Aclaración: Top10VPN es editorialmente independiente. Podemos ganar comisiones si compras una VPN a través de enlaces en nuestro sitio.

¿Cómo funciona una VPN?


JP Jones es nuestro CTO. Cuenta con más de 25 años de experiencia en el sector de la ingeniería de software y networking y supervisa todos los aspectos técnicos de nuestro proceso de pruebas

El software de VPN crea un túnel virtual cifrado entre tu dispositivo y un servidor VPN remoto. Así se crea una conexión segura entre la Internet pública y tú, ocultando tu dirección IP, modificando tu ubicación y protegiendo tu actividad en la web de miradas indiscretas.

Cómo funciona un red privada virtual (VPN)

El software de VPN dirige el tráfico web a un servidor remoto a través de un túnel cifrado.

Una red privada virtual (VPN) es una herramienta muy valiosa para proteger tu privacidad, seguridad y libertad en línea.

En esta guía te explicamos cómo funciona el software de VPN para ocultar tu dirección IP y cifrar tu conexión a Internet.

Si lo que quieres es saber qué se puede hacer con una VPN, consulta nuestra guía Para qué se usan las VPN.

Resumen rápido: Cómo funciona una VPN

Las VPN cifran tu conexión y la redirigen a través de un servidor VPN remoto.

Esto es lo que le ocurre a tu tráfico web cuando utilizas una VPN:

  1. Descargas, instalas y activas la aplicación VPN en tu ordenador, smartphone o televisor.
  2. En tu navegador, escribes el sitio web al que quieres acceder (por ejemplo, ejemplo.com).
  3. El software de la VPN de tu dispositivo cifra la solicitud de conexión, de forma que tu ubicación y el contenido de la solicitud sean ininteligibles para cualquiera que los vea.
  4. Los datos de tu conexión se envían al servidor VPN elegido para que los descifre.
  5. El servidor VPN se conecta al sitio web en tu nombre y el sitio web envía la información solicitada de vuelta al servidor VPN,
  6. El servicio de VPN encripta esta información y la envía a tu dispositivo.
  7. Tu aplicación VPN descifra esta información y el sitio web solicitado aparece en tu navegador.

Mediante este proceso, las VPN te permiten ocultar tu dirección IP en los sitios web que visitas.

Además, el software de la VPN te permite ocultar la actividad en línea a tu ISP (proveedor de servicios de Internet), administrador de wifi, gobierno o cualquier otra persona que pueda controlar tu conexión.

Aunque todo el software de VPN es bastante similar, este proceso se aplica específicamente a los servicios de VPN personales o “de consumo”.

Para saber cómo funcionan las VPN de acceso remoto y de sitio a sitio, consulta nuestra Guía de tipos de VPN.

¿Qué es un túnel VPN?

Un “túnel VPN” es la forma común de describir lo que sucede cuando se establece una conexión VPN. En otras palabras, es la comunicación cifrada entre tu dispositivo y el servidor VPN.

Esta comunicación se denomina túnel porque el tráfico original está cifrado y envuelto en una capa de tráfico no cifrado.

Es como si tuvieras un sobre con una carta escrita dentro y lo metieras dentro de un segundo sobre con una dirección nueva. El mensaje original queda completamente oculto al mundo exterior, como si estuviera dentro de un túnel.

Este proceso se denomina encapsulación y se lleva a cabo mediante protocolos de tunelización específicos.

Encontrarás más información sobre los protocolos de tunelización en la sección Cifrado de VPN o en nuestra guía específica de Protocolos de VPN.

¿Cómo oculta una VPN tu dirección IP?

Cuando navegas por Internet sin una VPN, tu conexión viaja directamente desde tu dispositivo hasta el servidor que aloja el sitio web o el servicio que deseas.

Para enviarte el contenido, el servidor web necesita conocer tu dirección.

Tu dirección IP es como tu pasaporte en Internet. Es un identificador único que indica a otros ordenadores dónde tienen que enviar la información si quieren que te llegue a ti.

Puedes usar nuestra herramienta de comprobación “¿Cuál es mi IP?” para saber cuál es tu dirección IP pública.

La dirección IP lleva asociada mucha información personal. Muestra tu ubicación geográfica y se puede utilizar para crear una imagen general de tu actividad en línea.

Por estos motivos, muchas personas deciden ocultar su dirección IP utilizando una VPN.

Cuando navegas por Internet con una VPN activada, tu conexión siempre viaja a un servidor VPN remoto antes de llegar al servidor web que aloja el sitio web o servicio al que quieres acceder.

Cuando el servidor web te devuelve la información, se la envía al servidor VPN, que a su vez te la reenvía a ti. Esto significa que los sitios web que visitas nunca llegan a conocer tu verdadera dirección IP.

Diagrama que muestra cómo oculta una VPN tu dirección IP al sitio web que visitas

Los sitios web que visitas solo ven una solicitud de conexión procedente de un servidor VPN y envían la información a ese servidor.

RESUMEN: Las VPN actúan como intermediarias entre tu dispositivo e Internet. Cuando navegas por Internet utilizando una VPN, los sitios web que visitas ven la dirección IP del servidor VPN al que te conectas, en lugar de tu dirección IP pública original.

CONSEJO PROFESIONAL: Los servicios de VPN buenos disponen de servidores en muchos lugares. Puedes engañar a los sitios web para que piensen que estás en otro país conectándote a un servidor VPN de allí. De esta forma se pueden desbloquear contenidos “ocultos” en servicios de streaming como Netflix.

¿Cómo cifra y protege tus datos una VPN?

El cifrado es un proceso que consiste en cambiar los datos normales de texto por un código secreto que solo puedan entender quienes sepan descifrarlo.

Su objetivo es impedir que personas no deseadas puedan leer tus mensajes.

Las VPN utilizan el cifrado para ocultar los detalles de tu actividad de navegación mientras viajan entre tu dispositivo y el servidor VPN.

El uso de una VPN impide que proveedores de servicios de Internet, gobiernos, administradores de redes Wi-Fi, hackers o cualquier persona que ande husmeando por ahí puedan espiar tu conexión.

Pero ¿cómo funcionan realmente? ¿Cómo cifra y protege tus datos una VPN?

En esta sección veremos en detalle los diferentes componentes y procesos que conforman el cifrado de VPN, empezando por los algoritmos de cifrado.

Algoritmos de cifrado

La aplicación de Private Internet Access, que muestra cómo personalizar la configuración de cifrado de la VPN.

Para convertir tu actividad en línea en un código ininteligible, las VPN necesitan usar un algoritmo de cifrado.

Un algoritmo es como un código (es decir, un conjunto de reglas) que cifra y descifra los datos.

EJEMPLO: Un algoritmo muy sencillo podría cifrar los datos utilizando la regla “cambia cada letra del mensaje por la letra anterior del abecedario”. De esta forma privacidad sería oqhuzbhczc.

Los algoritmos suelen incluir una longitud de clave específica. Por lo general, cuanto más larga es la longitud de la clave, más seguro es el cifrado. Por ejemplo, AES-256 se considera más seguro que AES-128.

Los algoritmos más usados en los servicios de VPN son:

1Estándar de cifrado avanzado (AES, por sus siglas en inglés)

El estándar de cifrado avanzado (AES) es uno de los cifrados más seguros que existen. Es la regla de oro de los protocolos de cifrado en línea y su uso está muy extendido en la industria de las VPN.

El AES fue adoptado por el Instituto Nacional de Estándares y Tecnología (NIST) de Estados Unidos en 2001, y también se le conoce como el algoritmo Rijndael. Está diseñado para manejar archivos más grandes que otros cifrados, como Blowfish, debido a su mayor tamaño de bloque.

AES suele estar disponible en longitudes de clave de 128 y 256 bits. Aunque AES-128 se sigue considerando seguro, sabemos que organizaciones como la Agencia de Seguridad Nacional de Estados Unidos (NSA) siempre intentan socavar los estándares de cifrado. Por eso es preferible utilizar AES-256, ya que es probable que ofrezca una protección mucho mayor.

Cuando leas términos como cifrado de “grado militar” o de “nivel bancario” en el sitio web de un servicio VPN, generalmente hacen referencia al uso de AES-256. El gobierno de Estados Unidos utiliza ese cifrado para proteger su propia información sensible, y es una de las cosas que buscamos cuando probamos y analizamos VPN.

2Blowfish

Blowfish es un cifrado diseñado por el criptógrafo estadounidense Bruce Schneier en 1993. Era el cifrado que se utilizaba en la mayoría de las conexiones VPN, pero ahora ha sido sustituido en gran medida por el AES-256.

Blowfish suele utilizarse con una longitud de clave de 128 bits, aunque puede oscilar entre los 32 y los 448 bits.

Blowfish tiene algunos puntos débiles. El más conocido es su vulnerabilidad a un ataque criptográfico llamado “ataque de cumpleaños”. Por este motivo, Blowfish solo debería utilizarse como alternativa al AES-256.

3ChaCha20

Publicado en 2008 por Daniel Bernstein, ChaCha20 es un cifrado de VPN bastante nuevo. A pesar de ser muy nuevo, se está haciendo cada vez más popular, ya que es el único cifrado compatible con el nuevo protocolo WireGuard.

Al igual que AES, ChaCha20 utiliza una longitud de clave de 256 bits, que se considera muy segura. Los informes sugieren también que ChaCha20 es hasta tres veces más rápido que AES.

Actualmente no se le conoce ninguna vulnerabilidad y es una buena alternativa a AES, ya que las tecnologías de cifrado pretenden abordar el reto de la computación cuántica en un futuro no muy lejano.

4Camellia

Camellia es un cifrado muy similar a AES en términos de seguridad y velocidad. Incluso utilizando la opción de menor longitud de clave (128 bits), se cree que es imposible romperlo con un ataque de fuerza bruta teniendo en cuenta la tecnología actual. Actualmente no se tiene conocimiento de ningún ataque que haya conseguido debilitar el cifrado Camellia.

La principal diferencia entre Camellia y AES es que no está certificado por el NIST, la organización estadounidense que creó AES.

Aunque sin duda hay motivos para usar un cifrado que no esté vinculado con el gobierno de Estados Unidos, Camellia no suele estar disponible en los software de VPN, ni se ha probado de forma tan exhaustiva como AES.

RESUMEN: Una VPN no debería utilizar nada por debajo del algoritmo AES-256 para cifrar tus datos. ChaCha20 y Camellia son alternativas seguras, pero tu VPN debería ofrecerte al menos la opción de AES.

Protocolos de VPN

Los protocolos de VPN son reglas y procesos que sigue tu dispositivo para establecer una conexión segura con el servidor VPN.

Dicho de otra forma, el protocolo de VPN determina cómo se forma el túnel de la VPN y el cifrado se utiliza para cifrar los datos que fluyen a través de ese túnel.

Una VPN tendrá diferentes velocidades, capacidades y vulnerabilidades dependiendo del protocolo que utilice. La mayoría de los servicios te permiten elegir el protocolo que quieres usar en la configuración de la aplicación.

Hay varios protocolos de VPN disponibles, pero no todos son seguros. Aquí encontrarás un resumen rápido de los más habituales:

  • OpenVPN: de código abierto, extremadamente seguro y compatible con casi todos los dispositivos compatibles con VPN.
  • WireGuard: rapidísimo y muy eficiente, pero aún no se ha ganado la confianza de todos en la industria de las VPN debido a su reciente lanzamiento.
  • IKEv2/IPsec: un protocolo de código cerrado que es magnífico para los usuarios de VPN en dispositivos móviles, pero se cree que ha sido comprometido por la NSA.
  • SoftEther: no es compatible con muchos servicios de VPN, pero es rápido, seguro y excelente para evitar la censura.
  • L2TP/IPsec: un protocolo más lento que también se cree que ha sido pirateado por la NSA.
  • SSTP: se maneja bien con los cortafuegos, pero es de código cerrado y potencialmente vulnerable a los ataques de intermediario (man-in-the-middle).
  • PPTP: está obsoleto, no es seguro y debe evitarse a toda costa.

MÁS INFORMACIÓN: Para obtener más información sobre los diferentes tipos de protocolos de VPN y saber cuál es el mejor, consulta nuestra guía completa de Protocolos de VPN.

Apretones de manos de VPN (“handshake”)

Además de los protocolos y los algoritmos de cifrado, las VPN también utilizan procesos de verificación mutua conocidos como “apretón de manos” (handshake) y autenticaciones de hash para asegurar y autenticar aún más tu conexión.

Un apretón de manos hace referencia a la conexión inicial entre dos ordenadores. Es una especie de saludo en el que ambas partes se verifican entre sí y establecen las reglas de comunicación.

Durante un apretón de manos de VPN, el cliente de la VPN (es decir, tu dispositivo) establece una conexión inicial con el servidor VPN.

Esta conexión se utiliza para compartir de forma segura una clave de cifrado entre el cliente y el servidor, que será la que se utilice para cifrar y descifrar los datos en ambos extremos del túnel VPN durante toda la sesión de navegación.

diagrama que muestra el proceso paso a paso de un apretón de manos entre el cliente y el servidor de la VPN

Los apretones de manos de VPN suelen utilizar el algoritmo RSA (Rivest-Shamir-Adleman), que ha sido la base de la seguridad en Internet durante las dos últimas décadas.

Aunque aún no hay pruebas fehacientes de que el RSA-1024 haya sido descifrado, actualmente se considera un riesgo para la seguridad dada la potencia de procesamiento que hay disponible hoy en día.

El RSA-2048 es una alternativa mucho más segura y supone una ralentización relativamente pequeña. Por ello, la mayoría de los servicios de VPN han dejado de utilizar el RSA-1024.

Confía únicamente en los servicios de VPN que utilicen el algoritmo RSA-2048 o RSA-4096.

Aunque los apretones de manos funcionan bien y generan un cifrado seguro, es posible descifrar cada sesión que se genere con la clave privada utilizada en el apretón de manos RSA. En este sentido, es como si fuera una “llave maestra”.

Si esta llave o clave maestra se viera comprometida, podría utilizarse para descifrar todas las sesiones seguras de ese servidor VPN, pasadas o presentes. Un atacante podría obtener acceso a todos los datos que fluyen a través del túnel VPN.

Para evitar que eso ocurra, te recomendamos que utilices servicios VPN configurados con Perfect Forward Secrecy (secreto perfecto directo o PFS).

Secreto perfecto directo

Imagen de un cliente y un servidor VPN en habitaciones separadas que generan la misma clave temporal para cifrar su sesión

 

El secreto perfecto directo o PFS es una función del protocolo que utiliza el algoritmo de intercambio de claves Diffie-Hellman (DH) o el Diffie-Hellman basado en curvas elípticas (ECDH) para generar claves temporales para cada sesión.

PFS garantiza que la clave de cifrado no se intercambie nunca a través de la conexión.

En lugar de eso, el servidor VPN y el cliente VPN generan ellos mismos la clave de forma independiente utilizando el algoritmo DH o ECDH.

Es un proceso matemáticamente complejo, pero PFS acaba con la amenaza que supone una única clave privada que, en caso de verse comprometida, expondría todas las sesiones seguras alojadas en el servidor.

Las claves son temporales, lo que significa que solo dejarían al descubierto una sesión en concreto, nada más.

Hay que tener en cuenta que RSA por sí solo no puede ofrecer PFS. Para implementarlo, es necesario incluir DH o ECDH en el conjunto de cifrado de RSA.

El algoritmo ECDH puede utilizarse por sí solo (en lugar de RSA) para generar un apretón de manos de VPN seguro con PFS. Sin embargo, hay que tener cuidado con los servicios de VPN que utilizan únicamente DH, ya que es vulnerable a ser crackeado. Esto no supone ningún problema si se utiliza con RSA.

Los tres principales protocolos de VPN que recomendamos (OpenVPN, WireGuard e IKEv2) son compatibles con PFS.

Autenticación de hash

Los algoritmos de hash seguros (SHA, por sus siglas en inglés) se utilizan para autenticar la integridad de los datos transmitidos y las conexiones entre cliente y servidor. Garantizan que la información no ha sido alterada en el tránsito entre el origen y el destino.

Los SHA funcionan editando los datos de origen mediante lo que se conoce como una función hash. El mensaje original se somete a un algoritmo y el resultado es una cadena de caracteres de longitud fija que no se parece en nada al original. Esto se conoce como “valor hash”.

Es una función unidireccional: no se puede invertir el proceso para determinar el mensaje original a partir del valor hash.

La función hash es útil porque si se cambia un solo carácter de los datos de entrada originales, el valor hash resultante será completamente distinto.

Un cliente VPN pasa los datos recibidos del servidor, combinados con la clave secreta, a través de una función hash acordada durante el apretón de manos de la VPN.

Si el valor hash que genera el cliente es distinto del valor hash del mensaje, los datos se descartan porque el mensaje ha sido manipulado.

La autenticación de hash SHA evita los ataques de intermediarios porque puede detectar cualquier manipulación de un certificado válido.

Si no se usase, un hacker podría hacerse pasar por un servidor VPN legítimo y engañarte para que te conectes a otro no seguro desde el que se podría controlar tu actividad.

Para garantizar la máxima seguridad, recomendamos utilizar servicios de VPN que utilicen SHA-2 o superior. Está demostrado que SHA-1 tiene debilidades que pueden comprometer la seguridad.