VPN o Vpwn: ¿Hasta qué punto debe temer la identificación del tráfico VPN?

En los últimos años, los gobiernos de todo el mundo han intensificado sus esfuerzos para vigilar y restringir el uso de las redes privadas virtuales (VPN). Desde la orden de 2022 de la India que exige a los proveedores de VPN que registren los datos de los usuarios, hasta los intentos de Rusia e Irán de prohibir totalmente los servicios de VPN, los responsables políticos ven cada vez más las VPN no como herramientas para la privacidad y la seguridad, sino como obstáculos para el control.

Pero, ¿hasta qué punto es fácil para un gobierno o un proveedor de servicios de Internet (ISP) detectar y bloquear el tráfico VPN? ¿Deben temer los usuarios de a pie que sus conexiones VPN dejen pronto de funcionar?

Estas fueron las preguntas que nos propusimos explorar en nuestro reciente estudio, "¿VPN o Vpwn? ¿Hasta qué punto debe temer la identificación del tráfico VPN?", presentado en la Conferencia sobre Medición y Análisis del Tráfico de Red (TMA 2025).

Al examinar los diferentes protocolos de tunelización - OpenVPN, WireGuard, TLS, IPSec/IKEv2, SSH y alternativas propietarias - de siete servicios VPN populares, incluyendo NordVPN, ExpressVPN, ProtonVPN, VyprVPN, Windscribe, Perfect Privacy y WARP de Cloudflare, descubrimos:

• OpenVPN es vulnerable. Sigue siendo uno de los protocolos más utilizados y es sorprendentemente fácil de identificar y bloquear. A menos que utilice modos especiales como la "clave precompartida", que son más difíciles de escalar, OpenVPN puede ser detectado normalmente por los filtros a nivel de ISP.
• WireGuard tampoco es inmune. Aunque es más moderno y eficaz, WireGuard deja patrones reveladores en sus paquetes de apretón de manos que lo hacen detectable.
• Las VPN basadas en TLS y SSH son más complicadas de detectar. Como parecen tráfico web normal o shell seguro, las VPN que utilizan TLS 1.3 o SSH son mucho más difíciles de bloquear sin interrumpir accidentalmente los servicios legítimos. Algunos proveedores de VPN (como el modo Stealth de ProtonVPN o el Chameleon de VyprVPN) ya utilizan este sistema.
• El bloqueo puede causar daños colaterales. Protocolos como IPSec se utilizan ampliamente en las redes móviles (por ejemplo, para las llamadas VoLTE) y en los sistemas corporativos. Intentar bloquearlos rotundamente podría romper servicios esenciales, lo que hace que los gobiernos sean más cautelosos.

El estudio no se limitó a analizar la detección; también exploró cómo las VPN pueden resistirse a ella. Destacaron algunas estrategias clave:

• Ocultarse a plena vista. Las VPN pueden mezclarse con el tráfico web modificando campos de metadatos específicos (como disfrazar la información del apretón de manos TLS).
• Dividir los patrones entre paquetes. Ajustar el tamaño de los paquetes puede dispersar los marcadores de identificación, confundiendo a las middleboxes que intentan escanear el tráfico.
• Paquetes ficticios o malformados. El envío de "ruido" junto a datos reales puede perturbar los algoritmos de filtrado sencillos.

También propusimos un nuevo método para OpenVPN que utiliza apretones de manos criptográficos por sesión para ocultar la información identificable sin sacrificar la escalabilidad.

Nuestros resultados ponen de relieve un punto crucial para los responsables políticos y el público: bloquear las VPN no es tan sencillo como podría parecer.

Sí, algunos protocolos como OpenVPN pueden ser identificados y restringidos. Sin embargo, muchas alternativas, especialmente las que utilizan TLS y SSH, son mucho más resistentes. Peor aún (para los censores), al bloquearlos se corre el riesgo de interrumpir servicios esenciales utilizados en las comunicaciones cotidianas y en las empresas.

Para los usuarios normales, la conclusión es que no todas las VPN son iguales. Elegir un proveedor que admita protocolos avanzados u ofuscados puede marcar la diferencia entre seguir conectado o quedarse incomunicado.

Nuestros hallazgos también apuntan hacia mejoras prácticas de diseño para los proveedores de VPN, como disfrazar los mensajes de autenticación o adoptar esquemas de ofuscación escalables que podrían hacer que sus servicios fueran mucho más complicados de censurar.

La lucha entre la censura y la elusión se describe a menudo como un "juego del gato y el ratón". Nuestro estudio demuestra que esto sigue siendo cierto en el espacio de las VPN. Los gobiernos pueden intentar bloquear las VPN, pero muchos servicios disponen de herramientas para eludir la detección, y las prohibiciones rotundas pueden resultar contraproducentes al perturbar los sistemas legítimos.

Mientras continúan los debates sobre la privacidad, la vigilancia y la libertad en Internet, los responsables políticos deben reconocer la complejidad técnica de sus esfuerzos. Bloquear las VPN puede sonar atractivo en teoría, pero en la práctica, supone un riesgo de daños colaterales y empuja a los usuarios hacia herramientas más sofisticadas.

Esperamos que al arrojar luz sobre lo que hace que las VPN sean identificables, podamos informar de una conversación más matizada sobre la gobernanza de Internet.

Para aquellos interesados en el análisis técnico detallado, por favor lean nuestro documento ¿VPN o Vpwn? ¿Hasta qué punto debe temer la identificación del tráfico VPN? (TMA 2025).

Tanmay Rajore es un investigador en seguridad informática especializado en privacidad, criptografía y seguridad de redes.

Las opiniones expresadas por los autores de este blog son suyas y no reflejan necesariamente los puntos de vista de la Internet Society.