Red Privada Virtual
Este elemento es una ampliación de los cursos y guías de Lawi. Ofrece hechos, comentarios y análisis sobre este tema. [aioseo_breadcrumbs] En inglés: Virtual private network.
WireGuard VPN
Esta es una herramienta que resulta popular en este ámbito. WireGuard es un nuevo protocolo VPN experimental que tiene como objetivo ofrecer una solución más simple, rápida y segura para túneles VPN que los protocolos VPN existentes. WireGuard tiene algunas diferencias importantes en comparación con OpenVPN e IPSec, como el tamaño del código (menos de 4.000 líneas), la velocidad y los estándares de cifrado.
El desarrollador detrás de WireGuard es Jason Donenfeld, el fundador de Edge Security. (El término “WireGuard” es también una marca registrada de Donenfeld.) En una entrevista que vi, Donenfeld dijo que la idea de WireGuard surgió cuando vivía en el extranjero y necesitaba una VPN para Netflix.
¿Por qué hay tanto ruido alrededor de WireGuard?
Bueno, ofrece algunas ventajas potenciales sobre los protocolos VPN existentes, como veremos más adelante. Incluso ha llamado la atención de Linus Torvalds, el desarrollador detrás de Linux, que tenía esto que decir en la lista de correo del núcleo de Linux:
¿Puedo decir una vez más mi amor por[WireGuard] y esperar que se fusione pronto? Quizás el código no es perfecto, pero lo he hojeado, y comparado con los horrores que son OpenVPN e IPSec, es una obra de arte.
Examinemos primero las ventajas de WireGuard.
Ventajas de WireGuard
Aquí están algunos de los’pros’ que WireGuard ofrece:
1. Encriptación actualizada
Como se explicó en varias entrevistas, Jason Donenfeld quería actualizar lo que consideraba protocolos “anticuados” con OpenVPN e IPSec. WireGuard utiliza los siguientes protocolos y primitivas, tal como se describen en su sitio web:
ChaCha20 para cifrado simétrico, autenticado con Poly1305, utilizando la construcción AEAD de RFC7539.
Curva25519 para ECDH
BLAKE2s para hashing y hashing con chaveta, descrito en RFC7693
SipHash24 para llaves hashtables
HKDF para la derivación de claves, como se describe en RFC5869
Puede obtener más información sobre la criptografía moderna de WireGuard en el sitio web oficial o en el white paper técnico.
2 (examine más sobre todos estos aspectos en la presente plataforma online de ciencias sociales y humanidades). Base de código simple y mínima
WireGuard realmente se destaca en términos de su base de código, que actualmente es de unas 3.800 líneas. Esto contrasta con OpenVPN y OpenSSL, que en conjunto tienen alrededor de 600.000 líneas. IPSec también es voluminoso con alrededor de 400.000 líneas totales con XFRM y StrongSwan juntos.
¿Cuáles son las ventajas de una base de código más pequeña?
Es mucho más fácil de auditar. A OpenVPN le llevaría muchos días auditar a un gran equipo. Una persona puede leer el código de WireGuard en pocas horas.
Más fácil de auditar = más fácil de encontrar vulnerabilidades, lo que ayuda a mantener la seguridad de WireGuard
Superficie de ataque mucho más pequeña en comparación con OpenVPN e IPSec
Mejor rendimiento
Mientras que la base de código más pequeña es de hecho una ventaja, también refleja algunas limitaciones, como discutiremos más adelante.
3. Mejoras en el rendimiento
Las velocidades pueden ser un factor limitante en las VPNs – por muchas razones diferentes. WireGuard está diseñado para ofrecer mejoras significativas en el área de rendimiento:
Una combinación de primitivas criptográficas de extremadamente alta velocidad y el hecho de que WireGuard vive dentro del núcleo de Linux significa que las redes seguras pueden ser de muy alta velocidad. Es adecuado tanto para pequeños dispositivos integrados como para smartphones y routers de red troncal totalmente cargados.
Teóricamente, WireGuard debería ofrecer un mejor rendimiento (véase una definición en el diccionario y más detalles, en la plataforma general, sobre rendimientos) en el sentido de:
Velocidades más rápidas
Mejor duración de la batería con los teléfonos/tabletas
Mejor soporte de roaming (dispositivos móviles)
Más fiabilidad
Mayor rapidez en el establecimiento de conexiones/reconexiones (handshake más rápido)
WireGuard debería ser beneficioso para los usuarios de VPN móvil. Con WireGuard, si su dispositivo móvil cambia las interfaces de red, como cambiar de WiFi a datos móviles/celulares, la conexión permanecerá mientras el cliente VPN continúe enviando datos autenticados al servidor VPN.
4. Facilidad de uso entre plataformas
Aunque aún no está listo para el prime time, WireGuard debería funcionar muy bien en diferentes plataformas. WireGuard soporta Mac OS, Android, iOS, y Linux, con soporte para Windows aún en desarrollo.
Otra característica interesante de WireGuard es que utiliza claves públicas para la identificación y encriptación, mientras que OpenVPN utiliza certificados. Esto crea algunos problemas para la utilización de WireGuard en un cliente VPN, sin embargo, como la generación y gestión de claves.
Desventajas de WireGuard
wireguard vpn serviceMientras que WireGuard ofrece muchas ventajas interesantes, actualmente viene con algunos inconvenientes notables.
1. Todavía en desarrollo “pesado”, no preparado, no auditado
A pesar del hecho de que WireGuard sigue estando bajo “desarrollo pesado” y aún no está listo para su uso general, hay muchas personas que buscan utilizarlo de inmediato como su protocolo VPN principal. Usted puede encontrar muchas promociones de WireGuard en reddit y en varios foros – es decir, persiguiendo la última tendencia de VPN.
Hay que señalar que WireGuard no está completo, no ha pasado una auditoría de seguridad, y los desarrolladores advierten explícitamente sobre la confianza en el código actual:
WireGuard aún no está completo. Usted no debe confiar en este código. No ha sido sometido a los grados adecuados de auditoría de seguridad y el protocolo aún está sujeto a cambios. Estamos trabajando para conseguir una versión 1.0 estable, pero aún no ha llegado ese momento.
No obstante, hay un puñado de VPNs preparándose u ofreciendo soporte para WireGuard en este momento.Entre las Líneas En este punto, sin embargo, usted solo debe usar WireGuard para propósitos de prueba solamente.
2. Inquietudes y registros de privacidad de WireGuard
Mientras que WireGuard puede ofrecer ventajas en términos de rendimiento (véase una definición en el diccionario y más detalles, en la plataforma general, sobre rendimientos) y seguridad, por su diseño no es bueno para la privacidad.
Varios proveedores de VPN han expresado su preocupación acerca de la capacidad de WireGuard para ser utilizado sin registros, y cómo esto puede afectar la privacidad del usuario.
AzireVPN, una de las primeras VPNs en implementar WireGuard, dijo esto el año pasado: “En AzireVPN, nos preocupamos por nuestra política de no-logging, es por eso que todos nuestros servidores se ejecutan en hardware sin disco y todos los archivos de registro son canalizados a /dev/null.Si, Pero: Pero cuando se trata de WireGuard el comportamiento por defecto es tener el endpoint y allowed-ip visible en la interfaz del servidor, lo cual no funciona realmente con nuestra política de privacidad. No debemos saber acerca de su IP de origen y no podemos aceptar tenerla visible en nuestros servidores.”
AzireVPN intentó sortear estos problemas contratando a Jason Donenfeld para que “escribiera un módulo similar a un rootkit que eliminara la capacidad de un administrador de sistema ordinario para consultar información de punto final o de IP permitida acerca de los pares de WireGuard y desactivara la capacidad de ejecutar tcpdump” (ver aquí).
Perfect Privacy argumentó que WireGuard “no se puede usar sin registros” en una entrada interesante en su blog (traducción mejorable):
“WireGuard no tiene una gestión dinámica de direcciones, las direcciones de los clientes son fijas. Esto significa que tendríamos que registrar todos los dispositivos activos de nuestros clientes y asignar las direcciones IP estáticas en cada uno de nuestros servidores VPN.
Otros Elementos
Además, tendríamos que almacenar la última marca de tiempo de inicio de sesión para cada dispositivo con el fin de recuperar las direcciones IP no utilizadas. Nuestros usuarios no podrían entonces conectar sus dispositivos después de unas semanas porque las direcciones habrían sido reasignadas.
Para nosotros es especialmente importante que no creemos ni almacenemos ningún registro de conexión. (Tal vez sea de interés más investigación sobre el concepto).
Una Conclusión
Por lo tanto, no podemos almacenar los datos de registro e ingreso que se requieren actualmente para que WireGuard funcione.”
VPN.ac planteó preocupaciones similares sobre los defectos de WireGuard con respecto a la privacidad del usuario:
“Consideraciones de privacidad: por su diseño, WireGuard no es adecuado para ninguna política de registro/limitada. Específicamente, la última IP pública del usuario se guardaría en el servidor utilizado para conectarse y no se puede eliminar en el plazo (véase más detalles en esta plataforma general) de un día según nuestra política de privacidad actual.Entre las Líneas En una fecha posterior probablemente haremos algunos ajustes al código fuente para desinfectar o eliminar la última IP pública utilizada.”
ExpressVPN es otro servicio VPN que expresó su preocupación por el diseño de WireGuard y sus implicaciones para la privacidad:
“Uno de los retos que enfrenta WireGuard es asegurar el anonimato de las VPNs. A ningún usuario se le debe asignar estáticamente una sola dirección IP, ni en una red pública ni en una red virtual. La dirección IP interna de un usuario puede ser descubierta por un adversario (a través de WebRTC, por ejemplo), que puede ser capaz de compararla con los registros adquiridos de un proveedor de VPN (a través de robo, venta o embargo legal). Una buena VPN debe ser incapaz de hacer coincidir un identificador de este tipo con un único usuario. Actualmente, esta configuración no es fácil de lograr con WireGuard.
ExpressVPN apoyará los esfuerzos para revisar y auditar el código WireGuard, como lo hemos hecho en el pasado con OpenVPN. Aportaremos código e informaremos de los errores siempre que podamos y plantearemos cuestiones de seguridad y privacidad directamente al equipo de desarrollo.”
AirVPN también se ha referido a las implicaciones de WireGuard para el anonimato, como se explicó en su foro:
“Wireguard, en su estado actual, no solo es peligroso porque carece de características básicas y es un software experimental, sino que también debilita peligrosamente la capa de anonimato. Nuestro servicio tiene como objetivo proporcionar alguna capa de anonimato, por lo tanto no podemos tener en cuenta algo que lo debilita tan profundamente.
Estaremos encantados de tener en cuenta Wireguard cuando llegue a una versión estable Y ofrece al menos las opciones más básicas que OpenVPN ha sido capaz de ofrecer desde hace 15 años. La infraestructura puede ser adaptada, nuestra misión no.”
En sus foros, AirVPN explicó además por qué WireGuard simplemente no cumple con sus requisitos:
- Wireguard carece de gestión dinámica de direcciones IP. El cliente necesita que se le asigne por adelantado una dirección IP VPN predefinida vinculada únicamente a su clave en cada servidor VPN. El impacto sobre la capa de anonimato es catastrófico;
- El cliente de Wireguard no verifica la identidad del servidor (una característica tan esencial que seguramente se implementará cuando Wireguard deje de ser un software experimental); el impacto en la seguridad causado por este defecto es muy alto;
- Falta soporte para TCP (se requiere código adicional o de terceros para usar TCP como protocolo de tunelización, como usted sugiere, y eso es una regresión horrible cuando se compara con OpenVPN);
- No hay soporte para conectar Wireguard a un servidor VPN a través de algún proxy con una variedad de métodos de autenticación.
A pesar de estas preocupaciones, muchos servicios VPN ya están desplegando soporte completo para WireGuard. Otras VPNs están observando el proyecto y están interesadas en implementar WireGuard después de que haya sido completamente auditado y mejorado.
Mientras tanto, sin embargo, como declaró AirVPN en su foro: “No usaremos a nuestros clientes como probadores.”
3. Nuevo y sin probar
Claro que OpenVPN tiene sus problemas, pero también tiene un largo historial y es un protocolo VPN probado con una extensa auditoría. Mientras que Donenfeld puede referirse a OpenVPN como “anticuado” en varias entrevistas, otros pueden verlo como probado y confiable – cualidades de las que actualmente carece WireGuard.
Inicialmente lanzado en 2001, OpenVPN tiene una historia muy larga. OpenVPN también se beneficia de una amplia base de usuarios y de un desarrollo activo con actualizaciones regulares.Entre las Líneas En mayo de 2017 se sometió a una importante auditoría por parte de la OSTIF, el Fondo para el Mejoramiento de la Tecnología de Código Abierto.
En este punto, WireGuard parece ser más bien un proyecto de nicho, pero con potencial para la industria. Es muy nuevo y aún no ha salido de la fase de “desarrollo pesado”, aunque ha sido objeto de una verificación formal.
Puntualización
Sin embargo, incluso después de que WireGuard haya sido lanzado oficialmente, los usuarios deberían proceder con cautela.
4. Adopción limitada (por ahora)
Como ya hemos mencionado anteriormente, existen algunos grandes obstáculos en el camino de la adopción de WireGuard en toda la industria:
- La cuestión de la gestión y distribución de claves (en lugar de utilizar certificados).
- WireGuard necesita su propia infraestructura, separada de los servidores OpenVPN existentes.
- Compatibilidad con las operaciones existentes. Para los proveedores que han construido sus servicios y características alrededor de OpenVPN, WireGuard puede no estar en las tarjetas en un futuro cercano.
Perfect Privacy también explicó que WireGuard no es compatible con sus características existentes en el lado del servidor, tales como cascadas VPN multi-hop, TrackStop y NeuroRouting.
Aviso
No obstante, Perfect Privacy confirmaron que podrían apoyar a WireGuard como una opción independiente en una fecha posterior.
Del mismo modo, AirVPN también declaró que WireGuard es “totalmente inutilizable” con su infraestructura:
Actualmente es totalmente inutilizable en nuestra infraestructura porque carece de soporte TCP, carece de asignación dinámica de IP VPN, y (al menos la construcción que hemos visto) carece de una característica de seguridad estrictamente necesaria (verificación del certificado de CA proporcionado por el servidor, por lo que el cliente no puede estar seguro de que por otro lado alguna entidad hostil no se está haciendo pasar por un servidor VPN).
Conclusión: no se recomienda
Considerando el estado actual de WireGuard, las implicaciones de privacidad y el hecho de que no ha sido auditado, WireGuard no se recomienda su uso regular.
Además, las preocupaciones de privacidad que son inherentes a WireGuard (¡por diseño!) son un gran inconveniente.
Es poco probable que esto mejore y obliga a los servicios VPN a crear algún tipo de solución única y lista para usar que funcione con sus políticas de no-logs, como vimos anteriormente con AzireVPN. Esta desventaja no afecta a OpenVPN.
No obstante, WireGuard puede ser ideal para algunos usuarios, dependiendo de su modelo de amenaza y necesidades específicas.Entre las Líneas En la actualidad, sin embargo, sería prudente permanecer con OpenVPN o quizás IPSec para su uso regular.
¿Qué servicios VPN soportan WireGuard?
Aquí están las VPNs que actualmente soportan WireGuard o que han confirmado que están probando WireGuard con la intención de soportar el protocolo cuando esté listo:
- AzireVPN
- VPN.ac
- TorGuard
- Mullvad
- IVPN
- NordVPN (aún en prueba)
- Acceso privado a Internet (aún en prueba)
Ahora echaremos un vistazo más de cerca a cada uno de estos servicios VPN de WireGuard a continuación.
1. AzireVPN – Servidores WireGuard en vivo
AzireVPN es un servicio VPN con sede en Suecia que se centra en la privacidad y la seguridad. Fue uno de los primeros en adoptar WireGuard y tiene una sección de WireGuard en su sitio web:
Hemos desarrollado una API para la distribución de claves y estamos estudiando la posibilidad de añadir WireGuard a nuestro cliente. Por el momento, este protocolo se puede utilizar en Windows, Linux, macOS, Android y routers con OpenWRT, pero el soporte para Windows está a la vuelta de la esquina. Simplemente regístrese para conectarse a todos nuestros servidores WireGuard, disponibles en cada una de nuestras ubicaciones.
Nota: AzireVPN actualmente soporta usuarios de Windows a través del cliente VPN TunSafe de terceros.
Puntualización
Sin embargo, no hay soporte oficial de WireGuard para Windows en este momento y el desarrollador recomienda no usar clientes de terceros:
Un cliente de Windows está a la vuelta de la esquina. Mientras tanto, se le recomienda encarecidamente que se mantenga alejado de los clientes de Windows que no se publican en este sitio, ya que pueden ser peligrosos de usar, a pesar de los esfuerzos de marketing.
2. VPN.ac – Servidores WireGuard en vivo
VPN.ac es un servicio VPN rumano que he estado usando y probando durante varios años (ver la revisión de VPN.ac).
Basado en la experiencia de varios autores, mis opiniones, perspectivas y recomendaciones se expresarán a continuación (o en otros lugares de esta plataforma, respecto a las características en 2026 o antes, y el futuro de esta cuestión):
VPN.ac anunció en su blog que después de haber probado WireGuard internamente, han decidido apoyar el protocolo. Como explicaron en su sitio web (blog):
Inicialmente estará disponible en beta. La implementación es un poco desafiante, debido al diseño de WireGuard que no lo hace encajar en nuestra infraestructura desde el primer momento.
Queremos que la implementación sea tan buena y sencilla como sea posible desde cero, y totalmente automatizada. Esto requiere bastante trabajo en el lado del back-end: APIs, llaves de sincronización de servidores, etc. No es tan fácil como encender otro servidor, pero definitivamente es posible.
VPN.ac ha establecido tres etapas para la integración completa de WireGuard en su servicio:
- Etapa 1: diseño e implementación de las APIs de back-end
- Etapa 2: disponibilidad del front-end del generador de configuración para la configuración manual / software cliente de terceros
- Etapa 3: implementación en nuestras aplicaciones cliente VPN
Si desea probar WireGuard con VPN.ac, ofrecen cuentas de prueba con descuento (ver página de Preguntas Frecuentes), que le ofrece una suscripción de prueba completa de una semana por $2.
https://vpn.ac
3. TorGuard – Servidores WireGuard en vivo
TorGuard es un servicio VPN de EE.UU. que he descubierto que ofrece un buen rendimiento (véase una definición en el diccionario y más detalles, en la plataforma general, sobre rendimientos) y muchas funciones, incluidos los servicios de correo electrónico, las direcciones IP dedicadas y los paquetes de streaming.
El sitio web de TorGuard tiene varias guías para configurar TorGuard en diferentes dispositivos.
4. Mullvad – Servidores WireGuard en vivo
Al igual que AzireVPN, Mullvad también tiene su sede en Suecia y fue una de las primeras VPN en implementar WireGuard.
Mullvad actualmente soporta WireGuard en Linux, Mac OS, Android y algunos routers. También tienen una gran red de servidores activos WireGuard (49 en total) además de 281 servidores OpenVPN.
5. IVPN – Servidores WireGuard en vivo
IVPN es un servicio VPN basado en Gibraltar que también soporta WireGuard. Parece que IVPN es el primer proveedor en incorporar WireGuard en sus propios clientes VPN, tal y como explican en su página web, lo que es interesante ya que el código aún está en desarrollo. Como explica IVPN en su página web:
WireGuard está disponible en nuestros clientes MacOS, iOS y Android. También puede conectarse usando la mayoría de las distribuciones de Linux. WireGuard no está soportado en Windows en este momento.
IVPN cuenta actualmente con 10 servidores WireGuard.
Otros proveedores de VPN WireGuard
También hay algunos servicios VPN diferentes que han declarado públicamente sus intenciones de añadir WireGuard, pero que aún no están listos para su implementación.
NordVPN
NordVPN no soporta actualmente WireGuard, pero lo están probando activamente y preparándose para su lanzamiento cuando esté listo.
Acceso privado a Internet
Private Internet Access es un gran partidario de WireGuard y también ha donado a la causa.
Puntualización
Sin embargo, no está listo para apretar el gatillo y ofrecer WireGuard a sus usuarios debido al estado actual y la falta de una auditoría, como explicaron en reddit:
📬Si este tipo de historias es justo lo que buscas, y quieres recibir actualizaciones y mucho contenido que no creemos encuentres en otro lugar, suscríbete a este substack. Es gratis, y puedes cancelar tu suscripción cuando quieras: Qué piensas de este contenido? Estamos muy interesados en conocer tu opinión sobre este texto, para mejorar nuestras publicaciones. Por favor, comparte tus sugerencias en los comentarios. Revisaremos cada uno, y los tendremos en cuenta para ofrecer una mejor experiencia.WireGuard es genial, pero está en desarrollo activo. Esto significa que hay errores de seguridad esperando ser encontrados, y podría haber serias consecuencias para los proveedores de VPN que son los primeros en adoptarlos. Una violación de la seguridad o de la privacidad es un riesgo que no podemos asumir como organización.
El futuro de WireGuard VPN
Entonces, ¿qué le depara el futuro a WireGuard VPN?
Una vez que WireGuard es completamente liberado, es auditado, y es autorizado para su uso regular, es probable que continúe ganando popularidad – asumiendo que es bien recibido por la base de usuarios de VPN. Con el aumento de la popularidad y la demanda, puede estar seguro de que más servicios VPN incorporarán WireGuard en su infraestructura, incluso si eso viene con algunos problemas de crecimiento. Aunque muchos de los principales servicios VPN no soportan actualmente WireGuard, eso puede cambiar con el tiempo.
Debido al interés de los usuarios, ya estamos viendo a los primeros usuarios y a varios proveedores de VPN utilizando su implementación de WireGuard como herramienta de marketing, con notas de prensa acompañantes (**cough** solo para probar **cough**). Es probable que esta tendencia continúe.
WireGuard puede convertirse en un protocolo popular para los usuarios móviles, donde de hecho ofrece algunas ventajas.
Si desea probar este nuevo protocolo VPN, puede probarlo con uno de los servicios VPN de WireGuard mencionados anteriormente. Asegúrese de considerar las implicaciones de privacidad y seguridad dado el estado actual del proyecto.
Puntualización
Sin embargo, hasta que WireGuard esté completamente liberado y auditado, lo mejor sería seguir con OpenVPN o IPSec para uso regular.
Revisor: Lawrence
Recursos
[rtbs name=”informes-jurídicos-y-sectoriales”][rtbs name=”quieres-escribir-tu-libro”]Véase También
Anonimizador
Comparación de los servicios de red privada virtual
Red Privada Virtual Multipunto Dinámica
Privacidad en Internet
VPN mediada
Encriptación oportunista
Tunelización de túneles divididos
Servidor privado virtual
Seguridad de redes informáticas
Software de seguridad gratuito
Protocolos de tunelización
Software para redes Linux
Redes privadas virtuales
Arquitectura de red
Seguridad de red de ordenadores
Protección de Internet
Criptografía
Anarquismo
Privacidad
▷ Esperamos que haya sido de utilidad. Si conoces a alguien que pueda estar interesado en este tema, por favor comparte con él/ella este contenido. Es la mejor forma de ayudar al Proyecto Lawi.