Cifrado VPN: ¿Qué es y cómo funciona?

Justin Oyaro

By Justin Oyaro . 20 abril 2023

Cybersecurity Expert

Miklos Zoltan

Fact-Checked this

Las Redes Privadas Virtuales (VPNs) ofrecen una conexión segura a través de Internet, gracias a los diferentes cifrados, protocolos y cifras que utiliza una VPN.

Estas técnicas de cifrado garantizan que tu conexión en línea y los datos en tránsito estén protegidos de miradas indiscretas, como hackers e incluso el gobierno.

No todas las VPN comerciales detallan abiertamente los aspectos técnicos de su tecnología de seguridad y cifrado.

Por lo tanto, esto dificulta entender cómo una VPN protege tu conexión en línea de partes no autorizadas.

Sin embargo, en este artículo, aprenderás todo sobre los detalles del cifrado de manera simplificada.

Estos incluyen cifrado, cifras y protocolos que una VPN utiliza para mantener segura tu conexión y datos.

Resumen rápido

Una VPN implementa el uso de criptografía, que abarca la protección de información utilizando conceptos como cifrado y descifrado.

El cifrado implica convertir texto claro (información legible) en texto cifrado (información ilegible) utilizando una clave. El descifrado es lo contrario: convertir texto cifrado en texto claro utilizando una clave.

El proceso de criptografía parece simple, pero implica otros conceptos que se entrelazan para garantizar la confidencialidad, integridad, autenticación y todos los detalles de seguridad que protegen tu información y conexión.

Estos incluyen algoritmos de cifrado, cifras de cifrado, cifrado de «handshake», autenticación HMAC, Perfect Forward Secrecy y protocolos VPN.

¡Sin más preámbulos, comencemos!

Algoritmos y técnicas comunes de cifrado VPN

Aquí están los tipos más comunes de técnicas de cifrado que las VPNs utilizan para proteger tu tráfico y conexión en línea:

Cifrado de clave privada (simétrico)

El cifrado simétrico establece que ambas partes que se comunican tienen la misma clave para cifrar el texto claro y descifrar el texto cifrado.

La mayoría de las VPNs utilizan este algoritmo de cifrado. Además, el cifrado simétrico es utilizado por cifras como el Estándar de Cifrado Avanzado (AES) y Blowfish.

Cifrado de clave pública (asimétrico)

El cifrado asimétrico utiliza dos claves, una pública y una privada. La clave pública cifra el texto claro, pero solo la clave privada puede descifrar el texto cifrado.

El cifrado asimétrico exige que la mayoría de los usuarios tengan la clave pública, pero solo la parte autorizada puede tener la clave privada para descifrar.

Cifrado de «handshake»

Un «handshake» es un proceso de negociación que permite a las partes comunicarse entre sí y acordar qué algoritmos de cifrado o claves utilizar.

En la mayoría de los casos, el algoritmo Rivest-Shamir-Adleman (RSA) se utiliza para el cifrado de «handshake». Otras VPNs también utilizan el intercambio de claves Elliptic-curve Diffie-Hellman (ECDH).

El RSA-2048 o superior es difícil de romper y es considerado seguro por la mayoría de los proveedores. RSA utiliza una transformación simple y es muy lento. Por esta razón, se utiliza para «handshakes» y no para asegurar datos.

El Diffie-Hellman de curva elíptica (ECDH) es una mejora en el cifrado de «handshake» Diffie-Hellman (DH). DH reutiliza un conjunto limitado de números primos, lo que lo hace vulnerable.

Algoritmo de Hash Seguro (SHA)

El Algoritmo de Hash Seguro (SHA) es un algoritmo de hash para autenticar datos y conexiones SSL/TLS.

El proceso se refuerza mediante una huella digital única que crea para verificar la validez del certificado TLS como confirmación de que te estás conectando al servidor VPN correcto.

Es esencial mencionar que sin SHA, un hacker digital puede redirigir fácilmente tu tráfico en línea a su servidor en lugar de los servidores VPN objetivo.

Código de Autenticación de Mensajes basado en Hash (HMAC)

El Código de Autenticación de Mensajes basado en Hash (HMAC) es un tipo de Código de Autenticación de Mensajes (MAC) que combina una función de hash criptográfico y una clave criptográfica secreta.

La técnica verifica la integridad y autenticación de los datos para garantizar que permanezcan intactos.

La mayoría de las buenas VPNs suelen utilizar el algoritmo de hash SHA junto con la autenticación HMAC para máxima seguridad.

Perfect Forward Secrecy (PFS)

El Perfect Forward Secrecy (PFS) es una técnica de cifrado ordenada utilizada por un conjunto de protocolos de acuerdo de claves (principalmente RSA y ECDH) para garantizar que las claves de sesión no se vean comprometidas, incluso si se ve comprometida la clave privada de un servidor.

PFS genera nuevas claves utilizadas para cifrar y descifrar cada pocos segundos.

Cifras

Una cifra es un algoritmo que puedes utilizar para cifrar o descifrar. El estándar de seguridad de una cifra está determinado tanto por la longitud de la clave (128 bits, 192 bits o 256 bits) como por la fuerza de los algoritmos.

En general, cuanto más larga sea la longitud de la clave, más fuerte será la cifra. Pero esto también requiere más potencia de procesamiento.

En consecuencia, una cifra más fuerte requerirá más tiempo para cifrar y descifrar datos. Por lo tanto, la mayoría de los proveedores de VPN intentan equilibrar el rendimiento de seguridad al elegir una cifra.

Un número selecto de cifras que los proveedores de VPN suelen utilizar para cifrar y descifrar.

Estas cifras se consideran las más seguras en la industria, e incluyen el Estándar de Cifrado Avanzado (AES), Blowfish y Camellia.

Estándar de Cifrado Avanzado (AES)

AES es una cifra de clave privada que ofrece un rango de claves, incluidas 128 bits, 192 bits y 256 bits. AES significa el «estándar de oro» de la industria de las VPN, gracias a su reconocimiento por parte del gobierno de los EE. UU. y su certificación por parte de NIST.

La cifra AES también ofrece modos de cifrado en bloque; el encadenamiento de bloques de cifrado (CBC) y el modo Galois/Counter (GCM).

El encadenamiento de bloques de cifrado fortalece el algoritmo de cifrado en bloque con el bloque anterior, de ahí el nombre de encadenamiento.

Por lo tanto, esto hace que sea difícil de romper, ya que cada bloque de texto cifrado depende del número de bloques de texto sin formato. Esto hace que CBC sea más lento en cuanto a rendimiento.

El modo Galois/Counter utiliza metodologías de transformación para cifrados en bloque en lugar de encadenarlos. También combina el hash para garantizar un cifrado autenticado.

Este modo ofrece un rendimiento más rápido con alta seguridad incluso en dispositivos con baja potencia de procesamiento. Sin embargo, menos VPNs utilizan GCM ya que CBC fue ampliamente aceptado.

Blowfish

Blowfish se identifica como la cifra oficial de OpenVPN. Este protocolo VPN utiliza principalmente el Blowfish-128, aunque admite otros niveles hasta 448.

Esta cifra se considera segura, pero los estudios sugieren que tiene algunas debilidades. Por lo tanto, solo recomendamos esta opción si el AES de 256 bits no es una opción.

Camellia

Camellia es una cifra rápida y segura que admite tamaños de clave de 128, 192 y 256 bits. Sin embargo, Camellia solo está certificado por ISO-IEC, pero no por NIST.

Esto significa que la cifra no es tan popular entre las VPNs como su homólogo, AES.

Si no te gustan los fuertes vínculos de AES con el gobierno de EE. UU., Camellia es una opción a considerar. Pero ten en cuenta que Camellia no ha sido tan rigurosamente probado como AES.

Protocolos de cifrado VPN

El protocolo de cifrado VPN describe cómo una VPN creará un túnel seguro entre tu dispositivo y el servidor objetivo. Los proveedores de VPN utilizan diferentes protocolos de cifrado para asegurar tu conexión y tráfico en línea.

Los protocolos de cifrado VPN varían en velocidades, estándares de seguridad, movilidad y rendimiento general. Aquí hay algunos de los protocolos de cifrado VPN más utilizados en la industria:

  • IKEv2/IPSec: Seguro, estable y muy rápido.
  • OpenVPN: El mejor de su clase. Muy seguro, estable y bastante rápido.
  • WireGuard: es una adición reciente a la industria de las VPN y ofrece un impresionante equilibrio entre seguridad, fiabilidad y velocidades rápidas.
  • SoftEther: también es nuevo en el mercado y se considera seguro, estable y rápido.

¿Cuáles son los mejores estándares de cifrado VPN?

Diferentes VPN ofrecen distintos estándares de seguridad a sus usuarios.

Aunque es difícil decidir cuáles son los mejores estándares de cifrado VPN, aquí te presentamos los detalles técnicos básicos que debes buscar en una VPN:

  • Protocolos de intercambio de claves como RSA-2048 o ECDH.
  • Longitud de clave de cifrado de 256 bits.
  • Cifrados de grado militar como AES (GCM/CBC), Blowfish o Camellia.
  • Protocolos de cifrado VPN de alto rendimiento como OpenVPN, WireGuard, IKEv2/IPSec y SoftEther.
  • Cifrado SHA-2 para autenticación HMAC.
  • Soporte para Perfect Forward Secrecy (PFS).

Conclusión

El cifrado VPN es un concepto amplio y puede ser complicado de entender. Sin embargo, con los conceptos básicos mencionados anteriormente, ahora comprendes mejor cómo funciona el cifrado VPN.

Esto incluye varios algoritmos de cifrado, cifrados, protocolos de cifrado y otras técnicas utilizadas por diversos proveedores de VPN para garantizar la seguridad.

Si tienes dudas sobre qué servicio VPN seguro elegir, consulta la sección anterior sobre el mejor estándar de cifrado VPN.

Recuerda que no todas las VPN tienen en mente tu seguridad y privacidad; por lo tanto, es necesario llevar a cabo una investigación exhaustiva.

Preguntas frecuentes

Algunas personas encontraron útiles las respuestas a estas preguntas

¿Una VPN cifra todo?

Sí, una VPN cifra cada bit de información que envías y recibes mientras usas internet. Las VPN también ocultan tu dirección IP real y te asignan una dirección IP privada generada a partir del servidor VPN que estés utilizando en ese momento. De esta manera, puedes navegar por internet sin preocuparte.


¿Qué es el algoritmo de cifrado AES 256?

AES 256 es un algoritmo de cifrado que utiliza una clave privada de cifrado con una longitud de clave de 256 bits. AES también puede utilizar otros tamaños de clave de 128 y 192, pero 256 se considera el mejor en términos de estándares de seguridad en la industria.


¿Se puede romper el cifrado VPN?

No. El cifrado VPN no se puede romper cuando se implementa correctamente. Los proveedores de VPN de buena reputación toman precauciones para garantizar que tengas la mejor seguridad de su clase. Sin embargo, si eliges un proveedor de VPN de mala calidad o ajustas incorrectamente la configuración de seguridad de una VPN, es probable que te vuelvas vulnerable a ataques.


¿Es la VPN más segura que HTTPS?

Tanto las VPN como HTTPS son excelentes para cifrar tus datos en internet. Sin embargo, las VPN son más seguras y utilizan una amplia gama de técnicas de cifrado para lograr la máxima seguridad. Las VPN también cifran todo, incluida tu actividad de navegación, identidad en línea y más. HTTPS solo cifra tu tráfico web.


¿Se puede descifrar fácilmente AES 256?

Se podría decir que es prácticamente imposible romper el AES-256 bit. Puedes intentar descifrar versiones más bajas del cifrado, como el de 128 bits, pero llevaría recursos interminables y muchísimo tiempo romper el AES-256, incluso con supercomputadoras. Sin embargo, tu información o conexión pueden estar en riesgo si se implementan de manera deficiente.


Leave a Comment