WireGuard frente a OpenVPN

WireGuard frente a OpenVPN

WireGuard está tomando el mundo de las VPN por asalto y promete grandes mejoras sobre los protocolos VPN existentes, como OpenVPN. Pero, ¿puede ofrecer mejores velocidades, seguridad y confiabilidad en las pruebas del mundo real?

Actualmente, el estándar de oro de los protocolos VPN(Red Privada Virtual) es OpenVPN. Es un protocolo de código abierto con buen rendimiento y se considera muy seguro y confiable, habiendo pasado numerosas auditorías independientes.

Pero está aquí buscando respuestas y probablemente se esté preguntando si WireGuard es mejor que OpenVPN. Quizás esté considerando cambiar su servicio VPN actual a uno que admita el protocolo VPN WireGuard.

Nuestro objetivo es responder a todas sus preguntas y más en esta comparación de WireGuard vs OpenVPN. Esto es lo que cubriremos en esta guía detallada:

  1. Antecedentes: ¿Cuál es la historia detrás de OpenVPN y WireGuard?
  2. Velocidades: realizamos pruebas consecutivas en cuatro ubicaciones de servidores diferentes en los EE. UU., Y hubo un gran ganador.
  3. Cifrado: examen de los algoritmos criptográficos utilizados por WireGuard y OpenVPN.
  4. Seguridad: ¿Qué protocolo ofrece más seguridad?
  5. Auditabilidad: ¿Qué protocolo es más fácil de auditar?
  6. WireGuard se incorpora al kernel de Linux
  7. Privacidad: ¿OpenVPN o WireGuard funcionan mejor en términos de privacidad?
  8. Conclusión: pruebe WireGuard usted mismo

¡Sin más demora, entremos en las comparaciones y los resultados de las pruebas!

1. Antecedentes: OpenVPN vs WireGuard

Antes de sumergirnos en los aspectos técnicos, examinemos rápidamente los antecedentes de cada protocolo VPN.

OpenVPN

OpenVPN es tanto un protocolo VPN como el código necesario para implementar ese protocolo. Consiste en software de código abierto desarrollado por James Yonany publicado bajo la Licencia Pública General GNU (GPL). Lanzado inicialmente en 2001, se ha convertido en el protocolo VPN más utilizado gracias a su flexibilidad, confiabilidad y capacidad para cruzar traductores de direcciones de red (NATS)y firewalls.

WireGuard

WireGuard es un nuevo enfoque para un protocolo VPN que está destinado a ser, bueno, mejor que las opciones actuales como IPSec y OpenVPN. Quizás la mejor manera de explicarlo es simplemente citarlo del primer párrafo de la página de inicio de WireGuard:

WireGuard ®es una VPN extremadamente simple pero rápido y moderno que utiliza la criptografía estado de la técnica. Su objetivo es ser más rápido, más simple, más ágil y más útil que IPSec, mientras evita el dolor de cabeza masivo. Tiene la intención de tener un rendimiento considerablemente mayor que OpenVPN. WireGuard está diseñado como una VPN de propósito general para ejecutarse en interfaces integradas y supercomputadoras por igual, apto para muchas circunstancias diferentes. Lanzado inicialmente para el kernel de Linux, ahora es multiplataforma (Windows, macOS, BSD, iOS, Android) y se puede implementar ampliamente.

La parte más simple y ágilde esto es crucial. Mientras que el código para OpenVPN se ejecuta en cientos de miles de líneas, el código para WireGuard es actualmente de alrededor de 4.000 líneas. Esto, combinado con el uso de criptografía de última generación, genera resultados que entusiasman a muchas personas.

2. Velocidad: OpenVPN vs WireGuard

Mucha gente está cambiando al protocolo WireGuard por las ventajas de rendimiento, es decir, velocidades más rápidas.

Hemos estado probando WireGuard durante el año pasado y podemos confirmar que el rendimiento es (generalmente) excelente. No solo ofrece velocidades más rápidas, WireGuard también es más rápido para establecer una conexión y también es más confiable en dispositivos móviles.

Minimización de variables: el objetivo de estas pruebas de velocidad era ver cómo funciona WireGuard en comparación con OpenVPN utilizando un caso de prueba del mundo real y minimizando las variables. Debido a que las velocidades pueden variar drásticamente entre los servicios, decidimos ejecutar pruebas de velocidad consecutivas con una VPN líder que admita OpenVPN y WireGuard. Para ello, elegimos NordVPN.

Realizamos todas las pruebas de velocidad en una conexión Ethernet por cable de 500 Mbps utilizando la misma máquina de prueba (MacBook Pro). Con el cliente NordVPN, pudimos cambiar rápidamente entre OpenVPN y WireGuard para pruebas de velocidad consecutivas, minimizando así las variables.

Esta tabla resume los resultados de la prueba de velocidad, realizada en cuatro ubicaciones diferentes en los Estados Unidos. La tabla está en el orden de latencia, desde la ubicación más cercana (Seattle) hasta la más lejana (Nueva York).

Ciudad Velocidad OpenVPN Velocidad WireGuard
Seattle 222 Mbps 445 Mbps
los Angeles 226 Mbps 304 Mbps
Chicago 155 Mbps 275 Mbps
Nueva York 222 Mbps 280 Mbps

La velocidad más rápida alcanzada fue con un servidor NordVPNen Seattle usando el protocolo WireGuard (NordLynx):

Velocidad de OpenVPN vs WireGuard
Esta fue la velocidad más rápida alcanzada en nuestra conexión de prueba de 500 Mbps y el resultado de prueba de velocidad VPN más rápido que hemos tenido. Esto convierte oficialmente a NordVPN enla VPN más rápida que hemos probado.

Conclusiones clave de probar las velocidades de WireGuard frente a OpenVPN:

  • En promedio, WireGuard fue aproximadamente un 58% más rápidoque OpenVPN en todas las ubicaciones que probamos.
  • La mejora del rendimiento de WireGuard sobre OpenVPN es mayor con servidores cercanos (baja latencia) en comparación con ubicaciones de servidores de larga distancia (alta latencia).
  • Para obtener las velocidades de VPN másrápidas, use WireGuard en el servidor más cercano a su ubicación física.

Tenemos la intención de realizar más pruebas comparando las velocidades de WireGuard y OpenVPN con más ubicaciones y actualizaremos los resultados de nuestras pruebas en consecuencia. También tenga en cuenta que WireGuard es capaz de alcanzar velocidades incluso superiores a 500 Mbps en circunstancias ideales.

ACTUALIZAR las velocidades de WireGuard con otros proveedores de VPN

No todas las VPN que admiten WireGuard ofrecen velocidades comparables a las anteriores. Por ejemplo, en la comparación NordVPN vs CyberGhost, ambas VPN se probaron utilizando el protocolo WireGuard VPN, pero CyberGhost fue significativamente más lento. De manera similar, el acceso privado a Internettambién tuvo velocidades por debajo del promedio, incluso cuando se usaba el protocolo WireGuard VPN.

Veredicto final sobre velocidades

En las pruebas de velocidad realizadas por nuestro equipo y otros, WireGuard normalmente ofrece velocidades mucho más rápidas que OpenVPN, pero esto puede variar según el proveedor de VPN.

3. Cifrado: OpenVPN vs WireGuard

Ahora examinaremos las diferencias de cifrado entre OpenVPN y WireGuard.

Algoritmos criptográficos OpenVPN

OpenVPN utiliza la biblioteca OpenSSLpara proporcionar cifrado. OpenSSL admite varios algoritmos criptográficos diferentes, que incluyen:

Esta gama de algoritmos hace que OpenVPN sea ágil. Es decir, el código puede negociar el uso de diferentes algoritmos según las circunstancias. Esto hace que OpenVPN sea muy flexible, pero aumenta enormemente la complejidad del código. La complejidad de OpenVPN puede ralentizar la ejecución, que es una de las principales razones por las que la gente busca WireGuard como un posible reemplazo.

Algoritmos criptográficos WireGuard

La filosofía de WireGuard difiere mucho de la de OpenVPN cuando se trata de algoritmos criptográficos. Mientras que OpenVPN es flexible con los algoritmos que usa, cada versión de WireGuard usa un conjunto fijo de algoritmos.

La versión actual de WireGuard (v1.0) utiliza lo siguiente:

WireGuard también se diferencia de OpenVPN en que OpenVPN utiliza certificados para identificación y cifrado. WireGuard utiliza cifrado de clave públicapara esas tareas. La generación y administración de claves seguras se maneja en segundo plano, y existe la opción de compartir previamente una clave para una capa adicional de seguridad.

Veredicto sobre agilidad criptográfica

Dependiendo de su perspectiva, esto puede ser de cualquier manera. OpenVPN puede ejecutar muchos cifrados y protocolos diferentes, pero esta agilidad trae consigo más complejidad, una mayor superficie de ataquepara que los hackers la exploten y una posible susceptibilidad a ataques de degradación.

Cada versión de WireGuard ejecuta un conjunto de cifrados y protocolos. Esto conduce a una menor complejidad (y mucho menos código), una superficie de ataque más pequeña e inmunidad a los ataques de degradación. Sin embargo, obligará a todos los puntos finales a actualizarse a una nueva versión de WireGuard si se descubre un problema en cualquiera de los cifrados o protocolos utilizados en la versión actual.

4. Seguridad: OpenVPN vs WireGuard

¿OpenVPN es seguro?

OpenVPN no tiene vulnerabilidades de seguridad conocidas. El código ha sido auditado en numerosas ocasiones y cuenta con el respaldo de muchos expertos en seguridad.

¿WireGuard es seguro?

WireGuard es muy seguro. Utiliza cifrados y algoritmos seguros más rápidos y de última generación. Su pequeña base de código facilita la auditoría al tiempo que ofrece una superficie de ataque más pequeña para cualquiera que intente piratearlo. Pero quizás lo más importante de WireGuard,

“… Carece intencionalmente de cifrado y agilidad de protocolo. Si se encuentran huecos en las primitivas subyacentes, todos los puntos finales deberán actualizarse. Como lo demuestra el continuo torrente de vulnerabilidades SSL / TLS, la agilidad del cifrado aumenta la complejidad de manera monumental “.

Jason A. Donenfeld, desarrollador de WireGuard

Obligar a todos los puntos finales a pasar a una nueva versión de WireGuard puede causar algunos dolores de cabeza. Sin embargo, dado que la nueva versión no incluirá el cifrado o el protocolo comprometido, asegura que nadie siga usando el código inseguro. También elimina la posibilidad de un ataque de degradación queobligue al punto final a volver a utilizar el código comprometido.

Veredicto sobre seguridad

No hay fallas de seguridad conocidas para ninguno de los protocolos. Si la seguridad es su máxima prioridad, la opción conservadora es OpenVPN. Simplemente ha existido mucho más tiempo que WireGuard, ha pasado por más auditorías de seguridad de terceros y tiene un historial mucho más largo que WireGuard. Sin embargo, a medida que WireGuard madura, sus algoritmos de cifrado actualizados y su base de código mínima lo hacen aún más atractivo.

5. Auditabilidad: OpenVPN vs WireGuard

Para saber si puede confiar en un protocolo VPN, debe ser auditable. La auditabilidad es una de las razones clave por las que la mayoría de los defensores de la privacidad prefieren el software de código abierto.

Pero el hecho de que el código sea de código abierto no facilita laauditoría. OpenVPN es auditable. Pero con cientos de miles de líneas de código, realizar una auditoríarequiere un equipo de expertos y mucho tiempo.

WireGuard también es de código abierto y auditable. Pero con alrededor de 4.000 líneas de código, es mucho más susceptible de auditoría. Un solo ingeniero podría posiblemente hacer el trabajo en poco tiempo.

“¿Puedo expresar una vez más mi amor por él [WireGuard] y esperar que se fusione pronto? Tal vez el código no sea perfecto, pero lo he hojeado, y en comparación con los horrores que son OpenVPN e IPSec, es una obra de arte “.

Linus Torvalds, desarrollador principal del kernel de Linux, agosto de 2018

Tenemos que dar el visto bueno a WireGuard cuando se trata de auditabilidad.

6. WireGuard en el kernel de Linux

WireGuard también fue diseñado con el sistema operativo Linux en mente. Más específicamente, con su incorporación al Kernel de Linux.

Según WireGuard: túnel de red del kernel de próxima generación, había cinco razones para incluir WireGuard en el kernel de Linux:

  1. Código corto y simple para hacer que la auditoría y la revisión del código sean agradables
  2. Ser extremadamente rapido
  3. Debe evitar asignaciones de recursos intensivos en respuesta a los paquetes entrantes.
  4. Debe integrarse de la manera más nativa y fluida posible
  5. Debe poder compilarse como un módulo de kernel externo que no requiere cambios en el código central de Linux

El resultado es un protocolo VPN rápido y eficiente que se ejecuta en OSI Layer 3, la capa de red. En este nivel, WireGuard tiene un acceso más directo a las tablas de enrutamiento de la red y los paquetes de datos, lo que ayuda con la velocidad y simplifica la autenticación y atribución de paquetes de datos.

La presencia de WireGuard en el kernel de Linux es una de las principales razones de su mayor rendimiento en relación con OpenVPN y otros protocolos que se ejecutan en el espacio de usuario del sistema operativo, con su sobrecarga adicional.

7. Privacidad: OpenVPN vs WireGuard

¿OpenVPN protege mi privacidad?

Los protocolos VPN brindan seguridad; no proporcionan necesariamente privacidad. Lo que determina su privacidad al usar una VPN son en realidad las políticas del servicio VPN. En particular, si un servicio VPN mantiene registros es lo que determina su privacidad al usar uno.

Eso puede sonar extraño si ha escuchado que WireGuard tiene un problema de privacidad. Más adelante entraremos en más detalles, pero ese problema se reduce a un aspecto del diseño de WireGuard que puede mantener la dirección IP de un usuario en el servidor VPN durante períodos prolongados.

El diseño de OpenVPN no requiere mantener tales datos de usuario en el servidor VPN, por lo que no compromete su privacidad.

¿WireGuard tiene un problema de privacidad?

WireGuard fue diseñado para brindar velocidad y seguridad. No fue diseñado específicamente para personas como nosotros, que buscan seguridad y privacidad en su servicio VPN. Sin embargo, para brindarles a los usuarios los beneficios de WireGuard, los servicios VPN han creado soluciones WireGuard que agregan fuertes protecciones de privacidad sin sacrificar lo que hace especial a WireGuard. Este es el problema:

WireGuard almacena las direcciones IP de los usuarios en el servidor VPN

Como parte de su algoritmo de enrutamiento de claves criptográficas, WireGuard asigna las claves públicas y las direcciones IP (Protocolo de Internet) permitidas. Esto simplifica ciertos aspectos de WireGuard, pero de forma predeterminada, las direcciones IP de los usuarios permanecen almacenadas en el servidor VPN hasta que se reinicia el servidor. Almacenar su dirección IP en el servidor de esta manera podría considerarse registrar su dirección IP y es incompatible con el concepto de una VPN sin registros. Esta dirección IP estática también podría verse expuesta por una fuga de WebRTC.

¿Cómo se puede solucionar el problema de privacidad de WireGuard?

Los servicios de VPN han ideado algunas soluciones diferentes para el problema de privacidad de WireGuard.

NordVPNdesarrolló un sistema de doble NAT para su implementación WireGuard, al que llaman NordLynx. El sistema,

… Crea dos interfaces de red local para cada usuario. La primera interfaz asigna una dirección IP local a todos los usuarios conectados a un servidor. A diferencia del protocolo WireGuard original, cada usuario obtiene la misma dirección IP.

Una vez que se establece un túnel VPN, se activa la segunda interfaz de red con un sistema NAT dinámico. El sistema asigna una dirección IP única para cada túnel. De esta manera, los paquetes de Internet pueden viajar entre el usuario y su destino deseado sin confundirse.

El sistema de doble NAT nos permite establecer una conexión VPN segura sin almacenar ningún dato identificable en un servidor. Las direcciones IP locales dinámicas permanecen asignadas solo mientras la sesión está activa. Mientras tanto, la autenticación del usuario se realiza con la ayuda de una base de datos externa segura.

vpn para wireguard

Más información sobre NordVPN y NordLynx está aquí.

Esta solución ahora está disponible en todos los clientes de NordVPN, que es lo que usamos para todas las pruebas en esta guía.

Otros servicios como Mullvady OVPNhan abordado el problema de privacidad de WireGuard borrando los registros que asignan direcciones IP a claves de cifrado tan pronto como no ha habido comunicación entre el cliente VPN y el servidor durante tres minutos. Mantener los datos solo durante el tiempo que sea necesarioreduce en gran medida el riesgo de que se revelen datos personales.

La protección adicional en casos como estos es para garantizar que no experimente ninguna fuga de WebRTC. Aquí hay un enlace a nuestra guía completa para reparar fugas de WebRTC.

Veredicto final sobre privacidad

Esta es un área en la que OpenVPN tiene una clara ventaja. El diseño predeterminado de WireGuard requiere que las direcciones IP de los usuarios permanezcan en el servidor VPN durante períodos prolongados. Si la privacidad es una preocupación principal, le recomendamos que solo use soluciones que aborden este posible problema de privacidad. NordLynx de NordVPNes la solución que estamos usando actualmente, pero Mullvady OVPNtambién tienen soluciones prácticas disponibles ahora. Esperamos que a medida que otros servicios de VPN implementen sus soluciones WireGuard, ellos también se ocupen de este problema de la dirección IP.

Nota: Vea otras VPN que admiten WireGuard aquí.

Conclusión: pruebe WireGuard usted mismo

No siempre fuimos fanáticos de WireGuard.

Cuando salió a la luz, existían preocupaciones persistentes sobre la privacidad, los registros de direcciones IP almacenados en el servidor y la naturaleza nueva y experimental del protocolo. Simplemente no parecía una gran solución para las personas que usan VPN teniendo en cuenta la privacidad. Pero muchas cosas han cambiado en el último año:

  • Las VPN han encontrado buenas soluciones para admitir WireGuard y, al mismo tiempo, garantizar la privacidad del usuario.
  • WireGuard ha sido lanzado oficialmente bajo la versión 1.0 (ya no es código experimental).
  • WireGuard ahora se ha incorporado al kernel de Linux, un hito importante.
  • Muchas pruebas han demostrado la importante ventaja de rendimiento de la que disfruta WireGuard sobre los protocolos VPN existentes.

WireGuard tiene mucho que ofrecer a los usuarios de VPN, en muchos casos de uso diferentes. Si ha considerado usar WireGuard, inténtelo para ver las ventajas usted mismo.

Si bien hay un puñado de VPN que admiten WireGuard, nuestra VPN más recomendada actual para WireGuard es NordVPN. Ofrece velocidad, seguridad, privacidad y muchas otras áreas, como se explica en nuestra revisión de NordVPN.

Oferta: puede obtener un 68% de descuento en NordVPN aquí y probar WireGuard sin riesgos durante 30 días:

NordVPN Cyber ​​Deal ya está EN VIVO:

obtenga un 68% de descuento en NordVPN (baja el precio a $ 3.71 por mes).

Obtenga el cupón de 68% de descuento en NordVPN >>

(El descuento se aplica automáticamente)

No dude en compartir sus experiencias en el uso de WireGuard en comparación con OpenVPN a continuación.

Esta guía se actualizó por última vez el 15 de enero de 2021 para agregar más información sobre otros proveedores de VPN de WireGuard y las pruebas de rendimiento actualizadas.

Ir arriba