples veces por empresas de seguridad y se encontraron cero problemas críticos, altos o de severidad media, solo una única debilidad de validación de entrada de baja severidad que fue corregida rápidamente. Puedes ver la información de auditorías en su sitio web.

Una buena evidencia de esto llegó en 2023, cuando la policía sueca se presentó físicamente en la oficina de Mullvad con una orden de registro, con la intención de incautar computadoras con datos de clientes. El personal de Mullvad demostró cómo funciona su servicio y que no existía ningún dato de cliente. Tras consultar al fiscal, la policía se fue sin llevarse nada.

La Parte Interesante

Algunas personas afirman que Mullvad es un honeypot del gobierno, diseñado para atraer a usuarios conscientes de la privacidad, lo cual podría ser cierto… ¿o no?

Su servicio es muy bueno pero no puedo probar que este no sea el caso. Confío en las auditorías independientes, el open-source, el registro anónimo, y los métodos de pago anónimos como una buena señal en una empresa que prioriza la privacidad. Podría estar equivocado, es solo una cuestión de confianza.

mullvad-vpn.webp


Los Peligros de las VPNs Gratuitas

Las VPNs gratuitas son (generalmente) una pesadilla para la privacidad, peores que no tener VPN si soy honesto.

Gestionar un servicio VPN cuesta dinero. Si una VPN no te cobra, está ganando dinero vendiendo tus datos.

Algunas lecturas recomendadas sobre el tema:


De Qué No Te Protege una VPN

Algunas afirmaciones de marketing de VPN como “anonimato completo” son una mentira, aquí está la verdad:

  • Una VPN No Te Hace Anónimo: Si inicias sesión en Google mientras estás conectado a una VPN, Google sigue sabiendo exactamente quién eres. Escribiste tu nombre de usuario y contraseña. La VPN oculta tu dirección IP del destino, pero no cambia tu sesión de inicio de sesión, tu browser fingerprint, etc. Si usas una VPN para “ocultarte de Google” mientras tienes sesión iniciada en Gmail, tengo malas noticias para ti.
  • Una VPN No Protege Contra el Browser Fingerprinting: Tu navegador revela mucha información identificadora sobre ti: resolución de pantalla, fuentes instaladas, renderer de GPU, zona horaria, configuración de idioma, plugins instalados, renderizado canvas, WebGL, etc. Esta combinación suele ser lo suficientemente única como para identificarte sin necesitar nunca tu dirección IP. Una VPN no cambia nada de esto, seguirás siendo identificado. Más detalles sobre fingerprinting aquí.
  • Una VPN No Garantiza Que Tu Proveedor No Esté Registrando Tus Datos: Al usar una VPN, estás trasladando la confianza de tu ISP a tu proveedor de VPN. Tu proveedor de VPN teóricamente puede ver todo tu tráfico, sin embargo, un buen proveedor de VPN tiene una política sin registros verificada e infraestructura auditada para protegerte. Tu ISP no tiene nada de eso. Así que estás cambiando un espía garantizado por un intermediario que esperas sea de confianza. Elige bien.

Un Resumen Rápido

Consigue una VPN. Úsala. Págala con Monero o una criptomoneda similar que priorice la privacidad.

Elige un proveedor de VPN confiable que haya sido auditado, sea open-source, tenga opciones de pago anónimo, y un buen historial de protección de datos de usuarios frente a las fuerzas del orden. Mullvad y Proton VPN son los dos que recomiendo pero hay más, haz tu propia investigación.

Evita las VPNs gratuitas. No son gratuitas. Estás pagando con tus datos, que son vendidos a quién sabe quién.

Las VPNs no proporcionan anonimato completo. Combínalas con un navegador enfocado en la privacidad (Firefox o sus forks con configuraciones reforzadas por ejemplo - más detalles aquí), un bloqueador de contenido (uBlock Origin), DNS cifrado, etc. No existe la privacidad perfecta pero algo es mejor que nada.

La Parte 2 tendrá información más profunda sobre VPNs y en la Parte 3 investigaré más sobre cómo evitar que el tráfico VPN sea detectado por redes corporativas, gobiernos, y similares.