9. VPN (Virtual Private Network)

Una Virtual Private Network (VPN) crea túneles cifrados sobre redes públicas para que sucursales, usuarios móviles y centros de datos intercambien información como si compartieran la misma LAN. Las VPN combinan cifrado, autenticación y encapsulación para brindar confidencialidad, integridad y acceso controlado.

Este tema describe los tipos más utilizados, sus beneficios, los componentes técnicos básicos, los protocolos que los implementan y ejemplos prácticos de configuración y análisis de desempeño.

9.1 Concepto de túnel cifrado

Una VPN encapsula paquetes originales (por ejemplo, IPv4 corporativo) dentro de otro protocolo que viaja por Internet o una WAN de un proveedor. Ese encapsulado se cifra para impedir que terceros inspeccionen los datos y se autentica para evitar que nodos no autorizados se unan al túnel.

Los extremos del túnel pueden ser firewalls, routers, gateways cloud o dispositivos cliente. Cada extremo se encarga de cifrar, autenticar, aplicar controles de integridad y reenviar los paquetes internos a su red local.

9.2 Tipos de VPN

Las soluciones más comunes se agrupan en tres categorías:

Tipo Descripción Casos típicos Ventajas Consideraciones
Sitio a sitio Une dos redes completas mediante equipos perimetrales. Sucursales, enlaces entre data centers. Transparente para los usuarios; alto rendimiento. Requiere equipos dedicados y direccionamiento coordinado.
Acceso remoto Cliente/servidor para usuarios móviles. Teletrabajo, soporte, acceso de terceros. Flexibilidad, despliegue rápido. Depende del endpoint y políticas de dispositivo seguro.
Híbrida Combina túneles fijos con clientes remotos o nubes. Empresas multicloud, fusiones. Optimiza rutas y mantiene políticas consistentes. Requiere orquestación central y monitoreo constante.

9.3 Beneficios principales

  • Privacidad y confidencialidad: el cifrado impide que terceros vean datos sensibles.
  • Integridad y autenticidad: se usan firmas o MAC para asegurarse de que el paquete no fue alterado.
  • Acceso controlado: se aplican políticas por usuario, grupo o dispositivo.
  • Ahorro de costos: aprovecha Internet en lugar de contratar enlaces dedicados para cada sede.
  • Movilidad y continuidad operativa: permite que la empresa siga funcionando ante contingencias físicas.

9.4 Componentes esenciales

Toda VPN combina tres bloques tecnológicos:

  1. Cifrado: algoritmos simétricos (AES, ChaCha20) protegen los datos.
  2. Autenticación: certificados X.509, claves precompartidas o tokens verifican identidades.
  3. Encapsulación: protocolos como GRE o UDP envuelven el tráfico interno para transportar múltiples subredes.

Según el protocolo elegido, estos componentes se configuran manualmente o se negocian automáticamente durante el establecimiento del túnel.

9.5 Protocolos y tecnologías

Existen numerosas implementaciones. Las más extendidas son:

  • IPsec: estándar de la IETF que opera en la capa de red con modos transporte o túnel.
  • SSL/TLS VPN: encapsulan tráfico en HTTPS para atravesar firewalls restrictivos.
  • L2TP combinado con IPsec: utiliza túneles de capa 2 y añade cifrado con IPsec.
  • PPTP: histórico; hoy se evita por vulnerabilidades.
  • WireGuard: protocolo moderno que prioriza simplicidad y alto rendimiento.

Elegir uno u otro depende de la compatibilidad con dispositivos existentes, los requisitos regulatorios y el rendimiento esperado.

9.6 Automatización con PowerShell

Windows permite aprovisionar conexiones de acceso remoto desde la línea de comandos. El siguiente ejemplo crea una VPN IKEv2 con autenticación mediante certificado: 

Add-VpnConnection -Name "VPN-Corporativa" `
  -ServerAddress "vpn.empresa.com" `
  -TunnelType IKEv2 `
  -AuthenticationMethod MachineCertificate `
  -SplitTunneling `
  -RememberCredential

Tras ejecutar el comando, el adaptador virtual queda disponible para los usuarios con los parámetros de seguridad adecuados y se puede distribuir mediante scripts o herramientas de gestión.

9.7 Evaluación del desempeño

Cuanto más fuerte sea el cifrado o mayor la encapsulación, más sobrecarga aparece. Para estimar el impacto se puede ejecutar un cálculo sencillo: 

def rendimiento_vpn(ancho_base, porcentaje_overhead, eficiencia_cpu):
    efectivo = ancho_base * (1 - porcentaje_overhead)
    return efectivo * eficiencia_cpu

escenarios = [
    {"nombre": "IPsec-AES256", "overhead": 0.18, "eficiencia_cpu": 0.92},
    {"nombre": "SSL-VPN", "overhead": 0.25, "eficiencia_cpu": 0.88},
    {"nombre": "WireGuard", "overhead": 0.12, "eficiencia_cpu": 0.97}
]

for escenario in escenarios:
    print(escenario["nombre"], rendimiento_vpn(100, escenario["overhead"], escenario["eficiencia_cpu"]))

El script no reemplaza una prueba real, pero ayuda a comparar configuraciones cuando se documentan requisitos de capacidad o se planifican upgrades de hardware criptográfico.

Las VPN son un pilar para conectar usuarios y sedes sobre infraestructuras que no controlamos directamente. En los siguientes temas profundizaremos en protocolos específicos como IPsec, L2TP y PPTP para comprender cómo se materializan estos túneles.

Retornar