5.5. Redes privadas virtuales (VPN)¶
Objetivo
Comprender qué es una VPN, cómo funciona a nivel técnico, qué protocolos existen y en qué casos se aplica cada uno.
Conocer también el SSH Port Forwarding como alternativa ligera de tunneling.
5.6.1. ¿Qué es una VPN?¶
Una VPN (Virtual Private Network) crea un túnel cifrado entre dos puntos a través de una red no confiable (normalmente Internet).
Todo el tráfico que circula por ese túnel queda protegido frente a escuchas, modificaciones e interceptaciones.
Importante
Una VPN no equivale a anonimato total.
El proveedor VPN (o el servidor VPN de la empresa) puede seguir viendo metadatos y, según configuración, parte del tráfico.
Analogía¶
Imagina que envías una carta confidencial por correo ordinario: cualquiera que la intercepte puede leerla. Una VPN es como meter esa carta en un sobre blindado e ilegible: el cartero (Internet) la transporta, pero no puede ver el contenido.
5.6.2. ¿Cómo funciona una VPN? (nivel técnico)¶
Proceso básico de una conexión VPN:
[Cliente VPN]
|
| 1) Autenticación (certificado, usuario/contraseña o clave precompartida)
v
[Servidor VPN]
|
| 2) Negociación criptográfica (algoritmos y claves de sesión)
v
[Túnel cifrado establecido]
|
| 3) El tráfico viaja cifrado por el túnel
v
[Red destino (empresa, Internet, etc.)]
Conceptos clave¶
| Concepto | Descripción |
|---|---|
| Túnel | Canal virtual cifrado entre cliente y servidor |
| Encapsulación | El paquete original se envuelve dentro de otro paquete |
| Autenticación | Verificación de identidad antes de abrir el túnel |
| Cifrado | Protección de la confidencialidad e integridad |
| Split tunneling | Solo parte del tráfico pasa por la VPN |
| Full tunneling | Todo el tráfico del cliente pasa por la VPN |
Encapsulación de paquetes¶
Sin VPN:
[Cabecera IP] [Datos en claro]
Con VPN:
[Cabecera IP externa] [Cabecera VPN] [Paquete original cifrado]
5.6.3. Casos de uso¶
Acceso remoto (Remote Access VPN)¶
Un empleado desde casa se conecta a la red interna de la empresa como si estuviera físicamente en la oficina.
[Empleado en casa]
|
[Internet]
|
[Servidor VPN empresa]
|
[Red interna empresa]
|
[Recursos internos: ficheros, impresoras, servidores...]
Ventaja: acceso seguro a recursos internos sin exponerlos directamente a Internet.
VPN site-to-site¶
Conecta dos sedes de una empresa de forma permanente, como si fueran una sola red privada.
[Sede A - Madrid] [Sede B - Valencia]
192.168.1.0/24 192.168.2.0/24
| |
[Router/FW A] ---- Internet ---- [Router/FW B]
|___________ Túnel VPN ___________|
Ventaja: comunicación cifrada entre sedes sin configurar cada equipo final.
Protección en redes públicas¶
Un usuario conectado a una Wi-Fi pública (aeropuerto, cafetería) cifra su tráfico antes de salir a Internet.
Ventaja: dificulta la captura de credenciales o sesiones por atacantes en la misma red local.
5.6.4. Protocolos VPN¶
OpenVPN¶
- Tipo: open source, basado en TLS/SSL.
- Puertos: normalmente
UDP 1194oTCP 443. - Criptografía habitual: AES, RSA/ECDSA, HMAC.
- Ventajas: muy seguro, multiplataforma y flexible.
- Inconvenientes: requiere cliente adicional en muchos sistemas.
- Uso típico: empresas, laboratorios y servidores propios.
WireGuard¶
- Tipo: protocolo moderno, diseño simple y eficiente.
- Puerto:
UDP(por defecto51820). - Criptografía: ChaCha20, Poly1305, Curve25519.
- Ventajas: muy rápido, baja latencia y configuración sencilla.
- Inconvenientes: menor madurez en escenarios empresariales muy complejos.
- Uso típico: Linux moderno, VPS, laboratorios y entornos cloud.
IPsec / IKEv2¶
- Tipo: estándar de industria, capa de red.
- Puertos:
UDP 500yUDP 4500(NAT-T). - Criptografía: AES-GCM/AES-CBC, SHA-2, etc.
- Ventajas: soporte nativo en Windows, macOS, iOS y Android.
- Inconvenientes: configuración manual más compleja.
- Uso típico: entornos corporativos y movilidad empresarial.
L2TP/IPsec¶
- Tipo: L2TP (túnel) + IPsec (cifrado).
- Ventajas: soporte amplio en sistemas antiguos.
- Inconvenientes: en desuso, más sobrecarga y problemas con NAT en algunos escenarios.
- Uso típico: entornos heredados.
PPTP¶
- Estado: obsoleto y vulnerable.
- No debe usarse en entornos reales.
Comparativa rápida¶
| Protocolo | Rendimiento | Seguridad | Facilidad | Soporte nativo |
|---|---|---|---|---|
| OpenVPN | Medio | Muy alta | Media | No (cliente) |
| WireGuard | Muy alto | Muy alta | Alta | Sí (Linux moderno) |
| IPsec/IKEv2 | Alto | Alta | Media-baja | Sí |
| L2TP/IPsec | Medio | Media | Media | Sí (legado) |
| PPTP | Alto | Muy baja | Alta | Sí (obsoleto) |
5.6.5. SSH Port Forwarding (túneles con SSH)¶
SSH no solo sirve para administración remota: también permite crear túneles cifrados para redirigir tráfico.
Cuándo usarlo
Es una alternativa ligera a una VPN completa cuando ya existe acceso SSH al servidor.
Tipos de Port Forwarding¶
1) Local Port Forwarding (-L)¶
Redirige un puerto local del cliente hacia un destino accesible desde el servidor SSH.
[Cliente local] [Servidor SSH] [Destino final]
puerto 8080 ---túnel SSH---> puerto 22 ----------> puerto 80
ssh -L 8080:localhost:80 usuario@servidor-remoto
Luego, en el cliente: http://localhost:8080.
2) Remote Port Forwarding (-R)¶
Publica un puerto en el servidor SSH que apunta a un servicio local del cliente.
[Cliente local] [Servidor SSH]
puerto 3000 <---túnel SSH--- puerto 9090
ssh -R 9090:localhost:3000 usuario@servidor-remoto
3) Dynamic Port Forwarding (-D)¶
Convierte el cliente SSH en un proxy SOCKS.
ssh -D 1080 usuario@servidor-remoto
Después, configura el navegador con localhost:1080 como proxy SOCKS5.
proxy SOCKS
El tráfico redirigido a través del proxy SOCKS también viaja cifrado por el túnel SSH, proporcionando privacidad adicional.
5.6.6. Diferencias entre VPN y SSH tunneling¶
| Característica | VPN | SSH tunneling |
|---|---|---|
| Alcance | Todo el sistema (según política) | Solo tráfico redirigido |
| Configuración | Requiere infraestructura VPN | Solo servicio SSH |
| Transparencia | Alta para aplicaciones | Requiere ajuste por aplicación |
| Uso típico | Acceso corporativo global | Acceso puntual a servicios |
| Complejidad | Media/alta | Baja/media |
5.6.7. Seguridad en VPN: aspectos clave¶
- Autenticación fuerte: preferir certificados y MFA.
- Criptografía actualizada: evitar DES, RC4, MD5 y suites débiles.
- Registro y monitorización: detectar accesos anómalos.
- Split tunneling con control: reduce carga, pero aumenta superficie de riesgo.
- Actualizaciones periódicas: servidor, clientes y sistema operativo.
- Revocación de credenciales: al baja de usuarios o pérdida de dispositivos.
5.6.8. Resumen de conceptos¶
| Concepto | Definición rápida |
|---|---|
| VPN | Túnel cifrado entre dos puntos sobre red no confiable |
| Encapsulación | El paquete original viaja dentro de otro paquete |
| Remote Access VPN | Usuario remoto conectado a red interna |
| Site-to-site VPN | Enlace cifrado permanente entre sedes |
| OpenVPN | VPN flexible basada en TLS |
| WireGuard | VPN moderna, simple y de alto rendimiento |
| IPsec/IKEv2 | Estándar empresarial con soporte nativo |
SSH -L |
Redirección local |
SSH -R |
Redirección remota |
SSH -D |
Proxy SOCKS cifrado |
| Split tunneling | Parte del tráfico por VPN |
| Full tunneling | Todo el tráfico por VPN |
5.6.9. Recursos de ampliación¶
Vídeos recomendados¶
- Cómo funciona una VPN (animación):
https://youtu.be/8EQKaVCuGaY?si=-uzxofP7GDSAgd9N - 7 usos de VPN que no conocías
- https://youtu.be/RqAJAPmua-U?si=r6BE5UhKFPe4X952
- WireGuard explicado:
https://www.youtube.com/watch?v=88GyLoZbDNw - OpenVPN desde cero en Ubuntu:
https://www.youtube.com/watch?v=m-i2JBtG4FE - SSH Tunneling explicado:
https://www.youtube.com/watch?v=AtuAdk4MwWw
Documentación de referencia¶
| Recurso | Descripción |
|---|---|
| OpenVPN Community | Documentación oficial de OpenVPN |
| WireGuard Quick Start | Guía rápida oficial de WireGuard |
| SSH Manual (man ssh) | Referencia completa de opciones SSH |
| INCIBE — VPN para PYMES | Guía práctica para entornos empresariales |