VPN o Vpwn: ¿Cuánto miedo debes tener a la identificación del tráfico VPN?

En los últimos años, los gobiernos de todo el mundo han intensificado sus esfuerzos por controlar y restringir el uso de las Redes Privadas Virtuales (VPN). Desde la orden de 2022 de la India que exige a los proveedores de VPN que registren los datos de los usuarios, hasta los intentos de Rusia e Irán de prohibir totalmente los servicios de VPN, los responsables políticos ven cada vez más las VPN no como herramientas para la privacidad y la seguridad, sino como obstáculos para el control.

Pero, ¿hasta qué punto es fácil para un gobierno o un proveedor de servicios de Internet (ISP) detectar y bloquear el tráfico VPN? ¿Deben temer los usuarios de a pie que sus conexiones VPN dejen pronto de funcionar?

Estas fueron las preguntas que nos propusimos explorar en nuestro reciente estudio, “¿VPN o Vpwn? ¿Hasta qué punto debes temer la identificación del tráfico VPN?”, presentado en la Conferencia sobre Medición y Análisis del Tráfico de Red (TMA 2025).

Los servicios VPN más populares están en peligro

Al examinar los distintos protocolos de tunelización – OpenVPN, WireGuard, TLS, IPSec/IKEv2, SSH y alternativas propietarias – de siete servicios VPN populares, como NordVPN, ExpressVPN, ProtonVPN, VyprVPN, Windscribe, Perfect Privacy y WARP de Cloudflare, descubrimos:

• OpenVPN es vulnerable. Sigue siendo uno de los protocolos más utilizados, pero es sorprendentemente fácil de identificar y bloquear. A menos que utilice modos especiales como la “clave precompartida”, que son más difíciles de escalar, OpenVPN suele ser detectado por los filtros a nivel de ISP.
• WireGuard tampoco es inmune. Aunque es más moderno y eficaz, WireGuard deja patrones reveladores en sus paquetes de apretón de manos que lo hacen detectable.
• Las VPN basadas en TLS y SSH son más complicadas de detectar. Como parecen tráfico web normal o shell seguro, las VPN que utilizan TLS 1.3 o SSH son mucho más difíciles de bloquear sin interrumpir accidentalmente los servicios legítimos. Algunos proveedores de VPN (como el modo Sigilo de ProtonVPN o el Camaleón de VyprVPN) ya lo utilizan.
• El bloqueo puede causar daños colaterales. Protocolos como IPSec se utilizan ampliamente en redes móviles (por ejemplo, para llamadas VoLTE) y sistemas corporativos. Intentar bloquearlos directamente podría interrumpir servicios esenciales, lo que hace que los gobiernos sean más cautelosos.

¿Pueden contraatacar las VPN?

El estudio no sólo analizó la detección, sino también cómo pueden resistirse a ella las VPN. Destacaron algunas estrategias clave:

• Escondido a plena vista. Las VPN pueden mezclarse con el tráfico web modificando campos de metadatos específicos (como disfrazar la información del apretón de manos TLS).
• Patrones de división entre paquetes. Ajustar el tamaño de los paquetes puede dispersar los marcadores de identificación, confundiendo a las middleboxes que intentan escanear el tráfico.
• Paquetes ficticios o malformados. Enviar “ruido” junto a datos reales puede perturbar los algoritmos de filtrado sencillos.

También propusimos un nuevo método para OpenVPN que utiliza apretones de manos criptográficos por sesión para ocultar la información identificable sin sacrificar la escalabilidad.

Por qué es importante

Nuestros resultados ponen de relieve un punto crucial para los responsables políticos y el público: bloquear las VPN no es tan sencillo como podría parecer.

Sí, algunos protocolos como OpenVPN pueden ser identificados y restringidos. Sin embargo, muchas alternativas, especialmente las que utilizan TLS y SSH, son mucho más resistentes. Peor aún (para los censores), al bloquearlos se corre el riesgo de interrumpir servicios esenciales utilizados en las comunicaciones cotidianas y en las empresas.

Para los usuarios normales, la conclusión es que no todas las VPN son iguales. Elegir un proveedor que admita protocolos avanzados u ofuscados puede marcar la diferencia entre seguir conectado o quedarse incomunicado.

Nuestras conclusiones también apuntan hacia mejoras prácticas de diseño para los proveedores de VPN, como disfrazar los mensajes de autenticación o adoptar esquemas de ofuscación escalables que podrían hacer que sus servicios fueran mucho más complicados de censurar.

La lucha entre la censura y la elusión se describe a menudo como un “juego del gato y el ratón”. Nuestro estudio demuestra que esto sigue siendo cierto en el espacio de las VPN. Los gobiernos pueden intentar bloquear las VPN, pero muchos servicios disponen de herramientas para eludir la detección, y las prohibiciones rotundas pueden resultar contraproducentes al perturbar los sistemas legítimos.

Mientras continúan los debates sobre privacidad, vigilancia y libertad en Internet, los responsables políticos deben reconocer la complejidad técnica de sus esfuerzos. Bloquear las VPN puede parecer atractivo en teoría, pero en la práctica, supone un riesgo de daños colaterales y empuja a los usuarios hacia herramientas más sofisticadas.

Esperamos que al arrojar luz sobre lo que hace que las VPN sean identificables, podamos informar de una conversación más matizada sobre la gobernanza de Internet.

Los interesados en el análisis técnico detallado pueden leer nuestro documento ¿VPN o Vpwn? ¿Cuánto miedo debes tener a la identificación del tráfico VPN? (TMA 2025).

Tanmay Rajore es investigador de seguridad informática especializado en privacidad, criptografía y seguridad de redes.

Las opiniones expresadas por los autores de este blog son suyas y no reflejan necesariamente los puntos de vista de la Internet Society.

Contenido traducido

El contenido en francés y español disponible en Internet Society Pulse puede haber sido generado usando servicios de traducción automática, por lo que podría no reflejar con total precisión el texto original.

La versión oficial es el texto en inglés.