Qué es el tunelizado VPN

Tunelizar es la técnica de cargar un protocolo de red dentro de otro. Un túnel VPN toma los paquetes IP que tu dispositivo normalmente enviaría a internet abierta, los envuelve en un segundo protocolo, y los reenvía a un servidor VPN que los desenvuelve del otro lado. Nada sobre los paquetes internos llega a la red local — solo lo hace la envoltura externa.

La palabra "túnel" es una metáfora. No hay tubo físico ni camino dedicado. Los paquetes viajan por los mismos routers, switches y cables submarinos que todo lo demás. Lo que cambia es lo que esos routers pueden ver: solo la envoltura externa.

Cómo funciona realmente la encapsulación

Cada paquete IP tiene un header (a dónde va, de dónde vino, qué protocolo carga) y un payload (los datos). Tunelizar trata el paquete original entero — header y payload — como bytes opacos, luego construye un paquete completamente nuevo alrededor.

Un túnel WireGuard funciona así: tu dispositivo quiere enviar un paquete TCP a 1.1.1.1. WireGuard cifra ese paquete entero con ChaCha20-Poly1305, antepone su propio header, envuelve el resultado en un datagrama UDP, y envía ese datagrama a la IP pública del servidor VPN en el puerto 51820. Para la red local, el único paquete visible es "UDP de tu dispositivo al servidor VPN". El paquete TCP adentro es ilegible.

El servidor VPN revierte el proceso: recibe UDP, quita el header WireGuard, descifra, y reenvía el paquete interno a su destino real.

Lo que diferentes protocolos tunelizan

Cada protocolo VPN está definido en gran parte por lo que tuneliza dentro de qué.

• WireGuard tuneliza paquetes IP dentro de UDP. El header es de tamaño fijo y mínimo. Definido en Donenfeld 2017.
• OpenVPN tuneliza paquetes IP dentro de TLS, que a su vez corre sobre TCP o UDP. El handshake TLS establece claves de sesión; los paquetes de datos son cifrados con AES-GCM o ChaCha20. Ver RFC para el TLS subyacente.
• IPsec tuneliza paquetes IP dentro de un header Encapsulating Security Payload (ESP), definido en RFC 4303. ESP corre directamente sobre IP (protocolo 50) o, para travesía NAT, sobre el puerto UDP 4500.
• VLESS Reality tuneliza paquetes IP dentro de un frame VLESS custom, dentro de TLS 1.3, dentro de TCP. El handshake TLS reenvía un certificado de tercero real para que la conexión sea estadísticamente indistinguible de HTTPS común. Ver Reality.

El hilo común es que los paquetes internos nunca aparecen en la red pública en su forma original.

Tunelizar vs cifrar

Los dos son frecuentemente confundidos. Tunelizar es encapsulación, el paso de envolver. Cifrar es hacer ilegibles los contenidos envueltos. Un túnel puede existir sin cifrado (GRE, IP-in-IP), y el cifrado puede existir sin tunelizar (TLS sobre una sola conexión TCP). Las VPNs hacen ambos: encapsulan, luego cifran el payload encapsulado.

Consecuencia práctica: cualquiera observando la red ve solo la envoltura externa. Saben que estás hablando con un servidor VPN específico y aproximadamente cuánta data se está moviendo. No saben qué sitios estás visitando, qué apps están abiertas, ni a qué IPs apuntan los paquetes internos.

Por qué la forma del túnel importa

Los adversarios a nivel de red no pueden leer el contenido del túnel, pero pueden ver que el túnel existe. La firma UDP de WireGuard es reconocible; algunas redes la bloquean. OpenVPN sobre TCP-443 parece HTTPS a primera vista pero tiene señales bajo deep packet inspection. Reality va más allá asegurando que la envoltura externa sea indistinguible de una conexión TLS genuina hacia un sitio web popular.

La elección del protocolo de túnel determina lo que un observador puede detectar, lo que pueden bloquear, y cuánta sobrecarga lleva cada paquete. El header esbelto de WireGuard cuesta alrededor de 32 bytes por paquete. OpenVPN sobre TCP cuesta más y agrega bloqueo en cabeza de fila. Elegir el túnel correcto es la decisión de diseño central de cualquier cliente VPN.