WireGuard frente a OpenVPN en 2026: primitivas criptográficas, tamaño del código y cuándo cada uno es la opción por defecto correcta
WireGuard es más nuevo, más pequeño y usa primitivas modernas. OpenVPN es más antiguo, más grande y funciona sobre TCP 443 para atravesar redes restrictivas. Ambos son estándares abiertos. Aquí tienes el marco honesto para elegir protocolo.
Qué son WireGuard y OpenVPN, brevemente
WireGuard es un protocolo VPN diseñado por Jason A. Donenfeld e integrado en el kernel de Linux en 2020. El documento técnico en wireguard.com/papers/wireguard.pdf especifica sus primitivas criptográficas: Curve25519 para el intercambio de claves, ChaCha20 para el cifrado simétrico, Poly1305 para la autenticación, BLAKE2s para el hashing, HKDF para la derivación de claves y SipHash24 para la clave de la tabla hash. La implementación en el kernel de Linux ronda las 4.000 líneas de código. OpenVPN es más antiguo (publicado por primera vez en 2001), está licenciado bajo GPL, se ejecuta en el espacio de usuario (no en el kernel) y usa OpenSSL o mbedTLS para la criptografía. El manual de referencia de OpenVPN 2.6 está publicado en openvpn.net.
Tamaño del código y superficie de auditoría
El reducido código de WireGuard (~4.000 líneas en la implementación del kernel de Linux) es una decisión de diseño deliberada: cuanto menor es el código, menor es la superficie de auditoría y menos lugares donde pueden esconderse los errores. El código de OpenVPN es mayor (el proyecto completo, incluido el binario openvpn, los complementos y las bibliotecas de apoyo, abarca mucho más); la contrapartida son más de dos décadas de historial de CVE, lo que significa que todos los casos límite comunes se han encontrado, parcheado y forman ahora parte del conjunto de pruebas. Ninguno es inequívocamente más seguro; el código más pequeño ha sido revisado por menos ojos durante menos tiempo.
Transporte: UDP frente a TCP
WireGuard usa únicamente UDP. OpenVPN admite tanto UDP como TCP. La implicación: las redes que bloquean UDP —Wi-Fi corporativo con reglas de salida restrictivas, algunas redes de hotel, redes con inspección profunda de paquetes que marcan el UDP no HTTPS— bloquearán WireGuard. El modo TCP de OpenVPN funciona en el puerto TCP 443, el mismo que usa HTTPS, y por tanto es más difícil de bloquear sin romper el tráfico web normal. Si te conectas con frecuencia desde redes con reglas de salida restrictivas, OpenVPN-TCP es la opción más fiable aunque sea más lenta. La mayoría de los grandes clientes VPN permiten cambiar de protocolo sin cambiar de cuenta.
Las diferencias de rendimiento provienen del espacio del kernel
La mayor ventaja de rendimiento de WireGuard en Linux es que se ejecuta en el espacio del kernel: los paquetes no tienen que cruzar la frontera entre usuario y kernel en cada operación de cifrado o descifrado. OpenVPN se ejecuta en el espacio de usuario, lo que históricamente ha supuesto una sobrecarga notable. OpenVPN 2.6 con Data Channel Offload (DCO) traslada el trabajo de cifrado simétrico al kernel y cierra buena parte de la brecha. No publicamos cifras de rendimiento bruto porque varían mucho según las condiciones de la red, la carga del servidor y la hora del día; el documento técnico publicado de WireGuard documenta el diseño del protocolo y compara el prototipo, pero el rendimiento real de una VPN de consumo depende tanto de la infraestructura del proveedor como del protocolo.
Qué VPN auditadas implementan cada protocolo
Las cinco grandes VPN de pago auditadas admiten tanto WireGuard como OpenVPN: Mullvad ofrece su propia implementación de WireGuard junto con OpenVPN (Cure53 auditó ambas configuraciones de servidor en junio de 2024). Proton VPN admite WireGuard, OpenVPN y un protocolo Stealth (una variante de OpenVPN sobre TLS para redes restrictivas). NordLynx, de NordVPN, es una implementación personalizada de WireGuard. Lightway, de ExpressVPN, es un protocolo propio con su propio historial de auditorías (Cure53 + Praetorian revisaron en 2024 la reescritura en Rust de Lightway). Surfshark admite WireGuard y OpenVPN.
Recomendación
Usa por defecto WireGuard o el protocolo propio derivado de WireGuard del proveedor (NordLynx, Lightway de ExpressVPN). Cambia a OpenVPN-TCP cuando la red bloquee UDP: Wi-Fi corporativo, Wi-Fi universitario con reglas de salida restrictivas, redes de hotel con DPI. La elección de protocolo rara vez es el cuello de botella para el rendimiento de una VPN de consumo; la selección de servidores del proveedor y la carga actual importan más. En cuanto a la privacidad en concreto, el protocolo no importa: la propiedad de no registros es independiente del protocolo y es lo que las auditorías existen para verificar.
Fuentes
Documento técnico de WireGuard: wireguard.com/papers/wireguard.pdf. Manual de referencia de OpenVPN 2.6: openvpn.net/community-resources/reference-manual-for-openvpn-2-6. Auditoría de infraestructura de Mullvad (Cure53 junio de 2024, cubrió las configuraciones de servidor tanto de OpenVPN como de WireGuard): mullvad.net/en/blog/fourth-infrastructure-audit-completed-by-cure53. Auditorías de Lightway de ExpressVPN: expressvpn.com/blog/lightway-audits-cure53-praetorian. Todas las URL consultadas el 2026-04-30.