¿Cómo funciona una VPN?

Una red privada virtual (VPN) cifra tu conexión a Internet y redirige tus datos a través de un servidor VPN remoto. De este modo, las VPN garantizan la privacidad de tus actividades online, modifican tu dirección IP y ubicación y te protegen de las amenazas de las redes Wi-FI públicas.

Pero, ¿cómo funcionan exactamente las VPN? Entender mejor lo que ocurre al conectarte a un servidor VPN te permitirá sacar el máximo partido de este sencillo, pero eficaz, software.

Este proceso permite a una VPN ocultar tu dirección IP y ubicación a los sitios web que visitas y esconder tu actividad en línea a tu proveedor de servicios de Internet, el administrador de la red Wi-Fi o cualquier otra persona que quiera rastrear tu conexión.

Esto es todo lo que necesitas saber para empezar a disfrutar de las ventajas de una VPN. Ahora bien, si te interesa conocer más a fondo cómo funciona este software y aprovechar al máximo su potencial, sigue leyendo.

El siguiente diagrama ilustra cómo gestiona tu tráfico web una VPN convencional:

A continuación puedes ver las fases individuales de este proceso en orden. Ten en cuenta que los pasos 1-3 conforman el “handshake de la VPN“, mientras que los pasos 8-10 se mantienen activos a lo largo de la sesión de la VPN.

Estos pasos nos dan una idea general sobre el funcionamiento de una VPN. Sin embargo, su implementación varía en fúnción del protocolo VPN que se use y de cómo haya configurado la red el proveedor.

Usa los enlaces o sigue leyendo para saber más sobre cada fase de la conexión VPN.

Contacto inicial entre el cliente y el servidor VPN

La fase de contacto inicial funciona de la siguiente manera:

Una vez que se han completado estos pasos, puede llevarse a cabo el handshake para establecer completamente el cifrado. A continuación, te explicamos cómo los principales protocolos VPN manejan los intercambios iniciales.

• OpenVPN, SSL/TLS, SSTP:
  • El cliente envía el paquete Client Hello.
  • El sevidor responde con el paquete Server Hello.
• WireGuard:
  • El cliente y el servidor intercambian mensajes de inicio y respuesta para el handshake.
  • Los mensajes contienen claves públicas temporales y parámetros criptográficos.
• L2TP/IPSec and IKEv2:
  • El cliente y el servidor intercambian los paquetes de inicio de IKE (Internet Key Exchange) IKE_SA_INIT.

Muchas VPN líderes también ofrecen sus propios protocolos patentados, a menudo basados en versiones modificadas de WireGuard o OpenVPN, con procesos de inicio similares a los de los protocolos base.

Este es un ejemplo de paquete de contacto inicial de OpenVPN:

^{Volver al esquema de fases de una conexión VPN ↩}

Autenticación cliente-servidor de una VPN

La fase de autenticación garantiza que los clientes solo se conecten a servidores VPN genuinos. Los métodos de autenticación varían en términos de complejidad y seguridad, y a menudo se combinan varias técnicas para reforzar la conexión.

Aunque los protocolos VPN como OpenVPN e IPSec son altamente configurables, la mayoría de los procesos de autenticación incluyen una combinación de certificados, claves precompartidas (PSK) y la verificación de nombre de usuario y contraseña.

Protocolo VPN	Principales métodos de autenticación	Características clave
OpenVPN	Autenticación basada en certificado, usuario y contraseña	Usa HMAC para la autenticación de paquetes y crea un canal de control TLS separado para la autenticación continua de la sesión.
WireGuard	Criptografía asimétrica	No sigue un proceso de handshake tradicional, la autenticación se lleva a cabo con el primer paquete enviado, utiliza claves públicas y privadas precompartidas para cada extremo.
IKEv2	Claves precompartidas (PSK), certificados digitales X.509, autenticación de usuario a través de EAP (Protocolo de Autenticación Extensible)	Utiliza la autentiación secuencial para mayor seguridad y emplea paquetes IKE_AUTH para proteger la privacidad.
L2TP/IPSec	Autenticación en dos fases: L2TP valida los extremos de la VPN e IPSec realiza la autenticación del usuario.	L2TP utiliza métodos PPP (protocolo Point-to-point) como PAP, CHAP, MS-CHAP, mientras que IPSec establece un túnel cifrado antes de la autenticación  L2TP, lo que garantiza una seguridad integral.

^{Volver al esquema de fases de una conexión VPN ↩}

Intercambio de claves VPN

El intercambio de claves es el proceso criptográfico mediante el cual dos partes acuerdan una clave secreta compartida de manera segura a través de un canal de comunicación no seguro, sin transmitir la clave propiamente dicha.

Esta clave secreta compartida permite el cifrado simétrico de las siguientes comunicaciones, creando así el túnel VPN seguro entre el cliente y el servidor.

Para una explicación más detallada sobre cómo funcionan los diferentes métodos de intercambio de claves, consulta la sección de handshakes VPN.

A continuación, detallaremos cómo los protocolos VPN más populares llevan a cabo el intercambio de claves:

Como puedes ver, los métodos de intercambio de claves varían considerablemente de un protocolo a otro en términos de complejidad, rendimiento y, sobre todo, seguridad.

Este nivel de flexibilidad permite configurar las VPN para distintos usos. Sin embargo, incrementar su complejidad puede llevar a desarrolladores menos experimentados a cometer errores en la configuración, generando así vulnerabilidades de seguridad.

Lee nuestra investigacón sobre errores de seguridad de las VPN gratuitas para Android para ver más ejemplos de esto.

^{Volver al esquema de fases de una conexión VPN ↩}

Creación del túnel VPN

Una vez que el handshake de la VPN se ha completado, se crea un túnel seguro entre el cliente y el servidor.

Para una explicación más detallada sobre los túneles VPN, visita la sección sobre túneles VPN. Aquí nos centraremos en el proceso general de creación de túneles y cómo lo gestionan los diferentes protocolos.

Así es como los principales protocolos VPN llevan a cabo la creación de túneles VPN:

• OpenVPN:
  • Utiliza la interfaz de red virtual tun/tap, que se puede configurar tanto para modos IP como Ethernet (capa 2).
  • Intercambia direcciones IP, rutas y otros ajustes de red.
  • Activata el túnel VPN y redirige el tráfico a través de la interfaz virtual.
  • Habilit características adicionales, como la compresión o fragmentación, si se han configurado previamente.
• WireGuard:
  • Utiliza una configuración de túnel minimalista centrada en el rendimiento, con menos sobrecarga que otros protocolos.
  • Crea una interfaz de red virtual simple, habitualmente denominada wg0.
  • Puede enviar paquetes keepalive persistentes para mantener la conexión.
• L2TP/IPSec:
  • La capa IPSec crea el túnel para los paquetes L2TP.
  • Establece la conexión de control L2TP dentro del túnel IPSec.
  • Crea la sesión L2TP para la transferencia de datos
  • Activa el túnel VPN y redirige el tráfico a través del túnel L2TP protegido por IPSec.
• IKEv2:
  • Establece el túnel IPSec.
  • Puede enrutar diferentes flujos de tráfico a través de SA secundarios adicionales de IPSec.

^{Volver al esquema de fases de una conexión VPN ↩}

Asignación de IP

La asignación de una nueva dirección IP de VPN es una etapa crucial en el proceso de conexión a la VPN. Para obtener más detalles sobre el enmascaramiento de IP, consulta la sección dedicada a cómo oculta una VPN tu dirección IP.

Cada protocolo VPN asigna las IP de manera diferente. A continuación, encontrarás un desglose de cómo los principales protocolos llevan a cabo este proceso:

Como parte de este proceso, se actualiza la tabla de enrutamiento de tu dispositivo para permitir que el tráfico entre tu dispositivo y el servidor VPN utilice tu conexión a internet normal. Además, se añaden nuevas reglas para que el resto del tráfico de internet pase por el túnel hacia su destino a través del servidor VPN.

Si la función de túnel dividido está disponible y se ha activado en el cliente, se añadirán reglas adicionales a la tabla de enrutamiento del dispositivo para que el tráfico de las aplicaciones que especifiques pase por fuera del túnel y utilice tu conexión habitual a internet.

^{Volver al esquema de fases de una conexión VPN ↩}

Resolución DNS

Para garantizar la privacidad total de tu actividad online, las VPN suelen redirigir tus consultas DNS a través del túnel cifrado junto con el resto de tu tráfico. Lo ideal es que el proveedor utilice sus propios servidores DNS en lugar de los de tu ISP u otra entidad externa.

Cuando esto no ocurre, se conoce como fuga de DNS, que pone en riesgo tu privacidad.

A continuación te mostramos cómo los principales protocolos VPN protegen la resolución DNS:

Como puedes ver, la elección del protocolo VPN influye significativamente en el manejo de DNS, afectando tanto la seguridad como la funcionalidad.

Aunque los protocolos VPN modernos ofrecen medidas robustas para proteger tu DNS, es habitual encontrar que están mal configurados, especialmente cuando se gestionan por administradores poco experimentados.

Sin embargo, aún es más común que los proveedores de VPN, sobre todo los servicios gratuitos, no inviertan en el desarrollo de su propia red de servidores DNS. Esto significa que, aunque las consultas DNS pasen por el túnel, estas pueden ser registradas por los propietarios de los servidores DNS externos.

Según nuestra última investigación, alrededor del 80 % de las VPN gratuitas para Android filtran las solicitudes de DNS de alguna manera.

^{Volver al esquema de fases de una conexión VPN ↩}

Transmisión de datos, cifrado y descifrado

Una vez que la conexión segura de la VPN está totalmente establecida, el cliente cifra tus datos y los envía al servidor VPN a través del túnel. El servidor descifra estos datos y los reenvía a su destino final, es decir, al sitio web o aplicación que estás utilizando.

A continuación, el servidor VPN recibe las respuestas de los servidores de destino, las cifra de forma similar y las envía de vuelta por el túnel para que el cliente las desencripte.

El algoritmo usado para el cifrado, junto con la estructura y el tratamiento de los paquetes, viene determinado por el protocolo VPN en uso. Para más información sobre el cifrado VPN, visita la sección sobre cómo funciona el cifrado de las VPN.

La siguiente tabla compara cómo los protocolos VPN más populares gestionan la transmisión de datos y el cifrado/descifrado. Haz clic en el botón para expandirla y desplázate hacia abajo para ver cómo cada protocolo maneja los diferentes aspectos del proceso.

Sin una VPN, tu dispositivo se conecta directamente al servidor del sitio web, que necesita tu dirección IP para enviarte el contenido solicitado.

Tu dirección IP funciona como un pasaporte digital. Es un identificador único que indica a otros ordenadores dónde enviar la información para que llegue hasta ti.

Tu dirección IP revela información personal tuya, como tu ubicación y actividad online, de ahí que muchas personas decidan ocultar su dirección IP con una VPN.

Con una VPN, tu conexión se canaliza a través de un servidor VPN remoto antes de llegar a los sitios web.

Gracias a ello, tu dirección IP real queda oculta, ya que los sitios web solo interactúan con la dirección IP del servidor VPN. Del mismo modo, los sitios web envían información al servidor VPN, que se encarga de remitirla a tu dispositivo.

Así pues, enmascarar tu dirección IP ofrece múltiples ventajas, entre las que se incluyen:

• Evitar que los sitios web y anunciantes rastreen tus actividades en internet.
• Desbloquear contenido georrestringido de otros países.
• Complicar el trabajo a los actores maliciosos que intenten atacar tu dispositivo o red.

Un túnel VPN es, en esencia, un canal seguro que se establece entre tu dispositivo y el servidor VPN, proporcionando una ruta privada en el Internet público.

A este tipo de conexión se le denomina túnel porque tu tráfico original se cifra y se envuelve en una capa de tráfico no cifrado.

Sería algo así como colocar un sobre cerrado dentro de otro sobre con una dirección diferente, ocultando tu mensaje original y haciéndolo ilegible para cualquier persona que pueda interceptarlo.

Este proceso, conocido como encapsulación, se lleva a cabo por protocolos de tunelización especializados.

Algoritmos de cifrado VPN

El cifrado transforma la información original, conocida como texto plano, en un código secreto que es ininteligible para cualquier persona que no disponga de la clave necesaria para descifrarlo.

Las VPN usan el cifrado para ocultar tu actividad de navegación entre tu dispositivo y servidor VPN, lo que te brinda protección contra diversas formas de vigilancia y rastreo.

Las VPN usan algoritmos de cifrado o cifras para convertir tu actividad online en un código ilegible. Una cifra es un algoritmo matemático (es decir, un conjunto de reglas) que encripta y desencripta datos, a menudo asociado con una longitud de clave específica.

Por lo general, cuanto más larga es la longitud de la clave, más seguro es el cifrado. Por ejemplo, AES-256 se considera más seguro que AES-128.

Algunos protocolos VPN utilizan claves estáticas, diseñadas para usarse a largo plazo, mientras que otros utilizan claves temporales que expiran después de una única sesión o transacción.

Los algoritmos de cifrado funcionan de la siguiente manera:

1. La cifra usa una clave para cifrar los datos antes de enviarlos.
2. El receptor utiliza la misma clave o una clave asociada para descifrar los datos.
3. Solo aquellos que tienen la clave correcta pueden descifrar y leer la información.

El tipo de cifrado que usa una VPN suele depender de cuánta prioridad le han dado sus desarrolladores a la seguridad frente al rendimiento, ya que los cifrados más robustos necesitan más capacidad de procesamiento.

Con el paso del tiempo, han ido surgiendo nuevos algoritmos de cifrado que han sido adoptados por los servicios de alta calidad.

Los algoritmos más usados en las VPN son:

• Advanced Encryption Standard (AES)
  • Estándar por excelencia en la industria del cifrado online
  • Disponible en longitudes de clave de 128 y 256 bits
  • Se recomienda AES-256 para garantizar la máxima protección
  • Resistente a ataques cuánticos
• Blowfish
  • Diseñado en 1993; ampliamente desplazado por AES-256
  • Longitud de clave de 128 bits (aunque puede oscilar entre los 32 y los 448 bits)
  • Tiene algunas vulnerabilidades conocidas
  • Usado como alternativa a AES-256
• ChaCha20
  • Cifrado moderno que está ganando popularidad
  • Longitud de clave de 256 bits
  • Comparable a la seguridad de AES-256
  • Mejor rendimiento, especialmente en dispositivos móviles
• Camellia
  • Desarrollado en 2000
  • Seguridad y velocidad comparables a AES
  • No ha sido validado por el NIST
  • Disponible en un número limitado de VPN

Los modos de cifrado determinan la forma en que los algoritmos como AES cifran los datos. Son fundamentales para la seguridad de las VPN, ya que afectan tanto a la privacidad como a su rendimiento. A continuación, te presentamos los modos más utilizados en las VPN:

• CBC (Cipher Block Chaining)
  • Modo tradiconal
  • Crea una cadena de bloques dependientes
  • Puede ser más lento que otros modos más modernos
  • Necesita medidas de seguridad adicionales
• GCM (Galois/Counter Mode)
  • Ofrece cifrado y autenticación
  • Más rápido que el modo CBC
  • Considerado muy seguro
  • Ampliamente utiliado en VPN modernas
• CTR (Counter)
  • Convierte el cifrado de bloque en cifrado de flujo
  • Rápido y permite el procesamiento paralelo
  • No proporciona autenticación por sí solo
  • Usado por ChaCha20
• OCB (Offset Codebook Mode)
  • Ofrece cifrado y autenticación en un solo paso
  • Muy eficiente
  • Su adopción es limitada por cuestiones de patentes

Es recomendable evitar usar otros modos en el software de las VPN. El ECB (Electronic Codebook), en particular, es demasiado simple para ser seguro, mientras que los modos CFB (Cipher Feedback) y OFB son propensos a errores de configuración debido a su complejidad y se consideran obsoletos. También se deben evitar los modos sin controles de integridad, a menos que se utilicen junto con un mecanismo de autenticación adicional.

Casi todas las VPN de primer nivel ahora utilizan el modo GCM con AES o la combinación ChaCha20-Poly1305, ya que proporcionan un buen equilibrio entre seguridad y eficiencia. Al analizar VPN, buscamos estos modos de de cifrado modernos y autenticados.

Protocolos VPN

Los protocolos VPN son el conjunto de reglas y procesos que usa tu dispositivo para establecer una conexión segura con el servidor VPN.

Dicho de otra forma, el protocolo de VPN determina cómo se forma el túnel de la VPN, mientras que el algoritmo de cifrado se encarga de cifrar los datos que fluyen a través de ese túnel.

Cada protocolo ofrece unos parámetros diferentes de velocidad, seguridad y compatibilidad. La mayoría de las VPN utilizan un protocolo específico por defecto, pero te permiten cambiarlo en la configuración de la aplicación.

Establecimiento de la conexión VPN (Handshake)

Los handshakes son esenciales para establecer conexiones VPN seguras. Este proceso incluye:

1. Autenticación: verificar la identidad del cliente y el servidor VPN.
2. Intercambio de claves: intercambiar las claves de cifrado de la sesión de forma segura.
3. Negociación de parámetros: acordar las reglas de comunicación y los métodos de cifrado.

Durante el handshake de una VPN, tu dispositivo y el servidor VPN intercambian información para establecer un canal seguro. El producto de este intercambio es una clave secreta compartida que se usará para cifrar y descifrar los datos en ambos extremos del túnel VPN durante toda la sesión.

Los handshakes de las VPN suelen utilizar el algoritmo RSA (Rivest-Shamir-Adleman), que ha sido un pilar de la seguridad en Internet durante las dos últimas décadas. Sin embargo, la longitud de clave es crítica.

Para una seguridad óptima, usa VPN que utilicen el algoritmo RSA-2048 o RSA-4096. RSA-1024 ha dejado de ser seguro debido a los avances tecnológicos en el ámbito de la potencial computacional.

Aunque es un proceso mayormente seguro, el handshake genera una ‘clave maestra’ que, en caso de verse comprometida, podría descifrar todas las sesiones de ese servidor.

En tal escenario, un atacante podría hackear el servidor VPN y acceder a todos los datos que fluyen a través del túnel VPN.

Para evitar que eso ocurra, te recomendamos que utilices VPN co Perfect Forward Secrecy (secreto perfecto directo o PFS).

Secreto perfecto directo

El secreto perfecto directo o PFS es una función de seguridad fundamental incluida en los protocolos VPN modernos. Utiliza el algoritmo Diffie-Hellman (DH) o Diffie-Hellman basado en curvas elípticas (ECDH) para generar claves temporales para cada sesión.

PFS garantiza que la clave de cifrado no sea compartida en ningún momento a través de la conexión.

El sistema PFS ofrece múltiples ventajas, entre las que destacan:

1. Generación de claves independiente: Tanto el servidor VPN como el cliente generan de manera independiente la misma clave de cifrado sin intercambiarla.
2. Aislamiento de sesión: Cada conexión usa una clave única, lo que reduce al mínimo los daños en caso de que una sesión sea vea comprometida.
3. Seguridad temporal: Las claves son temporales y se eliminan tras su uso, evitando que los datos capturados puedan ser descifrados en el futuro.

Aunque el RSA es fundamental para la autenticación, no puede proporcionar PFS por sí solo. Para implementarlo, es necesario incluir DH o ECDH en la suite de cifrado.

El algoritmo ECDH puede utilizarse por sí solo (en lugar de RSA) para generar un apretón de manos de VPN seguro con PFS. ECDH proporciona una seguridad robusta para los handshakes, mientras que DH solo debería utilizarse junto a otras medidas de seguridad debido a sus posibles vulnerabilidades.

Los dos principales protocolos de VPN que recomendamos (OpenVPN y WireGuard) son compatibles con PFS.

Autenticación basada en hash

Los algoritmos de hash seguros (SHA, por sus siglas en inglés) juegan un papel fundamental en la seguridad de una VPN al:

1. Verificar la integridad de los datos durante la transmisión
2. Autenticar las conexiones cliente-servidor
3. Prevenir la manipulación no autoridada de datos

se utilizan para autenticar la integridad de los datos transmitidos y las conexiones entre cliente y servidor. Garantizan que la información no ha sido alterada en el tránsito entre el origen y el destino.

Los SHA usan una función hash para convertir los datos de origen en una cadena de caracteres de longitud fija, conocida como “valor hash”. Se trata de un proceso unidireccional e irreversible; modificar un solo carácter en los datos de entrada altera drásticamente el valor hash resultante.

Así es cómo funciona en las comunicaciones VPN:

1. El remitente aplica una función hash acordada a los datos.
2. El receptor genera un hash a partir de los datos recibidos utilizando la misma función.
3. Si el hash generado coincide con el hash transmitido, se confirma la integridad de los datos.
4. Si los hashes no coinciden, significa que hay una posible manipulación y los datos se desechan.

La autenticación mediante hash SHA previene los ataques de intermediario al detectar cualquier manipulación en los certificados, evitando que los hackers se hagan pasar por servidores VPN legítimos.

Para garantizar la máxima seguridad, recomendamos utilizar VPN que utilicen SHA-2 o superior. Está demostrado que SHA-1 tiene debilidades que pueden comprometer la seguridad.