El Point-to-Point Tunneling Protocol fue una de las primeras tecnologías VPN ampliamente desplegadas en sistemas Windows. Encapsula PPP sobre GRE y utiliza MPPE para cifrar datos. Sin embargo, vulnerabilidades serias en su mecanismo de autenticación y cifrado lo volvieron obsoleto, por lo que hoy se recomienda reemplazarlo por alternativas modernas como L2TP/IPsec o WireGuard.
Este tema repasa su historia, arquitectura, funcionamiento, ventajas originales, debilidades que llevaron a su abandono y sugerencias para migrar servicios heredados.
PPTP fue documentado por Microsoft, 3Com y otros fabricantes en 1999 (RFC 2637) con el objetivo de simplificar el acceso remoto sobre Internet aprovechando la infraestructura PPP existente. Su integración nativa en Windows 95/98/NT permitió que millones de usuarios se conectaran a redes corporativas antes de que IPsec estuviera disponible en hardware económico.
PPTP consta de dos canales:
Una vez establecido el túnel, el usuario autentica la sesión PPP (PAP, CHAP, MS-CHAP) y opcionalmente activa MPPE (Microsoft Point-to-Point Encryption), que utiliza claves derivadas de las credenciales y del handshake MS-CHAP.
| Componente | Descripción | Observaciones |
|---|---|---|
| PPTP Access Concentrator (PAC) | Extremo cliente o gateway que origina el túnel. | Suele residir en el sistema operativo del usuario. |
| PPTP Network Server (PNS) | Servidor que termina sesiones y aplica políticas. | Integrado en RRAS, firewalls o appliances dedicados. |
| MPPE | Basa su seguridad en RC4 con claves derivadas de MS-CHAP. | Vulnerable a ataques por diccionario y cracking de claves. |
Estas características permitieron un despliegue masivo en los años 2000, cuando otras VPN demandaban hardware especializado.
Investigaciones públicas demostraron que MS-CHAPv2, algoritmo típico en PPTP, puede romperse con ataques de fuerza bruta en minutos, lo que compromete también las claves MPPE. Además, el canal GRE no se autentica adecuadamente, facilitando inyecciones o secuestros de sesión.
Por ello organismos como el NIST y fabricantes líderes recomiendan deshabilitar PPTP y migrar a IPsec, SSL VPN o WireGuard.
En entornos corporativos conviene remover configuraciones PPTP obsoletas para impedir su uso accidental. PowerShell permite automatizar la limpieza:
Get-VpnConnection |
Where-Object { $_.TunnelType -eq "Pptp" } |
ForEach-Object { Remove-VpnConnection -Name $_.Name -Force }
El script identifica conexiones PPTP configuradas en el equipo y las elimina, reduciendo la superficie de ataque y guiando a los usuarios hacia protocolos más seguros.
| Criterio | PPTP | L2TP/IPsec | WireGuard |
|---|---|---|---|
| Seguridad | Débil (MS-CHAPv2, RC4) | Alta (IPsec AES, certificados) | Alta (ChaCha20, claves modernas) |
| Compatibilidad histórica | Muy alta | Alta | En crecimiento |
| Recomendación actual | Descontinuado | Vigente | Vigente para nuevos despliegues |
PPTP marcó una etapa clave en la adopción de VPN, pero sus debilidades lo vuelven inadecuado para redes modernas. Migrar a tecnologías más seguras protege la confidencialidad y evita incidentes fácilmente explotables. En el próximo tema exploraremos WireGuard, una alternativa contemporánea que prioriza simplicidad y criptografía de última generación.