🌙 LATE NIGHT MODE ACTIVATED — THE CLOWN IS WATCHING 🌙
InicioRecursosFundamentos → VPN Tunneling

VPN
Tunneling.

La palabra "túnel" se lanza por el marketing VPN sin explicación. Aquí lo que significa realmente a nivel de paquete.

La metáfora explicada

Imagínate que conduces de casa a casa de un amigo, y quieres que nadie vea tu coche por el camino. La metáfora del "túnel" funciona así: metes tu coche dentro de un camión mucho más grande, el camión cruza la ciudad, y en el otro extremo sacas tu coche y conduces el último tramo. Los observadores en el camino ven "un camión", no "tu coche específico yendo a tu destino específico".

El tunneling VPN hace lo mismo con paquetes de red. Tu paquete original (ej., "GET /index.html de example.com") es el coche. El VPN lo envuelve en un paquete exterior nuevo (el camión) direccionado al servidor VPN. Los observadores ven "tráfico de camión cifrado" entre tú y el servidor VPN. No ven el paquete original dentro.

Qué hace de verdad la "encapsulación"

En términos técnicos, encapsulación significa: coge un paquete IP original, trata sus contenidos enteros (incluyendo la dirección de destino) como el payload de un paquete IP exterior nuevo. El header del paquete exterior apunta al servidor VPN. El header del paquete interior apunta a donde quisiste ir realmente.

La estructura se ve aproximadamente:

[ Header IP exterior: src=TÚ, dst=SERVIDOR_VPN ]
  [ Header de transporte exterior (UDP para WireGuard) ]
    [ Blob cifrado conteniendo: ]
      [ Header IP interior: src=TÚ, dst=example.com ]
        [ Header de transporte interior (TCP, UDP, etc.) ]
          [ Los datos reales de la aplicación ]

Cualquiera observando el cable ve solo el header exterior (tú ↔ servidor VPN) y el blob cifrado. El header interior (destino = example.com) está escondido dentro del cifrado. El servidor VPN es el único sitio donde se quita el envoltorio exterior y emerge el paquete interior.

Protocolos de transporte: UDP vs TCP para túneles

Los VPNs corren sobre uno de los protocolos de transporte de internet estándar. Dos opciones:

Túneles UDP

UDP (User Datagram Protocol) es sin-conexión — los paquetes son disparar-y-olvidar, sin retransmisión integrada, sin control de flujo. Para VPNs esto es bueno: menos overhead, menos latencia y los protocolos de aplicación dentro del túnel manejan su propia fiabilidad si la necesitan (TCP-sobre-UDP funciona bien).

WireGuard usa UDP exclusivamente. Los setups por defecto de OpenVPN usan UDP. ChaCha20-Poly1305 (la cifra de WireGuard) está diseñada para manejar entrega fuera de orden, que UDP puede causar.

Túneles TCP

TCP (Transmission Control Protocol) es orientado a conexión — los paquetes se acknowledge, se retransmiten si se pierden y se entregan en orden. Esto añade overhead y puede causar "TCP-sobre-TCP meltdown" cuando se usa como transporte de túnel para tráfico TCP (ambas capas intentan manejar congestión y terminan peleándose entre sí).

OpenVPN soporta modo TCP primariamente por una razón: pasar por redes restrictivas. Muchos firewalls bloquean UDP enteramente o solo permiten TCP sobre el puerto 443 (HTTPS). OpenVPN-sobre-TCP-443 parece navegación web HTTPS regular para un firewall y casi siempre pasa.

ClownVPN auto-fallback a OpenVPN-sobre-TCP-443 si WireGuard no puede establecer conexión — cubre aproximadamente el 99% de redes restrictivas.

Modos de túnel: full-tunnel vs split-tunnel

Una vez que un túnel está establecido, el cliente VPN tiene que decidir qué tráfico mandar por él. Dos modos principales:

Modo full-tunnel (default)

Todo el tráfico de tu dispositivo va por el túnel. Cada app, cada servicio del sistema, cada consulta DNS. Es el default para la mayoría de VPNs consumer porque es lo más seguro — sin dejar accidentalmente tráfico fuera del túnel.

Modo split-tunnel (opcional)

Solo tráfico específico va por el túnel; todo lo demás usa tu conexión regular. Configuras qué apps (o qué IPs) tunelar y cuáles dejar directas.

Casos de uso: mantener tu app bancaria fuera del túnel para que vea tu IP real y no dispare alertas de fraude; mantener tu Chromecast directo para que pueda encontrar dispositivos en tu red local; rutear solo tráfico sensible por el VPN para ahorrar batería en un dispositivo móvil.

ClownVPN soporta split tunneling por-app en Android. Detalles: /es/features/split-tunneling/.

Qué pasa cuando el túnel se rompe

Los túneles son construcciones de software que dependen de condiciones de red. Pueden caerse por muchas razones:

  • El handoff WiFi → celular resetea tu IP, rompiendo la sesión de túnel existente.
  • Reinicios del servidor VPN (mantenimiento, actualizaciones de software).
  • Pérdida súbita de paquetes (la señal celular se debilita) corrompe la sesión más allá de recuperación.
  • Tu móvil entra en deep sleep, mata la conexión de red y el túnel hace timeout.

Cuando esto pasa, el cliente VPN o reconecta transparentemente (preferido) o deja tu tráfico varado. Un kill switch asegura que el tráfico varado no caiga a tu conexión sin cifrar — bloquea todo el tráfico hasta que el túnel se re-establece.

Obfuscación: el truco túnel-sobre-túnel

En países que bloquean activamente tráfico VPN (China, Rusia, Irán), incluso los túneles UDP/TCP cifrados son detectables y se bloquean. Algunos proveedores VPN añaden una capa de "obfuscación" que disfraza el túnel VPN como otra cosa — típicamente navegación web HTTPS.

Los modos de obfuscación envuelven el túnel VPN cifrado en otra capa que imita handshakes TLS y patrones de tráfico HTTPS. Desde fuera, parece que el usuario está haciendo muchas requests a un único endpoint HTTPS. Más lento que VPN puro, pero pasa redes restrictivas.

ClownVPN no trae obfuscación. Nuestro posicionamiento es seguridad/privacidad en jurisdicciones donde los VPN son legales — no marketeamos ni soportamos saltarse bloqueos a nivel nacional. Si esa es tu necesidad, NordVPN, ExpressVPN y Mullvad todos traen modos de obfuscación.

Lectura relacionada

🎪 Preguntas frecuentes

¿'Tunneling' es lo mismo que 'cifrado'?
Relacionados pero no idénticos. Tunneling es la encapsulación — envolver un paquete dentro de otro para rutearlo distinto. Cifrado es hacer los contenidos ilegibles para cualquiera que intercepte los paquetes envueltos. Un túnel sin cifrado (como un túnel GRE plano) rutea tráfico pero no lo protege. Un túnel VPN hace ambas cosas.
¿Un VPN usa túneles TCP o UDP?
WireGuard usa UDP. OpenVPN soporta ambos UDP (default, más rápido) y TCP (para redes restrictivas que bloquean UDP). Los túneles TCP pueden correr sobre el puerto 443 y parecer HTTPS normal — útil cuando estás detrás de un firewall que solo permite tráfico web.
¿Por qué WireGuard solo usa UDP?
UDP es sin-conexión y más rápido — mejor para el tipo de tráfico de alto throughput, baja latencia que manejan los VPN. El downside es que algunas redes bloquean o limitan UDP. WireGuard eligió UDP por rendimiento y acepta el trade-off; manejar redes restrictivas es trabajo de OpenVPN-sobre-TCP.
¿Se puede detectar un túnel VPN?
Detectado como 'esto es tráfico cifrado a un endpoint tipo-VPN' — sí, bastante fácil. Los paquetes tienen tamaños y patrones característicos. Detectado como 'este usuario específico está usando un VPN' — depende de si el observador puede correlar tráfico. Detectado y descifrado — no, la cripto VPN moderna no es rompible.
¿Qué es obfuscación?
Una segunda capa de disfraz añadida encima del túnel VPN para hacer que el tráfico parezca otra cosa (a menudo navegación HTTPS). Usado en países que bloquean tráfico VPN. NordVPN y otros traen modos de obfuscación. ClownVPN no actualmente — nuestro posicionamiento no incluye saltarse bloqueos a nivel nacional.

🎪 Tunelízalo

Túnel WireGuard, AES-256 dentro, kill switch de respaldo. Gratis en Android.

🤖 Descargar en Google Play