Cómo funciona realmente el cifrado de una VPN: AES-256, el apretón de manos y el tunelizado, sin misterios
Cómo funciona realmente el cifrado de una VPN: AES-256, el apretón de manos y el tunelizado, sin misterios
La mayoría de las explicaciones sobre el cifrado de las VPN se quedan en un eslogan tranquilizador: "tu tráfico está protegido con cifrado de grado militar AES-256." Eso no te dice casi nada sobre lo que realmente le ocurre a tus datos. La parte interesante —la que casi todos los artículos de la competencia se saltan— es la jugada inicial de cada conexión segura, donde dos ordenadores que nunca se han visto acuerdan una clave secreta mientras una red hostil observa cada byte que intercambian.
Este artículo sigue a un único paquete de tus datos a lo largo de todo su ciclo de vida: el apretón de manos (handshake), el intercambio de claves, el cifrado simétrico que hace el trabajo de verdad, el tunelizado que lo envuelve todo y el descifrado en el otro extremo. Por el camino explicaremos qué es genuinamente AES-256, por qué la expresión "grado militar" es marketing y no una especificación técnica, y dónde empieza y termina realmente tu protección. Sin rodeos ni alarmismos.
Los dos tipos de criptografía, y por qué una VPN necesita ambos
Antes de rastrear un paquete, necesitas una idea fundamental: existen dos familias de cifrado radicalmente distintas, y una VPN usa cada una para una tarea diferente.
El cifrado simétrico usa una única clave compartida tanto para bloquear como para desbloquear. El mismo secreto cifra los datos y los descifra. Es extremadamente rápido: las CPU modernas cifran datos simétricos a gigabytes por segundo mediante instrucciones AES dedicadas (los chips de Intel y AMD incorporan aceleración por hardware AES-NI desde alrededor de 2010). La pega es evidente: ambas partes necesitan la misma clave, y no puedes simplemente enviar una clave secreta a través de una red no confiable donde hay fisgones escuchando.
El cifrado asimétrico (criptografía de clave pública) usa un par de claves vinculadas matemáticamente: una clave pública que cualquiera puede conocer y una clave privada que permanece secreta. Lo que se bloquea con una solo puede desbloquearse con la otra. Esto resuelve con elegancia el problema de la distribución de claves —puedes compartir una clave pública abiertamente—, pero es mucho más lento y poco práctico para cifrar un flujo continuo de tráfico.
El truco elegante en el corazón de toda VPN (y de todo sitio web HTTPS) consiste en combinarlos: usar las lentas matemáticas asimétricas una sola vez, al principio, con el único fin de acordar una clave simétrica rápida. Luego se descarta la maquinaria pesada y se deja que el cifrado rápido haga todo el trabajo a granel. Esa negociación inicial se llama el apretón de manos.
Paso 1: El apretón de manos y el intercambio de claves
Cuando tu aplicación de VPN se conecta, tu dispositivo y el servidor VPN realizan un apretón de manos antes de que un solo byte de tu navegación quede protegido. El objetivo es concreto y específico: terminar con una clave simétrica idéntica en ambas máquinas que ningún observador haya podido calcular, y confirmar que el servidor es quien dice ser.
La autenticación va primero. El servidor presenta un certificado que contiene su clave pública, y tu cliente verifica una firma digital para confirmar que está hablando con el servidor real y no con un impostor que ejecuta un ataque de máquina intermediaria (machine-in-the-middle). Aquí es donde suelen entrar en juego las firmas RSA o ECDSA.
Luego viene el acuerdo de claves, y este es el paso que merece la pena entender. Las VPN modernas usan Diffie-Hellman, casi siempre su variante de curva elíptica ECDH. Diffie-Hellman es una pieza matemática extraordinaria: ambas partes intercambian valores públicos abiertamente, cada una combina el valor público de la otra con su propio secreto privado y —gracias a la teoría de números subyacente— las dos llegan de forma independiente al mismo secreto compartido. Un fisgón que hubiera capturado todo lo enviado por el cable aun así no puede deducir ese secreto, porque las mitades privadas nunca viajan a ninguna parte.
El propósito íntegro del apretón de manos es fabricar un secreto compartido a plena vista: una clave que ambos extremos calculan de forma idéntica y que, sin embargo, ningún observador puede reconstruir a partir del tráfico que vio pasar.
A partir de ese secreto compartido, ambas partes derivan las claves de sesión simétricas que cifrarán tu tráfico real. El costoso paso de clave pública ha terminado. En WireGuard, este intercambio se construye sobre Curve25519; en OpenVPN e IKEv2/IPsec, se negocia como parte del apretón de manos TLS o IKE. Los nombres concretos difieren, pero la forma es idéntica en todos ellos.
Paso 2: Qué es realmente AES-256
Con una clave simétrica compartida en su poder, la VPN pasa a su cifrado de caballo de batalla: lo más habitual es AES, el Estándar de Cifrado Avanzado (Advanced Encryption Standard). AES fue estandarizado por el Instituto Nacional de Estándares y Tecnología de EE. UU. (NIST) en 2001, seleccionado mediante un concurso público abierto; el algoritmo ganador se llamaba originalmente Rijndael, diseñado por los criptógrafos belgas Joan Daemen y Vincent Rijmen.
Esto es lo que el marketing rara vez explica. AES es un cifrado de bloque: cifra los datos en bloques fijos de 128 bits (16 bytes cada vez). El "256" se refiere a la longitud de la clave —256 bits—, no al tamaño del bloque. AES procesa cada bloque a través de múltiples rondas de sustitución, permutación y mezcla: AES-128 usa 10 rondas, AES-192 usa 12 y AES-256 usa 14 rondas. Más rondas y una clave más larga suponen un mayor margen de seguridad, a un pequeño coste de rendimiento.
Tamaño de bloque: 128 bits, idéntico para toda variante de AES.
Longitud de clave: 128, 192 o 256 bits; esta es la única diferencia a la que alude el número.
Rondas: 10 / 12 / 14 respectivamente; más pasadas de transformación para claves más largas.
El modo importa: el AES en bruto necesita un modo de operación (como GCM o CBC) para cifrar flujos de forma segura; una VPN usa un modo autenticado, nunca cifrado de bloque en bruto.
"Cifrado de grado militar": desmontando la etiqueta
"Cifrado de grado militar" es una expresión de marketing, no una certificación técnica. No existe ningún organismo de estándares que selle un software como de grado militar. Lo que los proveedores quieren decir es que AES-256 está aprobado por la Agencia de Seguridad Nacional de EE. UU. para proteger información clasificada hasta el nivel ALTO SECRETO (TOP SECRET), lo cual es cierto, pero esa misma directriz de la NSA también aprueba AES-128 para datos de nivel SECRETO (SECRET). Ambos son AES; ambos se consideran seguros.
La versión honesta es esta: AES-128 y AES-256 son, hasta donde sabe el criptoanálisis público, prácticamente imposibles de romper por fuerza bruta. Una clave de 128 bits tiene 2^128 valores posibles, aproximadamente 340 undecillones. Aunque requisaras todos los ordenadores de la Tierra, no romperías por fuerza bruta una sola clave AES-128 antes de que el Sol se apague. El espacio de claves de 2^256 de AES-256 no es "el doble" de fuerte; es de nuevo astronómicamente mayor, pero ya estabas mucho más allá del punto de un ataque práctico. La diferencia en el mundo real entre AES-128 y AES-256 frente a la fuerza bruta es, a todos los efectos prácticos, nula: ambos están fuera de alcance.
¿Por qué preferir entonces AES-256? En parte por margen frente a futuros avances criptoanalíticos, y en parte porque la computación cuántica (más sobre esto abajo) reduce teóricamente a la mitad la fortaleza efectiva de la clave, lo que deja a AES-256 con un colchón más holgado. Pero si una VPN te protege, no es por la diferencia entre 128 y 256 bits. Es por todo lo que rodea al cifrado: el apretón de manos, la gestión de claves, la implementación. Un cifrado impecable con un apretón de manos defectuoso no protege nada.
Paso 3: Tunelizado — envolver el paquete
Ahora, los datos en sí. Supongamos que solicitas una página web. Tu dispositivo construye un paquete IP normal: una cabecera que indica la dirección de destino y una carga útil (payload) que contiene tu petición. Sin una VPN, ese paquete viaja por la red de tu ISP con su destino —y a menudo su contenido— a la vista.
Con una VPN, se produce la encapsulación. El cliente VPN toma tu paquete original completo —cabecera incluida— y lo cifra hasta convertirlo en un bloque ilegible usando la clave de sesión simétrica. Luego envuelve ese bloque dentro de un nuevo paquete exterior. La cabecera del paquete exterior solo le dice una cosa al mundo exterior: este es tráfico que va hacia el servidor VPN. Tu destino original queda sellado dentro de la carga útil cifrada.
Eso es el "túnel." No es una tubería física; es esta disposición de muñecas rusas donde tu paquete real se convierte en la carga cifrada de uno nuevo. Cualquiera que observe tu red local —tu ISP, alguien en el mismo wifi de la cafetería, un operador de red— ve paquetes cifrados fluyendo hacia la dirección IP de un servidor VPN y nada sobre lo que hay dentro ni adónde se dirige en última instancia.
Paquete original: tu destino real + tus datos; visible sin una VPN.
Carga útil cifrada: ese paquete entero, revuelto con la clave de sesión.
Nueva cabecera exterior: dirigida únicamente al servidor VPN; todo lo que un fisgón puede leer.
Resultado: los observadores se enteran de que usas una VPN y de cuántos datos circulan, pero no de su contenido ni de su destino final.
Paso 4: Descifrado en el servidor y el viaje de vuelta
El paquete envuelto llega al servidor VPN. El servidor posee la clave de sesión simétrica correspondiente, así que descifra la carga útil exterior, recupera tu paquete original y lee su verdadero destino. A continuación reenvía esa petición hacia el resto de internet en tu nombre, pero ahora la petición parece originarse desde la dirección IP del servidor, no la tuya. Por esto una VPN cambia tu ubicación aparente.
El sitio web responde al servidor VPN. El servidor cifra esa respuesta con la misma clave de sesión, la encapsula y la envía de vuelta por el túnel hacia tu dispositivo, que la descifra. Cada ida y vuelta repite esto: cifrar, encapsular, transmitir, desencapsular, descifrar. Como el cifrado simétrico está acelerado por hardware, esto añade solo una pequeña sobrecarga; la latencia que notas se debe sobre todo al rodeo físico que da tu tráfico a través del servidor, no a las matemáticas.
No es solo secreto: integridad y autenticación
El cifrado oculta tus datos, pero por sí solo no demuestra que los datos llegaron sin alteraciones. Un atacante sofisticado a veces puede invertir bits en el texto cifrado para corromper o manipular el texto plano sin llegar a descifrarlo. Las VPN seguras se defienden de esto con comprobaciones de integridad y autenticación, no solo de confidencialidad.
Los diseños más antiguos añaden un HMAC independiente (código de autenticación de mensajes basado en hash): una etiqueta criptográfica calculada sobre el paquete para que el receptor pueda detectar cualquier manipulación. Los diseños modernos usan cifrados AEAD —cifrado autenticado con datos asociados (Authenticated Encryption with Associated Data)—, que funden cifrado e integridad en una sola operación. AES-GCM y ChaCha20-Poly1305 son las dos construcciones AEAD dominantes. Si se altera aunque sea un solo bit de un paquete AEAD en tránsito, la etiqueta de autenticación no verifica y el paquete se descarta en lugar de aceptarse como fiable.
ChaCha20-Poly1305 merece una mención porque WireGuard lo usa en exclusiva, y es la opción por defecto en dispositivos sin aceleración por hardware de AES; muchos teléfonos y procesadores de baja potencia ejecutan ChaCha20 más rápido y con un tiempo más constante que AES. No es más débil que AES; es un cifrado moderno distinto e igualmente respetado, diseñado por Daniel J. Bernstein.
Confidencialidad directa perfecta: por qué una clave robada no es una llave maestra
Aquí va una propiedad que separa las configuraciones de VPN serias de las chapuceras: la confidencialidad directa perfecta (perfect forward secrecy, PFS). Las claves de sesión derivadas durante el apretón de manos son efímeras: temporales, generadas de cero para cada sesión y rotadas periódicamente, para luego descartarse. Nunca se escriben en disco como secretos a largo plazo.
La consecuencia es importante. Supón que un adversario graba hoy todo tu tráfico cifrado y lo almacena, y que años después compromete el servidor VPN y le roba su clave privada a largo plazo. Con confidencialidad directa, esa clave robada no descifra retroactivamente tus sesiones pasadas, porque las claves de sesión reales eran efímeras y ya no existen: nunca fueron derivables únicamente a partir de la clave a largo plazo. Cada sesión queda sellada en su propio instante. Por esto exactamente el apretón de manos usa Diffie-Hellman efímero (a menudo escrito ECDHE, con la última E de "ephemeral") en lugar de reutilizar una clave estática.
Dónde termina el cifrado: el salto de salida importa
Un error muy extendido es creer que una VPN cifra tu tráfico hasta el sitio web. No lo hace. El cifrado de la VPN protege el tramo entre tu dispositivo y el servidor VPN, y punto. Una vez que el servidor descifra tu paquete y lo reenvía a su destino real, tus datos continúan por la internet pública bajo la protección que ofrezca ese destino, sea cual sea.
Por esto HTTPS sigue importando incluso con una VPN. Si visitas un sitio https://, ese tráfico lleva su propio cifrado TLS independiente de extremo a extremo, así que permanece protegido más allá de la salida de la VPN. Pero si envías algo por http:// sin cifrar, sale del servidor VPN en texto plano y es legible por cualquiera que se encuentre entre el servidor y el destino. Una VPN cambia quién puede ver tu tráfico de salida sin cifrar —del ISP local pasa al proveedor de la VPN y a la red posterior—; no convierte por arte de magia el texto plano en algo seguro. Elige un proveedor en quien estés dispuesto a confiar para esa posición, y sigue usando HTTPS.
Mitos comunes, corregidos
"AES-256 es irrompible." Ningún sistema serio es irrompible para siempre, y los ataques rara vez apuntan al cifrado en sí: apuntan a claves débiles, implementaciones con fallos, credenciales filtradas o a la persona que usa el software. Las matemáticas son el eslabón más fuerte; todo lo que las rodea es más blando.
"Simplemente lo romperán por fuerza bruta." Romper por fuerza bruta una clave de 128 bits no es lento: es físicamente inviable. Las cifras superan el presupuesto de energía y tiempo del universo observable. Las brechas reales provienen de eludir el cifrado, no de derrotarlo.
"Los ordenadores cuánticos romperán mi VPN al instante." Esta es la afirmación más exagerada. El algoritmo de Grover podría, en teoría, reducir a la mitad la fortaleza efectiva de una clave simétrica, dejando a AES-256 con un margen de ~128 bits, todavía holgado. La mayor preocupación a largo plazo es el apretón de manos asimétrico (RSA/ECDH), que amenaza el algoritmo de Shor, y por eso la industria está migrando al intercambio de claves poscuántico. Pero hoy no existe ningún ordenador cuántico capaz de esto, y "recolectar ahora, descifrar después" (harvest now, decrypt later) es un riesgo futuro, no una ruptura presente.
"Más bits siempre significa más seguridad." Superado un umbral, la longitud de la clave deja de importar frente a la fuerza bruta. El diseño del protocolo, la confidencialidad directa y una implementación limpia determinan la seguridad real mucho más que 128 frente a 256.
La conclusión práctica
Despojado de eslóganes, el cifrado de una VPN es un proceso limpio y bien comprendido: un apretón de manos de clave pública pone en marcha una clave simétrica compartida, esa clave impulsa un cifrado autenticado rápido como AES-GCM o ChaCha20-Poly1305, tus paquetes se encapsulan dentro de paquetes exteriores cifrados, y las claves efímeras garantizan que los secretos de hoy sigan siendo secretos aunque mañana se vulnere un servidor.
El cifrado (AES-128 frente a AES-256) rara vez es el factor decisivo: ambos están muy por encima de lo alcanzable por fuerza bruta.
Prioriza un protocolo moderno (WireGuard u OpenVPN/IKEv2 bien configurado), cifrado AEAD autenticado y confidencialidad directa perfecta.
Recuerda que el cifrado termina en el servidor VPN: sigue usando HTTPS para una verdadera protección de extremo a extremo.
Trata "grado militar" e "irrompible" como ruido de marketing; juzga una VPN por su implementación, su manejo de claves y la confianza que depositas en su operador.
Preguntas frecuentes
¿El "cifrado de grado militar" es real o solo marketing?
Es marketing. No existe ninguna certificación oficial de "grado militar." La expresión suele referirse a AES-256, que la NSA de EE. UU. sí aprueba para datos clasificados hasta el nivel ALTO SECRETO (TOP SECRET), pero la NSA también aprueba AES-128 para datos de nivel SECRETO. El cifrado es real y fuerte; la etiqueta es solo un término de venta envuelto a su alrededor.
¿Qué es el cifrado AES-256, explicado de forma sencilla?
AES-256 es el Estándar de Cifrado Avanzado (Advanced Encryption Standard) usando una clave de 256 bits. Es un cifrado de bloque que revuelve los datos en fragmentos de 128 bits a través de 14 rondas de transformación matemática. El "256" se refiere únicamente a la longitud de la clave, no al tamaño del bloque, y es uno de los cifrados más analizados y fiables en uso hoy.
¿Qué ocurre realmente durante el apretón de manos de una VPN?
El apretón de manos de la VPN autentica el servidor (mediante un certificado y una firma digital) y ejecuta un intercambio de claves —normalmente Diffie-Hellman de curva elíptica—, de modo que ambas partes calculan de forma independiente la misma clave simétrica secreta sin enviarla nunca por la red. Esa clave simétrica cifra después todo tu tráfico real, convirtiendo las lentas matemáticas de clave pública en un paso de configuración único.
¿Cómo funciona el tunelizado de una VPN?
El tunelizado de la VPN, o encapsulación, toma tu paquete de datos original, lo cifra por completo y lo envuelve dentro de un nuevo paquete exterior dirigido únicamente al servidor VPN. Los observadores de tu red local ven tráfico cifrado yendo al servidor y nada sobre su contenido ni su verdadero destino. El servidor lo desenvuelve y lo descifra, y luego lo reenvía al destino real.
¿Es AES-256 mejor que AES-128 para una VPN?
En la práctica, la diferencia es insignificante frente a los ataques de fuerza bruta: ambos son computacionalmente inviables de descifrar, ya que incluso el espacio de claves de 2^128 de AES-128 supera cualquier potencia de cálculo realista. AES-256 ofrece un mayor margen de seguridad y un mejor colchón frente a futuros avances cuánticos, pero la seguridad real de una VPN depende mucho más del diseño del protocolo, la confidencialidad directa y la calidad de la implementación que del tamaño de la clave.
¿Qué es la confidencialidad directa perfecta y por qué importa?
La confidencialidad directa perfecta significa que cada sesión usa claves temporales y efímeras que se generan de cero y luego se descartan. Si un atacante roba más tarde la clave privada a largo plazo del servidor VPN, aun así no podrá descifrar tus sesiones pasadas grabadas, porque esas claves de sesión ya no existen y nunca fueron derivables únicamente a partir de la clave a largo plazo. Protege tu historial frente a un compromiso futuro.
¿Una VPN cifra mi tráfico hasta el sitio web?
No. El cifrado de la VPN protege únicamente el tramo entre tu dispositivo y el servidor VPN. Una vez que el servidor descifra tu tráfico y lo reenvía, la protección depende del destino: los sitios HTTPS permanecen cifrados de extremo a extremo, pero el tráfico HTTP sin cifrar sale del servidor VPN en texto plano legible. Por eso deberías seguir usando HTTPS incluso con una VPN.
