🌙 LATE NIGHT MODE ACTIVATED — THE CLOWN IS WATCHING 🌙
InicioRecursosProtocolos → OpenVPN

OpenVPN
explicado.

El protocolo que dio potencia a la mayoría de VPNs comerciales durante más de una década. Más lento que WireGuard pero más flexible, y aún el fallback correcto cuando las redes se portan mal.

El contexto histórico

OpenVPN lo creó James Yonan en 2001 como alternativa open-source a las soluciones VPN comerciales. Para 2010 se había vuelto el estándar de facto para los proveedores VPN comerciales de consumo, y se mantuvo así durante más de una década. Mullvad, NordVPN, ExpressVPN, Surfshark, cada marca con nombre — todos llevaban OpenVPN como protocolo primario hasta ~2020.

La llegada de WireGuard alrededor de 2019-2020 cambió el panorama. La mayoría de proveedores ahora usan WireGuard por defecto y OpenVPN como fallback. Es un papel más callado para una pieza de software todavía vital.

Cómo funciona OpenVPN

OpenVPN es más complejo que WireGuard, pero la operación básica es similar:

  1. El cliente se conecta al servidor (UDP o TCP).
  2. Realizan un handshake TLS para autenticarse mutuamente (usa certificados, opcionalmente combinados con usuario/contraseña).
  3. Negocian una clave de sesión.
  4. Los paquetes se cifran y tunelizan.

Las diferencias con WireGuard:

  • Cifrado negociado: OpenVPN no hardcodea un conjunto de cifrado — lo negocia entre cliente y servidor. Típicamente AES-256-GCM o ChaCha20-Poly1305 hoy en día.
  • Opciones de autenticación: certificados, usuario/contraseña, claves precompartidas, doble factor — OpenVPN soporta todas.
  • TCP o UDP: OpenVPN puede correr sobre cualquiera. TCP es más lento pero atraviesa más redes.
  • Implementación en userspace: corre como un proceso normal en la mayoría de plataformas (existe módulo de kernel de Linux pero no es estándar).
  • Todo configurable: rutas, DNS, MTU, ping, compresión — OpenVPN expone cientos de opciones de configuración.

Modos TCP vs UDP

Modo UDP

El default para rendimiento. UDP no requiere acuse de recibo de cada paquete, lo que significa menor latencia y mayor throughput. El trade-off es que UDP es un ciudadano de primera en internet (usado por DNS, gaming, streaming de video) pero algunas redes restrictivas lo bloquean.

Modo TCP

El arma secreta de OpenVPN. El tráfico TCP parece HTTPS normal, y lo permite casi todos los firewalls del planeta. Si una red bloquea UDP, OpenVPN-sobre-TCP normalmente sigue funcionando. Coste de rendimiento: 20-40% de reducción de throughput y mayor latencia.

La configuración clásica: TCP puerto 443 (el mismo puerto que usa HTTPS). En el cable, esto se ve indistinguible del tráfico web regular. Útil cuando:

  • Estás en una red corporativa que bloquea el tráfico saliente no-HTTPS.
  • Estás en WiFi de hotel/aeropuerto excesivamente restrictivo.
  • Estás en un país con deep packet inspection pero no eres específicamente el objetivo.

Ojo: TCP-sobre-TCP puede tener problemas de rendimiento llamados "TCP meltdown" — tanto el TCP exterior (red) como el interior (aplicación) intentan retransmitir a la vez ante la pérdida de paquetes, causando backoff exponencial. En la práctica está bien para navegar la web normal pero puede ser duro para transferencias de archivos grandes.

Rendimiento

Comparando OpenVPN-UDP vs WireGuard en hardware y conexiones idénticos:

MétricaOpenVPN (UDP)WireGuard
Throughput250-400 Mbps900+ Mbps
Handshake50-500ms5-50ms
Batería (móvil)ModeradoBajo
Uso de CPUMás altoMás bajo
Resistencia a bloqueo de UDPMejor (modo TCP)Peor (solo UDP)
Complejidad de configuraciónAltaBaja

Seguridad

OpenVPN tiene un historial de seguridad fuerte pero su base de código más grande (~70.000 líneas) significa una superficie de ataque más amplia. CVEs notables a lo largo de los años:

  • CVE-2017-12166 — buffer overflow en versiones más viejas, parcheado en días.
  • CVE-2020-15078 — bypass de autenticación en ciertas configuraciones, también parcheado rápido.

Sin incidentes catastróficos, sin patrones recurrentes de fallos sistémicos. OpenVPN ha sido auditado formalmente varias veces (notablemente por Cure53 en 2017 para OSTIF). El protocolo se considera sólido.

Lo clave para los usuarios: usa un cliente OpenVPN reciente (rama 3.x a fecha de 2026). Las versiones más viejas pueden tener vulnerabilidades sin parchear.

Cuándo usar OpenVPN en lugar de WireGuard

  1. UDP está bloqueado. Algunas redes corporativas, WiFi de hotel restrictivo, ciertas regiones censuradas. OpenVPN-TCP pasa.
  2. Necesitas el sigilo del TCP-puerto-443. Si quieres que el tráfico VPN parezca HTTPS normal a nivel de inspección casual.
  3. WireGuard se porta mal en tu red. Problemas de MTU, NAT raro, interferencia a nivel ISP — a veces OpenVPN funciona cuando WireGuard no, por razones no obvias.
  4. Requisitos de compatibilidad. Los routers más viejos y dispositivos embebidos pueden soportar solo OpenVPN.

OpenVPN en ClownVPN

Nuestra app Android lleva tanto WireGuard como OpenVPN. WireGuard es el default; puedes cambiar a OpenVPN en Ajustes → Protocolo. Soportamos modos UDP y TCP para OpenVPN.

Si tu conexión WireGuard es inestable o lenta, cambiar a OpenVPN-TCP es el paso de troubleshooting estándar.

Lectura relacionada

🎪 Preguntas frecuentes

¿OpenVPN sigue siendo relevante en 2026?
Sí, como fallback. WireGuard es más rápido, más simple, y el default de la mayoría de despliegues modernos — pero el modo TCP de OpenVPN puede atravesar redes que bloquean UDP, y su mayor configurabilidad maneja casos límite que WireGuard no. La mayoría de proveedores VPN con reputación (nosotros incluidos) ofrecen ambos: WireGuard como primario, OpenVPN como fallback para redes restrictivas.
TCP o UDP — ¿cuál debería usar con OpenVPN?
UDP salvo que tengas una razón. UDP es más rápido (sin overhead de acuse de recibo) y maneja la pérdida de paquetes con elegancia. TCP hace falta cuando las redes bloquean UDP por completo — algunos firewalls corporativos, redes de hotel restrictivas, ciertas infraestructuras nacionales. El modo TCP envuelve el tráfico OpenVPN en paquetes TCP que parecen HTTPS normal, lo que pasa por más sitios pero con penalización de rendimiento.
¿La seguridad de OpenVPN es comparable a la de WireGuard?
Sí, bien configurado. Ambos usan cifrados modernos (AES-256 o ChaCha20 en el caso de OpenVPN, ChaCha20 en el de WireGuard). La diferencia está en la superficie de ataque — las ~70.000 líneas de código C de OpenVPN significan más bugs potenciales que las ~4.000 de WireGuard. En la práctica ambos tienen historiales de seguridad fuertes. OpenVPN ha tenido unos pocos CVEs a lo largo de los años, todos parcheados con prontitud.
¿Por qué OpenVPN me gasta más batería del móvil?
Dos razones. Primero, OpenVPN corre enteramente en userspace en la mayoría de SO móviles, lo que significa más cambios de contexto y tiempo de CPU que una implementación a nivel kernel. Segundo, el overhead criptográfico por paquete de OpenVPN es más alto que el de WireGuard (AES-256 vs ChaCha20 con diferencias de aceleración hardware). Para uso en segundo plano, WireGuard es bastante más suave con la batería.
¿ClownVPN ofrece OpenVPN?
Sí — OpenVPN está disponible en nuestra app Android como protocolo alternativo. La mayoría de usuarios debería quedarse en WireGuard (el default), pero si estás en una red que bloquea UDP o teniendo problemas de conexión, cambiar a OpenVPN-TCP suele arreglarlo. Ajustes → Protocolo → OpenVPN.

🎪 Ambos protocolos, gratis

WireGuard por defecto, OpenVPN de fallback. Cambia en los ajustes de la app.

🤖 Descargar la app gratis