«Conéctate a la VPN antes de abrir los sistemas internos» ── ese botón que pulsas cada mañana de teletrabajo, tal y como te indicaron. ¿Sabrías explicar qué hace en realidad? Si algo de esto te suena, sigue leyendo.
- Pulsas «Conectar VPN» cada mañana, pero no tienes ni idea de qué está haciendo
- Te dijeron que «usaras la VPN» en el Wi-Fi de la cafetería, pero nadie te explicó por qué
- No sabes si las «apps de VPN» de los anuncios de YouTube y la VPN de tu empresa son siquiera lo mismo
- En cuanto te conectas a la VPN, todo internet parece ir más lento
Una VPN (Virtual Private Network) es, en una frase, una línea privada que tu empresa jamás podría tender físicamente hasta tu casa ── construida virtualmente, en software. Pero esa frase no explica por qué el cifrado siempre forma parte de la historia, por qué hay varios tipos de VPN, ni qué puede y qué no puede hacer una VPN.
Este artículo no toca ni una pantalla de configuración y recorre:
- Los dos problemas que resuelve una VPN (§1)
- Tunelización y encapsulación ── un sobre dentro de un sobre (§2)
- Cifrado y autenticación ── qué son realmente esos segundos tras el botón de conectar (§3)
- Los tipos de VPN ── tres cosas distintas con un mismo nombre (§4)
- Túnel completo vs. túnel dividido (§5)
- Lo que una VPN no puede hacer (§6)
── tomando el camino más corto por la lógica de su funcionamiento, y nada más.
| Tu pregunta | Sección |
|---|---|
| ¿Qué hace en realidad? | §1 / §2 |
| ¿Qué son esos segundos tras pulsar conectar? | §3 |
| ¿La VPN de mi empresa es lo mismo que una app de VPN? | §4 |
| ¿Por qué todo va más lento con la VPN? | §5 |
| ¿Una VPN me hace seguro y anónimo? | §6 |
Este artículo es la primera entrega de profundización de nuestra serie «cómo funciona tu PC por dentro» (direcciones IP, DNS, firewalls y por qué la red de la oficina va lenta). Se sostiene por sí solo, pero leer antes las entregas de direcciones (IP) y defensa (firewall) hace que la cadena causa-efecto encaje de principio a fin.
1. Los dos problemas que resuelve una VPN
Antes de entrar en la mecánica, empecemos por el problema que esta herramienta nació para arreglar. Una VPN resuelve dos problemas de naturaleza muy distinta.
1-1. Problema A: tu tráfico puede ser espiado por el camino
Cuando te conectas a un sistema de la empresa desde casa o una cafetería, tus datos atraviesan tu operadora, el Wi-Fi público, equipos de telecomunicaciones ── un largo tramo de infraestructura que ni tú ni tu empresa controláis. Si alguien en ese tramo tiene malas intenciones, tu tráfico queda expuesto a espionaje y manipulación. El Wi-Fi público, en particular, es ── como vimos en el artículo del firewall ── un lugar donde completos desconocidos comparten red contigo.
1-2. Problema B: los servidores internos son sencillamente inalcanzables desde fuera
El otro problema llega antes incluso de hablar de seguridad. Los servidores de archivos y sistemas de negocio internos suelen tener solo direcciones IP privadas (la «dirección de dentro de casa» del artículo de direcciones IP). Esas direcciones internas viven detrás de NAT, la ventanilla de traducción, y no pueden señalarse como destino desde el lado de internet ── así que olvida el espionaje: desde fuera, tus paquetes físicamente no pueden llegar. Y delante de todo eso se alza un firewall, rechazando el tráfico entrante por norma.
Problema A ── espiado por el camino
PC de casa ──→ Wi-Fi público ──→ operadora ──→ ... ──→ oficina
└──── tramo que ni tú ni tu empresa controláis ────┘
un actor malicioso en cualquier punto = espionaje, manipulación
Problema B ── los servidores internos no se alcanzan desde fuera
PC de casa ──→ internet ──→ ✕ firewall («tráfico entrante: no, por defecto»)
✕ NAT («las direcciones internas no se pueden señalar desde fuera»)
└─ y detrás de todo: el servidor interno (192.168.x.x)
1-3. Una herramienta, ambos problemas
Una VPN resuelve los dos a la vez: cifra todo tu tráfico para arreglar el problema A, y «cablea virtualmente» tu máquina dentro de la red de la empresa para arreglar el problema B. Las siguientes secciones toman los dos mecanismos de uno en uno.
«Ya tenemos HTTPS, ¿para qué una VPN?» es una pregunta justa. HTTPS protege exactamente una conversación: tu navegador y ese único sitio. Una VPN protege todo lo que sale de tu PC, envolviendo incluso la información de destino que dice adónde intentas conectarte. Su cobertura es un nivel más amplia.
2. Tunelización y encapsulación ── un sobre dentro de un sobre
2-1. El tráfico normal viaja como postales
Los datos que fluyen por una red (los paquetes) son, por analogía, una postal. Destinatario y remitente van escritos donde cualquier equipo de la ruta puede leerlos. Cada equipo lee la dirección y pasa la postal al siguiente. Eso es internet funcionando exactamente como fue diseñado ── pero dale la vuelta y significa que cualquiera en la ruta puede leer la dirección.
2-2. Encapsulación ── la postal entra en un sobre
Aquí es donde la VPN cambia las reglas. En lugar de enviar la postal tal cual, mete la postal entera dentro de un sobre y escribe otra dirección por fuera. Esto se llama encapsulación (envolver un paquete dentro de otro).
Encapsulación ── un sobre dentro de un sobre
La postal original: [Para: servidor interno | Contenido: datos de trabajo]
↓ cifrada, al sobre
El sobre: [Para: pasarela VPN de la empresa | Contenido: ●●●●●●●● (ilegible)]
Lo que ve la ruta:
«un sobre dirigido a la pasarela VPN de la empresa» ── y nada más
Aquí importan dos cosas.
- El contenido (la postal original) está cifrado ── sin la llave, no se puede leer
- El exterior del sobre lleva exactamente una dirección: la pasarela VPN de la empresa. A qué servidor interno va dirigida la postal de dentro ── o qué datos son siquiera ── resulta invisible desde la ruta
A este pasadizo dedicado por el que fluyen sobres lo llamamos, por metáfora visual, túnel. La palabra invita a imaginar una línea física privada ── pero los sobres viajan en realidad por el internet público de siempre. Circular por la vía pública sin que nadie pueda ver el interior: eso es lo que le permite comportarse como una línea privada. Eso significa exactamente «Virtual Private».
2-3. Abierto en la oficina ── qué es realmente «fingir estar en la oficina»
Cuando el sobre llega a la pasarela VPN de la empresa, esta lo abre con la llave, saca la postal y la suelta directamente en la red interna. Para un servidor interno, esa postal parece un paquete cualquiera originado dentro de la oficina. Tu PC puede estar en tu salón, pero tu tráfico parte de una dirección interna ── ese es todo el truco detrás de «actuar como si hubieras enchufado el cable de red en la oficina». Las respuestas hacen el mismo viaje a la inversa, selladas en sobres y transportadas de vuelta a casa.
Túnel ≠ línea privada ≠ línea más rápida. El túnel es «circular por la vía pública en sobres sellados» ── nunca hace más rápida la propia vía. Si acaso, los sobres añaden peso a cada carga (§5).
3. Cifrado y autenticación ── la llave del sobre y el portero de la entrada
3-1. Cifrado ── un sobre que no se abre sin la llave
Lo que protege el contenido del sobre es el cifrado. Los datos se transforman con llaves que solo conocen tu máquina y la pasarela VPN de la empresa; para cualquier tercero sin la llave, son ruido sin sentido. Aunque alguien arranque un sobre de la ruta, el contenido sigue sellado. Las VPN suelen clasificarse por su esquema de cifrado (IPsec, basadas en TLS, WireGuard, etcétera), pero la estructura ── «transportado en un sobre con llave» ── es la misma en todas.
3-2. Autenticación ── el portero en la boca del túnel
El otro pilar es la autenticación. La boca del túnel es una entrada a la red de la empresa ── así que, a menos que la pasarela confirme primero que quien envía los sobres es de verdad un empleado, ningún cifrado por fuerte que sea significa nada. El estándar actual combina usuario y contraseña con un certificado en el dispositivo y autenticación multifactor en el móvil.
¿Esos segundos de espera tras pulsar «Conectar VPN»? Ahí ocurren la verificación de identidad y el intercambio de llaves de cifrado. Esos segundos son el portero y el cerrajero haciendo su trabajo en la boca del túnel.
Si las credenciales de la VPN se ven comprometidas, el atacante obtiene el equivalente a «estar enchufado a una toma de red dentro de tu oficina». Por eso reutilizar contraseñas en una cuenta VPN se considera especialmente peligroso. Para construir contraseñas fuertes, nuestro generador de contraseñas puede ayudar.
4. Los tipos de VPN ── tres cosas distintas con un mismo nombre
Las cosas llamadas «VPN» se dividen en tres herramientas distintas según dónde están los dos extremos del túnel. La mayor parte de la confusión se disuelve al hacer esta distinción.
4-1. VPN de acceso remoto ── conecta a una persona con una empresa
Es todo lo descrito hasta ahora: un túnel entre un PC individual y la red de la empresa. El botón «Conectar VPN» del teletrabajo es de este tipo. Un extremo del túnel es tu PC; el otro, la pasarela VPN de la empresa.
4-2. VPN sitio a sitio ── conecta una oficina con otra oficina
Este tipo mantiene un túnel permanente entre dos sedes. Los routers de, digamos, la oficina de Madrid y la de Sevilla quedan unidos por un túnel, y las dos sedes se comportan como una sola red interna. Los empleados no pulsan nada ── el túnel está siempre levantado en el borde de cada sede, y que los usuarios no noten su existencia es el estado normal de este tipo de VPN.
4-3. Servicios VPN de consumo ── conectan a una persona con un proveedor de VPN
Las «apps de VPN» de los anuncios son de este tipo. Un extremo del túnel es tu PC ── pero el otro extremo es el servidor de un proveedor de VPN, no ninguna empresa tuya. No te mete en ninguna red interna. Sus propósitos son dos: ① cifrar el tramo más cercano a ti (Wi-Fi público y similares), y ② cambiar tu dirección aparente por la ubicación del servidor del proveedor.
| VPN de acceso remoto | VPN sitio a sitio | Servicio VPN de consumo | |
|---|---|---|---|
| Extremos del túnel | Tu PC ↔ empresa | Sede ↔ sede | Tu PC ↔ proveedor VPN |
| Propósito principal | Llegar a sistemas internos desde fuera | Fusionar sedes en una red | Cifrar la ruta, cambiar la salida |
| Qué haces tú | Pulsar conectar | Nada (siempre activo) | Activar la app |
| ¿Te mete en una empresa? | Sí | (invisible para empleados) | No |
Servicio VPN de consumo = herramienta de anonimato. No lo es. El proveedor de VPN está en la salida del túnel y ve el destino de todo lo que haces. La parte capaz de espiarte cambió de «una multitud indeterminada a lo largo de la ruta» a «una empresa de VPN» ── no te volviste anónimo, reubicaste tu confianza. Elegir proveedor es elegir tu seguridad.
5. Túnel completo vs. túnel dividido ── qué entra en el túnel
5-1. ¿Envolverlo todo, o solo lo que va a la oficina?
Las VPN de acceso remoto afrontan una gran bifurcación de diseño: de todo el tráfico que sale de tu PC, ¿cuánto entra en el túnel?
Túnel completo ── cada paquete entra en un sobre
PC de casa ━━━ túnel ━━━→ oficina ──→ sistemas internos
└──→ internet (web, vídeo ── todo sale por la oficina)
Túnel dividido ── solo lo que va a la oficina lleva sobre
PC de casa ━━━ túnel ━━━→ oficina ──→ sistemas internos
└─────────────────→ internet (la web va directa desde casa)
- Túnel completo: con destino a la oficina o a internet, todo se mete en sobres y sale a través de la empresa. La empresa puede inspeccionar y registrar todo el tráfico en su propia salida ── la gestión queda centralizada. El coste: hasta la navegación corriente se desvía por la oficina
- Túnel dividido: solo el tráfico hacia sistemas internos entra en el túnel; lo demás sale directo desde casa. El desvío desaparece y todo va ágil ── a cambio, nace tráfico que la empresa no puede ver
5-2. Ninguno de los dos es «el correcto»
Aquí no hay una única respuesta correcta, porque la elección es una cuestión de política de empresa: qué debe protegerse y qué debe ser auditable. Los sectores con controles de información estrictos tienden al túnel completo; las organizaciones que priman la agilidad y el coste de línea, al dividido. Cuál eligió tu empresa decide en gran parte lo rápido que se siente el teletrabajo ── si «conectarme a la VPN ralentiza todo internet» te suena a tu vida, es casi seguro el desvío del túnel completo. La causa-efecto de esa lentitud está diagramada en el §4 de «¿Por qué la red de la oficina va tan lenta?».
Ensobrar (encapsulación) y cifrar cobran una tarifa fija. El sobre ocupa espacio que la carga útil podría haber usado, y sellar y abrir consumen capacidad de proceso de la pasarela VPN. «Una VPN es ligeramente más lenta que la línea desnuda» no es una avería ── es estructural.
6. Lo que una VPN no puede hacer ── cuatro puntos contra el exceso de confianza
Una VPN es una herramienta potente, pero «estoy en la VPN, así que estoy a salvo» es un nivel de confianza peligroso. Esto es lo que no puede hacer, dicho sin rodeos.
6-1. No detiene el malware
Una VPN transporta el contenido del sobre ── no le interesa en absoluto si ese contenido es seguro. Una descarga maliciosa se envuelve en el mismo sobre cifrado y se entrega con la misma cortesía. El antivirus es su propio trabajo, a cargo de sus propias herramientas.
6-2. No oculta lo que haces en el destino
Una VPN oculta «la ruta» ── nada más. El sitio web o servicio al que te conectas ve todo lo que haces tras iniciar sesión, exactamente como siempre. Pasada la salida del túnel, es simplemente el internet de siempre.
6-3. En una VPN de empresa, tu actividad se vuelve más visible, no menos
En una VPN de acceso remoto (sobre todo de túnel completo), todo tu tráfico pasa por la salida de la empresa. Desde el lado de los administradores, tu tráfico no está nada oculto ── es visible y queda registrado igual que si estuvieras en tu mesa de la oficina. No va de vigilancia; es que la maquinaria que protege los activos y datos de la empresa está diseñada para funcionar así.
6-4. La propia pasarela VPN se convierte en objetivo
La entrada de la VPN es una de las pocas puertas que una empresa deja abiertas al exterior. La lógica del artículo del firewall ── toda puerta abierta es superficie de ataque ── se aplica aquí por completo, y explotar vulnerabilidades de equipos VPN se ha convertido en una vía clásica para entrar en las empresas. Una VPN es un equipo de defensa que, sin parches, se convierte en la mayor debilidad.
Resumen ── la esencia en 4 líneas
- Una VPN resuelve dos problemas a la vez ── «espiado por el camino» e «inalcanzable desde fuera» ── con cifrado más cableado virtual
- El mecanismo central es la encapsulación: la postal entra en un sobre cifrado dirigido a la empresa y viaja por la vía pública (internet). Como lo abre la empresa, tu PC consigue «fingir que está en la oficina»
- «VPN» nombra tres cosas distintas, según dónde están los extremos del túnel (persona↔empresa / sede↔sede / persona↔proveedor). Un servicio VPN de consumo no es una herramienta de anonimato ── es una reubicación de la confianza
- Túnel completo vs. dividido es un equilibrio velocidad-control. Y una VPN no detiene malware mientras su propia pasarela atrae ataques ── no es un escudo universal
Las direcciones y NAT viven en ¿Qué es una dirección IP?, la defensa contra el tráfico entrante en ¿Qué pasa sin un firewall?, y la verdad tras la lentitud con sabor a VPN en ¿Por qué la red de la oficina va tan lenta?. Junto con este artículo, el cuadro completo de «conectarse a la oficina desde fuera» se une en un solo mapa.
Preguntas frecuentes
P1. ¿Usar una VPN me hace anónimo?
R. No. En una VPN de empresa, los administradores ven tu tráfico igual que en la oficina (§6-3). En un servicio VPN de consumo, el proveedor en la salida del túnel ve cada destino ── y cualquier sitio en el que inicies sesión sabe, obviamente, quién eres. Lo único que cambia una VPN es si los terceros a lo largo de la ruta pueden verte. No es una herramienta de anonimato (ver el error común del §4).
P2. Si solo visito sitios HTTPS, ¿sigo necesitando una VPN?
R. Protegen ámbitos distintos. HTTPS protege el contenido de una conversación entre tu navegador y un sitio ── no oculta a qué sitio te conectas, y no hace nada por las aplicaciones que no lo usan. Una VPN envuelve todo el tráfico que sale de tu PC, destinos incluidos (el Tip del §1). Y el problema B ── entrar en la red de la empresa (§1-2) ── es algo que HTTPS no puede resolver en absoluto.
P3. Mientras estoy en la VPN de la empresa, ¿puede la empresa ver mi tráfico personal?
R. En un túnel completo, estructuralmente sí ── todo pasa por la salida de la empresa, así que es visible si alguien decide mirar (§5, §6-3). En un túnel dividido, el tráfico no laboral nunca toca la empresa. Qué diseño tienes y qué se registra realmente es política de empresa ── consulta las normas si te importa. La suposición segura: el tráfico de un PC de trabajo es visible, punto.
P4. ¿Es seguro usar apps de VPN gratuitas?
R. Sé prudente. Como mostró el §4, un servicio VPN de consumo es una reubicación de confianza ── el proveedor ve el destino de todo tu tráfico. Si el servicio es gratis, hay que preguntarse qué cubre los costes de operación: publicidad, análisis o venta de datos de tráfico, u otra cosa. Puedes acabar entregando voluntariamente a una empresa justo la información que querías proteger.
P5. ¿Por qué internet va más lento mientras estoy en la VPN?
R. Dos causas principales. ① En un túnel completo, hasta la navegación corriente toma el desvío físico «casa → oficina → sitio → oficina → casa» (§5). ② Al coste fijo de la encapsulación y el cifrado se suma que, cuando los teletrabajadores se amontonan sobre una pasarela VPN, la capacidad de proceso del propio aparato se atasca. Para el «mapa de la lentitud» completo de una red de empresa, este artículo te deja trabajar hacia atrás desde los síntomas.
Deja una respuesta