Glosario
Qué es WireGuard
Un protocolo VPN moderno con base de código pequeña, handshake rápido y rendimiento excelente — el predeterminado en la mayoría de las VPNs de consumo desde 2020.
WireGuard es un protocolo VPN diseñado por Jason Donenfeld y mergeado al kernel de Linux en 2020. Se volvió el predeterminado en la mayoría de las VPNs de consumo porque hace tres cosas mejor que los protocolos más antiguos: es más rápido, es mucho más pequeño (así que más fácil de auditar), y hace roaming entre redes sin romper el túnel.
Tres números cuentan la mayor parte de la historia:
- ~4.000 líneas de código central (vs cientos de miles para el stack de OpenVPN).
- Un round-trip para el handshake (patrón Noise IK 1-RTT).
- ~5% de costo de throughput en una conexión casera típica.
Cómo funciona WireGuard
WireGuard usa un conjunto fijo y moderno de primitivas criptográficas:
- ChaCha20-Poly1305 para cifrado simétrico (AEAD).
- Curve25519 para intercambio de claves de curva elíptica.
- BLAKE2s para hashing.
- HKDF para derivación de claves.
No hay paso de negociación — ambos lados conocen los algoritmos por adelantado. Eso recorta superficie de ataque (sin ataques de downgrade) y remueve un round-trip del handshake. Compara esto con el handshake TLS negociado de OpenVPN, que es flexible pero más lento.
WireGuard también es stateless en la ruta de datos. No hay tabla de sesión, ni estado de conexión estilo TCP. Los paquetes son enrutados por su identidad criptográfica (clave pública del peer) en lugar de por una sesión establecida. Por eso el roaming funciona — tu laptop puede cambiar de Wi-Fi a LTE y el túnel sigue mientras todavía puedas alcanzar al peer.
Dónde gana WireGuard
Velocidad y batería. El cifrado es rápido, el handshake es rápido, la ruta de datos es corta. En móvil, esto se traduce a menos drenaje de batería. En un desktop con conexión de fibra, se traduce a throughput que es efectivamente el mismo que sin VPN.
Auditabilidad. 4.000 líneas es lo suficientemente pequeño como para que un solo investigador de seguridad pueda leer toda la base de código en una semana. OpenVPN ha sido formalmente auditado varias veces; WireGuard ha sido formalmente analizado como protocolo, no solo como implementación, lo cual es una garantía más fuerte.
Donde falla WireGuard
WireGuard no hace ningún intento de ocultarse. Los paquetes tienen una forma distintiva — UDP, estructura de header fija, tipos de mensaje del 1 al 4. Un sistema DPI que quiera reconocer WireGuard puede hacerlo barato. Irán, Rusia y Turquía bloquean endpoints de WireGuard por firma regularmente.
Si tu red está censurada, WireGuard solo no pasará. Necesitas un protocolo diseñado para ser invisible — eso es VLESS Reality.
Cómo Fexyn usa WireGuard
Fexyn entrega WireGuard como Fexyn Bolt — el protocolo predeterminado en redes que no son activamente hostiles. La implementación usa boringtun en userspace en Windows, lo que hace más fácil integrar el kill switch y el bloqueo de DNS con el helper service.
Lee más en la página del protocolo WireGuard y la comparación de protocolos VPN.
Prueba Fexyn gratis por 7 días — Bolt es el predeterminado; el motor de rotación maneja el fallback a Stealth o Secure si tu red lo bloquea.
Términos relacionados
Prueba Fexyn gratis por 7 días
App para Windows disponible ahora en Beta. WireGuard, VLESS Reality y OpenVPN, sin registros de historial de navegación, consultas DNS ni contenido del tráfico.
Ver precios