Cada vez que te conectas a una WiFi pública del aeropuerto o quieres acceder a contenido bloqueado por región, probablemente has oído que necesitas una VPN. Una VPN (Virtual Private Network) crea un “túnel” cifrado entre tu dispositivo y un servidor remoto, de modo que todo tu tráfico de internet pasa por ese túnel: tu ISP (o el dueño de la WiFi) no puede ver qué webs visitas, y tu dirección IP real queda oculta. Pero no es magia: hay protocolos específicos (OpenVPN, WireGuard, IPsec), encapsulación de paquetes, y diferencias importantes con un simple proxy. Te explico cómo funciona paso a paso, los usos legítimos y las limitaciones (una VPN no te hace completamente anónimo).
¿Qué es una VPN? Túnel cifrado, encapsulación y direccionamiento virtual
Una VPN (Virtual Private Network) extiende una red privada sobre una red pública (internet), permitiendo que el dispositivo cliente se comporte como si estuviera conectado directamente a esa red privada. Para ello, se crea un túnel cifrado entre el cliente y el servidor VPN. Todo el tráfico de red (TCP, UDP, incluso ICMP) se encapsula dentro de paquetes encriptados que viajan sobre internet.
Componentes esenciales:
- Cliente VPN (software en tu ordenador o móvil).
- Servidor VPN (en un centro de datos o en una empresa).
- Túnel: el canal lógico por el que circulan los paquetes cifrados.
- Protocolo de túneles (IPsec, OpenVPN, WireGuard).
Una vez conectado, tu dispositivo obtiene una IP virtual (normalmente de la red privada del servidor), y todo el tráfico saliente se reenvía a través del túnel. El servidor VPN luego contacta con los destinos en tu nombre. Para el mundo exterior, la dirección IP que se ve es la del servidor VPN, no tu IP real.
Esto tiene dos efectos clave:
- Privacidad: ni tu ISP ni el administrador de la red local pueden ver el contenido de tus comunicaciones (solo ven tráfico cifrado hacia la IP del servidor VPN).
- Cambio de ubicación geográfica: si el servidor VPN está en otro país, los sitios web verán esa dirección, permitiendo evitar bloqueos geográficos y censuras.
Encapsulación: cómo se mete un paquete dentro de otro
Supongamos que quieres enviar una petición a google.com. Tu equipo crea un paquete IP con origen tu IP real y destino 8.8.8.8. La VPN toma ese paquete, lo cifra y lo mete dentro de un nuevo paquete IP cuyo origen es tu IP real y destino la IP del servidor VPN. Cuando llega al servidor, se descifra, se extrae el paquete original y se reenvía a 8.8.8.8 con la IP de origen del servidor (realizando NAT). La respuesta sigue el camino inverso.
Funcionamiento paso a paso: desde tu dispositivo hasta el servidor VPN
Todo este proceso añade una latencia adicional (por los saltos extra y el cifrado). Los protocolos modernos minimizan este overhead.
Protocolos VPN: OpenVPN, WireGuard, IPsec, IKEv2, L2TP (seguridad y velocidad)
Existen varios protocolos, con diferentes compensaciones de seguridad, velocidad y facilidad de configuración:
| Protocolo | Cifrado típico | Velocidad | Seguridad | Usado en |
|---|---|---|---|---|
| WireGuard | ChaCha20, Poly1305 | Muy alta | Muy alta (código pequeño, criptografía moderna) | NordLynx, WireGuard nativo, muchos VPN modernos |
| OpenVPN | AES-256, RSA | Media (TCP más lento, UDP mejor) | Muy alta (auditado) | ExpressVPN, PIA, ProtonVPN, empresas |
| IKEv2/IPsec | AES-256 | Alta (bueno para móviles, reconexión rápida) | Alta | iOS, Windows, BlackBerry, dispositivos corporativos |
| L2TP/IPsec | AES (doble encapsulación) | Lenta (doble overhead) | Media (IPsec se considera seguro, pero L2TP añade complejidad) | Obsolescente, muchos proveedores lo retiran |
| PPTP | MPPE (128-bit) | Rápida | Inseguro (roto) | No usar nunca |
WireGuard se ha convertido en el estándar de facto para VPNs modernas por su simplicidad (4.000 líneas de código vs 100.000+ de OpenVPN), excelente rendimiento y criptografía robusta. La mayoría de los proveedores comerciales (NordVPN, ExpressVPN, Mullvad) han implementado WireGuard bajo diferentes nombres (NordLynx, Lightway).
OpenVPN sigue siendo popular, especialmente para configuraciones corporativas, pero es más pesado y lento.
TCP vs UDP en VPN
Los protocolos VPN pueden funcionar sobre UDP (recomendado) o TCP. UDP tiene menos overhead y mejor rendimiento para tráfico real; pero si tu red bloquea UDP, puedes usar TCP (típicamente puerto 443 para emular HTTPS). WireGuard solo funciona sobre UDP, lo que a veces causa problemas en redes restrictivas.
Tipos de VPN según uso: acceso remoto (cliente a sitio), site-to-site, VPN comercial (NordVPN, Surfshark)
Clasificación práctica:
- VPN de acceso remoto: un usuario individual se conecta a una red corporativa o a un servicio VPN comercial. Es el tipo que usaría cualquier persona para proteger su privacidad o acceder a servicios geolocalizados.
- VPN site-to-site (red a red): conecta dos oficinas o centros de datos completos (por ejemplo, sucursal de Madrid con sede en Barcelona), permitiendo que los equipos de una red accedan a recursos de la otra como si estuvieran en la misma LAN. Se implementa en routers o firewalls.
- VPN comercial (consumer VPN): Proveedores como NordVPN, ExpressVPN, Surfshark, ProtonVPN, Mullvad, etc., ofrecen servidores en muchos países. Su negocio es ocultar tu IP y cifrar tu tráfico. Suelen tener apps para todos los sistemas operativos.
Además, dentro de las VPN comerciales existen modalidades:
- Split tunneling: para que solo cierto tráfico (por ejemplo, solo el navegador) pase por la VPN, y el resto (juegos, videollamadas) vaya directamente, reduciendo latencia.
- VPN multi-hop (doble VPN): el tráfico pasa por dos servidores VPN en secuencia, para mayor anonimato (más lento).
- Obfuscated servers: para evadir censura (países como China o Irán), el tráfico VPN se enmascara como tráfico HTTPS normal (OpenVPN sobre TCP 443).
VPN vs proxy: diferencias en alcance (todo el tráfico vs solo navegador) y cifrado
Un proxy (HTTP o SOCKS5) redirige las solicitudes de una aplicación específica (típicamente el navegador o cliente de descargas) a un servidor intermediario, ocultando tu IP real a los servidores de destino. Diferencias:
Proxy
- Solo funciona para ciertos protocolos (HTTP, HTTPS, SOCKS).
- Solo reenvía tráfico de aplicación configurada; otras aplicaciones (juego, Spotify, correo…) siguen usando tu IP real.
- Generalmente no cifra el tráfico (excepto si usas un proxy HTTPS, pero solo cifra la conexión entre cliente y proxy; no es un túnel completo).
- No proporciona cifrado de todo el sistema; no protege el tráfico DNS por defecto.
- Útil para cambio de IP en navegador, pero poco seguro.
VPN
- Redirige y cifra todo el tráfico de internet del dispositivo (a nivel de sistema operativo).
- Aplica a todas las aplicaciones (navegador, clientes de email, actualizaciones, DNS).
- El túnel cifrado protege contra escuchas en la red local.
- Cambia la IP pública para todas las comunicaciones.
- Más seguro pero también más pesado (procesa más tráfico).
En resumen: para seguridad en WiFi pública, usa VPN. Para solo cambiar la IP de tu navegador en un sitio concreto, un proxy puede ser más ligero, pero no protege tu privacidad global.
Privacidad y anonimato: lo que una VPN puede y no puede ocultar (no eres anónimo)
Una VPN mejora tu privacidad, pero NO te hace completamente anónimo. Puede ocultar a tu ISP y al administrador de la red local:
- Las webs que visitas (el ISP solo ve tráfico cifrado hacia el servidor VPN).
- Tu dirección IP real (los sitios web ven la IP del servidor VPN).
Sin embargo, el proveedor de VPN sí puede ver tus actividades (a menos que tenga una política estricta de no registros “no-logs”) y tu IP real cuando te conectas. Además, otros mecanismos pueden seguir identificándote:
- Cookies, huellas digitales del navegador (fingerprinting): la VPN no evita que un sitio web te reconozca por la configuración de tu navegador (resolución, plugins, hora del sistema).
- Cuentas de usuario: si inicias sesión en Google o Facebook, esos servicios te identifican independientemente de tu IP.
- Fugas de DNS o WebRTC: pueden revelar tu IP real si el cliente VPN está mal configurado (los proveedores serios bloquean WebRTC y usan sus propios servidores DNS).
Por tanto, la VPN es una herramienta de privacidad pero no de anonimato completo. Para anonimato real, combinación: Tor Browser + VPN (controvertido) o Tor + medidas adicionales.
Política de no registros (no-logs) y jurisdicción
Un proveedor VPN debe declarar explícitamente que no guarda registros de tus actividades (conexiones, destinos, horas). Pero hay que confiar en esa declaración; algunos proveedores han sido auditados independientemente (ProtonVPN, Mullvad, ExpressVPN en 2022). La jurisdicción es importante: proveedores con sede en países de los 14 Ojos (EEUU, Reino Unido, Australia, etc.) están obligados por ley a registrar tráfico si se les requiere. Por eso muchos eligen Panamá, Suiza, Islas Vírgenes Británicas (jurisdicciones sin obligación de retención de datos).
Cómo elegir un proveedor VPN: política de no registros (no-logs), fugas DNS, jurisdicción
Si decides usar una VPN comercial, considera estos criterios:
- No-logs verificado: que hayan pasado auditorías independientes (por ej. Deloitte, PwC, Cure53).
- Protocolos modernos: WireGuard o al menos OpenVPN. Evita PPTP y L2TP.
- Kill switch: corta automáticamente la conexión a internet si se cae el túnel VPN, evitando fugas de tráfico no cifrado.
- Protección contra fugas DNS y WebRTC. Prueba con ipleak.net mientras usas la VPN.
- Jurisdicción fuera de 14 Ojos: Si te preocupa la privacidad, elige Panamá, Suiza, Islas Vírgenes Británicas, Seychelles, etc.
- Política de pago flexible: opciones de pago anónimo (criptomonedas, tarjetas prepago).
- Rendimiento: mirar opiniones de velocidad en servidores cercanos a tu región.
- Soporte de P2P/bittorrent: si vas a descargar archivos, comprueba que permiten y tienen servidores optimizados.
Servicios populares en 2025: Mullvad (alta privacidad, anonimato), ProtonVPN (basado en Suiza, oferta gratuita limitada), NordVPN (más características, buena velocidad), ExpressVPN (velocidad, pero caro), Surfshark (ilimitado de dispositivos).