WireGuard u OpenVPN

OpenVPN y WireGuard son dos tipos de protocolos VPN. Un protocolo VPN es un tipo de tecnología que se usa para crear un túnel privado entre tu dispositivo y un servidor VPN.

Dicho de otra forma, un protocolo VPN es un elemento clave para el funcionamiento de una VPN.

Puedes usar OpenVPN y WireGuard de forma independiente para crear tu propia conexión VPN. Sin embargo, se suelen usar como parte de servicios VPN personales.

A continuación se muestra una descripción general de las características principales de cada protocolo:

Característica	OpenVPN	WireGuard
Fecha de lanzamiento	Mayo de 2001	Septiembre de 2019
Cifrado	AES, Blowfish, Camellia	ChaCha20, Poly1305
Longitud del código	Más de 70 000 líneas	Unas 4000 líneas
Código abierto	Sí	Sí
Seguridad	Alta	Alta
Privacidad	Alta	Necesita mejoras
Velocidades	Moderadas	Rápidas

OpenVPN

Jamen Yonan desarrolló el software original de OpenVPN en 2001.

Yonan creó OpenVPN para asegurarse de que su conexión fuese privada mientras viajaba por Asia Central y usaba conexiones de Internet de Asia y Rusia.

Hoy en día, Yonan es el actual director de tecnología de OpenVPN Inc. La compañía proporciona servicios business-to-business, además de gestionar OpenVPN.

El CEO y fundador de la compañía es Francis Dinha, que creció en Irak y comparte las preocupaciones de Yonan por mantenerse al margen de la vigilancia estatal.

El software de OpenVPN ya tiene más de 60 millones de descargas, y casi todas las VPN de hoy en día utilizan el protocolo.

OpenVPN está disponible con una licencia de código abierto, lo que significa que cualquiera puede ver el código oculto.

Durante más de una década, OpenVPN se ha considerado la cúspide de la seguridad de las VPN. Sin embargo, con el lanzamiento de WireGuard, hay un nuevo competidor que lucha por ese puesto en la cima.

WireGuard

Jason A. Donenfeld, de Edge Security, creó WireGuard y llevó a cabo su primer lanzamiento estable en septiembre de 2019.

WireGuard está diseñado para mejorar los protocolos VPN ya existentes: es más sencillo, rápido y fácil de usar.

Al contrario que OpenVPN, WireGuard es «criptográficamente opinable», según Donenfeld. Eso significa que ha elegido una solución para cada aspecto de la seguridad de la VPN.

Como resultado, WireGuard no tiene tanta flexibilidad como OpenVPN, pero es mucho más sencillo.

Al igual que OpenVPN, WireGuard es de código abierto.

A pesar de que se lanzó en septiembre de 2019, WireGuard ya se ha incorporado a varios servicios de VPN. NordVPN, por ejemplo, construyó su protocolo NordLynx sobre él.

Entonces, ¿es mejor OpenVPN o WireGuard? Para empezar, vamos a comparar su velocidad.

WireGuard se diseñó teniendo en cuenta la velocidad; OpenVPN, no. Por tanto, WireGuard es bastante más rápido que OpenVPN.

El protocolo de WireGuard está optimizado para usar varios núcleos de procesador al mismo tiempo y utiliza métodos de cifrado más rápidos.

Las mediciones del propio WireGuard indican que su protocolo es al menos 3 veces más rápido que OpenVPN; tiene un rendimiento de 1011 Mbps frente a los 258 Mbps de OpenVPN.

Sin embargo, el equipo de WireGuard admite que estos resultados están «desactualizados y las pruebas no se llevaron a cabo de una forma del todo adecuada».

Por eso hemos llevado a cabo varias pruebas por nuestra cuenta para ver qué protocolo es más rápido.

WireGuard es más rápido que OpenVPN en la mayoría de las VPN.

NordVPN es un servicio de VPN excelente y fue uno de los primeros en ser compatible tanto con WireGuard como con OpenVPN. Por lo tanto, es ideal para ejecutar pruebas de velocidad y comparar ambos.

Nos conectamos a los servidores de NordVPN de todo el mundo con el protocolo OpenVPN (UDP) o el protocolo NordLynx (WireGuard) y registramos nuestras velocidades de conexión.

Este es el resumen de nuestros descubrimientos al comparar la velocidad de OpenVPN frente a la de WireGuard:

Ubicación del servidor	OpenVPN (UDP)	WireGuard (NordLynx)
Reino Unido	135 Mbps	286 Mbps (un 112 % más rápido)
Alemania	131 Mbps	277 Mbps (un 111 % más rápido)
EE. UU.	142 Mbps	254 Mbps (un 79 % más rápido)
Japón	139 Mbps	269 Mbps (un 94 % más rápido)
Australia	118 Mbps	207 Mbps (un 75 % más rápido)

Datos de pruebas de velocidad registrados en R.U. con una conexión de 350 Mbps.

WireGuard fue un 75 % más rápido que OpenVPN, sin importar desde qué lugar nos conectáramos.

En conexiones de menor distancia, la diferencia se hacía aún más notable, dado que WireGuard se ejecutaba el doble de rápido que OpenVPN.

Estos resultados coinciden con lo que la propia NordVPN vio al comparar NordLynx y OpenVPN. Realizaron 8200 pruebas automáticas diarias durante un mes y detectaron que NordLynx era hasta 2 veces más rápido que OpenVPN.

Luego llevamos a cabo pruebas parecidas con otros servicios de VPN compatibles con ambos protocolos. Estos son los resultados:

	Surfshark VPN		Mullvad VPN		Private Internet Access
País	OpenVPN	WireGuard	OpenVPN	WireGuard	OpenVPN	WireGuard
Reino Unido	121 Mbps	286 Mbps	345 Mbps	345 Mbps	228 Mbps	181 Mbps
EE. UU.	110 Mbps	261 Mbps	64 Mbps	331 Mbps	92 Mbps	28 Mbps
AUS	78 Mbps	235 Mbps	261 Mbps	269 Mbps	111 Mbps	18 Mbps

Datos de pruebas de velocidad registrados en R.U. con una conexión de 350 Mbps.

Como pasa con NordVPN, WireGuard es, sin duda, el protocolo más rápido para los usuarios de Surfshark y Mullvad VPN.

Sin embargo, también hay que tener en cuenta los resultados de las pruebas de velocidad de Private Internet Access (PIA). Debido a su relativa inmadurez, varios servicios de VPN ofrecen WireGuard en la actualidad, pero no han optimizado su servicio para maximizar su rendimiento.

Mullvad es un buen ejemplo de ello. A finales de abril de 2021, lanzó una actualización que integraba mejor WireGuard en el servicio.

Antes de la actualización, la VPN era un 70 % más lenta en WireGuard que en OpenVPN. Tras la actualización, WireGuard es el protocolo más rápido que se puede usar con Mullvad.

Esperamos ver lo mismo con otras VPN, como PIA, a medida que intentan mejorar WireGuard como parte de su servicio.

En el vídeo anterior puedes ver la diferencia en tiempo real entre OpenVPN (UDP) y WireGuard; analizamos ambos usando ProtonVPN. La diferencia en cuanto a las velocidades de descarga fue evidente una vez más: OpenVPN presentó un promedio de 250 Mbps mientras que el promedio de WireGuard fue de 335 Mbps.

Tiempo para conectarse

Además, WireGuard establece conexión mucho más rápido que OpenVPN. Esto es importante, porque si se cae la conexión o el túnel VPN se rompe por algún motivo, nos interesa que la VPN se vuelva a conectar lo antes posible.

Un estudio de Ars Technica descubrió que OpenVPN puede tardar hasta 8 segundos en conectarse, mientras que WireGuard tarda unos 100 milisegundos.

	OpenVPN	WireGuard
Algoritmos de cifrado y protocolos de autenticación	Usados habitualmente: AES, Blowfish, Camellia También compatibles: ChaCha20, Poly1305 (y muchos más)	ChaCha20, Poly1035
Secreto perfecto directo	Compatible	Compatible
Vulnerabilidades conocidas	Ninguna	Ninguna

OpenVPN te permite usar una amplia gama de cifrados y algoritmos de autenticación, mientras que WireGuard solo cuenta con un conjunto fijo para cada versión.

Esto significa que, si se descubre una vulnerabilidad en un algoritmo, OpenVPN se puede configurar rápidamente para hacer que use otro, mientras que WireGuard necesitaría una actualización de software en todos los dispositivos. Es un fastidio, pero te aseguras no tener jamás un dispositivo con un código poco seguro.

Actualmente no se conocen vulnerabilidades de seguridad ni en WireGuard ni en OpenVPN.

Elección o seguridad

Una de las diferencias clave entre OpenVPN y WireGuard es el equilibrio entre elección y seguridad.

OpenVPN utiliza para el cifrado el catálogo OpenSSL, que se publicó por primera vez en 1998 y se ha probado a fondo durante mucho tiempo. El catálogo es compatible con una gran variedad de algoritmos de cifrado, como AES, Blowfish y ChaCha20.

Por su parte, WireGuard no te deja elegir cifrado. En lugar de eso, te obliga a usar ChaCha20 para el cifrado y Poly1305 para la autenticación.

Por eso, WireGuard necesita mucho menos código que OpenVPN: unas 4000 líneas en comparación con 70.000 (al menos). Esta huella, más reducida, hace que sea mucho más fácil para los investigadores de seguridad auditar y verificar el código de WireGuard que el de OpenVPN. También posibilita que la superficie de ataque de WireGuard sea mucho menor que la de OpenVPN.

¿Los nuevos algoritmos de cifrado son seguros?

Por lo general, los investigadores de seguridad prefieren la tecnología de encriptación que ya lleva un tiempo en uso, porque los algoritmos más nuevos pueden presentar vulnerabilidades que aún no se han identificado. Por lo tanto, lo más seguro suele ser optar por una opción más probada.

En este caso, OpenVPN es, sin duda, la opción que más se ha probado. Se lanzó 18 años antes que WireGuard, y el cifrado AES que usa es casi diez años más antiguo que los algoritmos ChaCha20 y Poly1035 que emplea WireGuard.

Sin embargo, en la práctica, la relativa inmadurez de WireGuard no parece ser un gran riesgo para la seguridad, por tres motivos:

1. El código fuente mínimo de WireGuard significa que puede ser auditado muy rápidamente. Esto mitiga muchas de las preocupaciones sobre la falta de pruebas rigurosas del protocolo, porque los expertos pueden auditarlo mucho más rápido que el código de OpenVPN.
2. ChaCha20 es muy seguro. El «20» de «ChaCha20» significa que tiene 20 rondas de cifrado para proteger la información. En 2008, ChaCha7 (con siete rondas) se desmanteló, pero ChaCha8 nunca ha llegado a ese punto. Por lo tanto, está claro que ChaCha20 ofrece un nivel de seguridad elevado.
3. Respaldado por Linux y Google. Linus Torvalds, el creador original de Linux, declaró lo siguiente: «Si se me permite volver a decirlo [WireGuard]… He visto el código y quizás no sea perfecto, pero comparado con los horrores que son OpenVPN y IPSec, es una obra de arte». Desde entonces, WireGuard se ha incluido en el núcleo de Linux, lo que indica un fuerte respaldo a sus credenciales de seguridad. Google también ha empezado a usar ChaCha20 y Poly1305 para cifrar el tráfico de todos sus dispositivos Android.

OpenVPN y WireGuard son dos protocolos VPN muy fiables que ofrecen una conexión a Internet estable en la mayoría de circunstancias.

Sin embargo, OpenVPN es el único que te da la opción de usar el protocolo de comunicación TCP, que resulta útil para eludir bloqueos de Internet estrictos, dado que las conexiones TCP pueden usar el puerto 443, el mismo que utiliza el tráfico HTTPS habitual.

Es muy poco probable que los sistemas de censura de países como China, Rusia y Turquía bloqueen el puerto 443 porque esto interrumpiría actividades esenciales como la banca y las compras en línea.

En resumen, OpenVPN TCP es más eficaz que WireGuard a la hora de eludir la censura porque WireGuard solo se puede usar con UDP.

Vamos a ver un resumen de varias de las diferencias principales entre UDP y TCP:

	UDP (Protocolo de datagramas de usuario)	TCP (Protocolo de control de transmisión)
Asistencia al cliente de WireGuard	✓	✗
Atención al cliente de OpenVPN	✓	✓
Funciones de fiabilidad	✗	✓
Velocidad	Más rápida	Más lenta

Solemos recomendar usar UDP siempre que sea posible porque es más rápido, eficiente e igual de estable cuando se utiliza dentro de un túnel VPN. Sin embargo, para evitar los cortafuegos y eludir la censura, es preferible un protocolo TCP.

Esto se ve reflejado en que los servicios de VPN tienen por defecto esta opción cuando intentas conectarte en China.

Hemos descubierto que, en casi todos los casos, cuando un proveedor de VPN ofrece tanto WireGuard como OpenVPN, el servicio usa el protocolo OpenVPN de forma predeterminada si intentas conectarte desde China.

También analizamos unos cuantos servicios de VPN que sabemos que funcionan bien en China para ver si OpenVPN o WireGuard eran mejores a la hora de eludir el Gran Cortafuegos de China:

• Astrill VPN fue capaz de eludir la censura tanto con OpenVPN como con WireGuard.
• Private Internet Access (PIA) solo fue capaz de conectarse con OpenVPN y no logró hacerlo con WireGuard.

Hoy en día, los dispositivos se suelen mover entre redes móviles y Wi-Fi. Un buen protocolo VPN debe ser capaz de gestionar dicho cambio de forma eficiente.

En cuando a movilidad, WireGuard es mucho mejor que OpenVPN. Maneja los cambios de red sin problemas, mientras que OpenVPN siempre ha dado problemas cuando los usuarios cambian frecuentemente de red. De hecho, muchos servicios VPN han optado por utilizar un protocolo diferente para los dispositivos móviles: IKEv2.

IKEv2 es un protocolo VPN bastante bueno, pero es de código cerrado. A ciertos usuarios les preocupa que pueda haber sido comprometido por la NSA. En cambio, WireGuard ofrece una solución de código abierto y nueva al problema de qué protocolo VPN emplear en el móvil.

Si estás usando una VPN en movimiento, te recomendamos encarecidamente que elijas WireGuard en vez de OpenVPN.

Usar una VPN siempre aumenta la cantidad de datos total que gastas. Esto se debe a que el proceso de túnel hace que tengas que enviar más información a Internet, lo que implica un aumento en el uso de datos.

La sobrecarga de datos puede afectar a la velocidad de tu VPN. Si tienes un contrato de telefonía móvil de pago por uso, es posible que acabes gastando más dinero o alcances antes el límite de datos previsto.

El protocolo VPN que uses afecta a la cantidad de datos de más que utilices. Nuestras investigaciones descubrieron que WireGuard consume muchos menos datos que OpenVPN. A continuación te mostramos un resumen de lo que descubrimos:

 

Para analizar el uso de datos de los protocolos, utilizamos las aplicaciones de Linux WireGuard y OpenVPN y calculamos cuántos datos más añadían a nuestra conexión en comparación con cuando no usábamos ninguna VPN. Para cada análisis, copiamos un archivo de prueba de 209 MB entre dos servidores virtuales. Realizamos cada prueba tres veces y calculamos el incremento medio de los datos.

WireGuard tiene la menor sobrecarga de datos de todos los protocolos VPN que hemos probado, incluidos IKEv2 y PPTP. En comparación, OpenVPN presenta la mayor sobrecarga.

Protocolo	Registro	Mejoras
OpenVPN	Ninguna	No se necesitan
WireGuard	La dirección IP se guarda en el servidor hasta que se reinicia	Disponible con la mayoría de proveedores VPN comerciales

Una característica esencial de un servicio de VPN seguro es que no almacena información que te pueda identificar. Esto también se aplica al protocolo VPN que se esté usando.

Mientras que OpenVPN funciona sin necesidad de registrar ninguna dirección IP, WireGuard requiere que las direcciones IP permitidas se almacenen en el servidor hasta que este se reinicie.

Desde el punto de vista de la seguridad, es preocupante, porque si el servidor queda comprometido, alguien podría usar la dirección IP para vincularla a tu actividad y, por lo tanto, se anula la principal ventaja de usar una VPN.

Por lo tanto, ten en cuenta que si usas la implementación estándar de WireGuard, es probable que tu dirección IP quede registrada durante, al menos, lo que dure la sesión.

Por suerte, la mayoría de servicios VPN comerciales compatibles con WireGuard han implementado soluciones para minimizar estos riesgos de privacidad. Aquí compartimos varios ejemplos:

• NordVPN: NordVPN ha combinado WireGuard con su tecnología patentada de Double Network Address Translation (NAT) para crear NordLynx. En lugar de almacenar tu dirección IP estática hasta que el servidor se reinicia, NordLynx asigna una dirección IP dinámica única a cada túnel VPN, de manera que cada sesión tiene una dirección IP diferente que solo dura lo que dure la sesión.
• Mullvad: para maximizar la privacidad al usar WireGuard, Mullvad elimina tu dirección IP de sus servidores tras 10 minutos de inactividad. Como medida adicional, Mullvad también te sugiere que uses su función MultiHop para enrutar tu tráfico a través de dos o más servidores cuando uses WireGuard.
• IVPN: IVPN elimina tu dirección IP si transcurren tres minutos de inactividad. Además, crea una nueva dirección IP de forma aleatoria cada 24 horas para evitar los problemas de usar una dirección IP estática.

Para la mayoría de usuarios, estas soluciones bastarán. Sin embargo, si estás en un país con mucha censura o donde es posible que las autoridades persigan a los usuarios de VPN, seguramente sea mejor no correr ese riesgo.

Además, si te preocupa tu privacidad, te recomendamos que compruebes qué soluciones tiene tu proveedor de VPN para los usuarios de WireGuard.

OpenVPN cuenta con una compatibilidad nativa con casi todos los servicios de VPN comerciales, mientras que WireGuard presenta una disponibilidad mucho menor.

Sin embargo, WireGuard se está poniendo al día rápidamente. A pesar de que lo lanzaron en 2019, el protocolo ya se ha implementado en muchas de las principales VPN; a menudo en aplicaciones de escritorio y móviles.

A continuación puedes ver un resumen de qué protocolos son compatibles con 15 de las VPN más populares:

Protocolo de VPN	ExpressVPN	NordVPN	CyberGhost	IPVanish	Surfshark	PrivateVPN	PIA	Windscribe	ProtonVPN	Astrill	HideMyAss	Hotspot Shield	Mullvad	TunnelBear	PureVPN
OpenVPN	✓	✓	✓	✓	✓	✓	✓	✓	✓	✓	✓	✓	✓	✓	✓
WireGuard	✗	✓	✓	✓	✓	✗	✓	✓	✗	✓	✗	✗	✓	✗	✗

Tradicionalmente, la mayoría de VPN usan OpenVPN como protocolo predeterminado, en especial en versiones de escritorio.

Sin embargo, estamos viendo un número cada vez mayor de proveedores que se pasan a WireGuard.

Por ejemplo, CyberGhost ya usa WireGuard de forma predeterminada en Android e iOS, y NordVPN utiliza la versión NordLynx de WireGuard como predeterminada en la mayoría de sus aplicaciones.

Facilidad de uso

Para configurar el protocolo sin ayuda, WireGuard resulta mucho más fácil que OpenVPN. Como ya hemos dicho, esto se debe al código optimizado de WireGuard y a que no puedes elegir la configuración de cifrado, lo que hace que resulte muy sencillo instalarlo.

La base de código ligera de WireGuard también es un buen motivo para utilizar una VPN en dispositivos informáticos pequeños y dispositivos integrados. Por ejemplo, OVPN incluye una aplicación de línea de comandos compatible con WireGuard para ordenadores Raspberry Pi de placa única.

Dicho esto, para la mayoría de usuarios de VPN, OpenVPN es más fácil de usar por la simple razón de que es compatible de forma nativa con más servicios de VPN. Basta con descargar la VPN elegida y, en casi todos los casos, el protocolo OpenVPN estará configurado y listo para utilizarse.