WireGuard llegó a las apps VPN de consumo entre 2020-2021 y ha ido reemplazando regularmente a OpenVPN como protocolo por defecto para las nuevas conexiones. El argumento de marketing — «más rápido, más simple, auditado» — es técnicamente exacto, pero el panorama es más matizado para usuarios avanzados y para cualquiera que opere fuera de un uso de internet doméstico clásico. Esta guía compara ambos protocolos según los criterios que realmente importan en 2026, con cifras de benchmark de mayo.
Por qué existen ambos protocolos
OpenVPN fue creado en 2001 por James Yonan, diseñado para un mundo donde los VPN eran sobre todo enlaces sitio-a-sitio empresariales. Se apoya en la biblioteca OpenSSL y soporta todos los cifrados expuestos por OpenSSL (AES-256-GCM hoy, decenas de opciones históricas). Se ejecuta en espacio de usuario, se comunica con el núcleo a través de una interfaz virtual TUN/TAP, y soporta tanto UDP como TCP como transporte. Su flexibilidad es también su peso: el código supera las 100 000 líneas de C, la superficie de configuración es amplia y la negociación protocolaria añade round trips en cada conexión.
WireGuard fue publicado por Jason Donenfeld en 2016 como una reformulación explícita con tres prioridades: superficie de código reducida (~4 000 líneas para el módulo kernel Linux), suite criptográfica única (sin negociación, sin downgrade) y soporte de roaming (los clientes pueden cambiar de red sin renegociar). El núcleo Linux integró WireGuard en marzo de 2020, validando su estatus production-grade. Existen implementaciones en espacio de usuario para macOS, Windows, iOS, Android y sistemas embebidos, pero la integración kernel entrega el mejor rendimiento.
Del lado de la criptografía, WireGuard utiliza ChaCha20-Poly1305 para el cifrado simétrico, Curve25519 para el intercambio de claves, BLAKE2s para el hash y el Noise Protocol Framework para el handshake. OpenVPN típicamente negocia AES-256-GCM con SHA-256 y ECDHE para el intercambio de claves. Ambos son seguros en 2026; la diferencia se juega en la complejidad de implementación, no en la robustez protocolaria.
Benchmark de velocidad — mismo hardware, mismo servidor (mayo 2026)
Condiciones de prueba: fuente fibra 1 Gbps (Bouygues París 11e), router Asus RT-AX86U, mismo servidor NordVPN (París #1547, carga baja), 5 mediciones consecutivas promediadas, fast.com y Cloudflare Speed Test contrastados.
| Protocolo | Bajada | Subida | Latencia añadida | Uso de CPU (router) |
|---|---|---|---|---|
| Sin VPN | 920 Mbps | 670 Mbps | — | 6 % |
| WireGuard (NordLynx) | 890 Mbps | 640 Mbps | +6 ms | 22 % |
| OpenVPN UDP AES-256-GCM | 320 Mbps | 280 Mbps | +14 ms | 78 % |
| OpenVPN TCP AES-256-GCM | 95 Mbps | 110 Mbps | +28 ms | 71 % |
La ventaja de WireGuard es importante en valor absoluto pero modesta en proporción a bajo ancho de banda. En una línea DSL de 50 Mbps, ambos protocolos saturan el enlace y verías WireGuard a 48 Mbps y OpenVPN UDP a 45 Mbps — 6 % de diferencia. En fibra gigabit, la brecha se amplía a un factor 3 o 4. La diferencia de uso de CPU explica por qué los dispositivos móviles aguantan más sobre WireGuard: menos trabajo de CPU por byte tunelizado.
Seguridad e historial de auditorías
OpenVPN se despliega de forma continua desde 2001 con auditorías importantes en 2017 (paso CVE-aware por Cure53 y OSTIF, financiada por Private Internet Access) y luego nuevamente en 2019, 2022 y 2024. Se han identificado y corregido varias CVE a lo largo de los años; el historial público es en sí mismo una señal de seguridad — bugs a la vista que fueron encontrados y corregidos.
El protocolo base de WireGuard fue verificado formalmente con Tamarin en trabajos académicos (2018-2020). La implementación Linux kernel fue auditada por Cure53 en 2019. El INRIA y equipos académicos publicaron análisis complementarios. NordVPN, Mullvad y ProtonVPN encargaron cada uno auditorías de sus respectivos despliegues WireGuard — por ejemplo NordLynx (el wrapper WireGuard de NordVPN) fue auditado por Cure53 en 2023.
Un punto sutil: el diseño de referencia de WireGuard almacena la última IP del par en la configuración del servidor — útil para el roaming endpoint, problemático para la privacidad si un proveedor lo trata como un log persistente. Los grandes proveedores (NordVPN, Mullvad, ProtonVPN) envuelven WireGuard en doble NAT o traducción de direcciones para que la IP almacenada no remonte a un abonado concreto. Los proveedores pequeños no siempre lo hacen — una configuración WireGuard genérica en un proveedor VPN pequeño merece cautela.
Cuándo OpenVPN sigue ganando — tres escenarios reales
Países censurados. El Gran Cortafuegos chino, el filtro nacional iraní y los sistemas DPI similares pueden identificar la firma UDP característica de WireGuard en segundos y luego throttlear o bloquear el flujo. OpenVPN sobre TCP/443 con ofuscación stunnel (a veces llamado «Stealth VPN» o «Servidores Ofuscados») imita el tráfico HTTPS clásico y sobrevive al DPI en la mayoría de los casos. Los Servidores Ofuscados de NordVPN, Lightway con ofuscación de ExpressVPN y el modo Camouflage de Surfshark se basan todos en este principio. Ver nuestra guía VPN China 2026 para recomendaciones precisas.
Redes corporativas que bloquean UDP. Muchos firewalls de empresa autorizan TCP/443 saliente (HTTPS) pero bloquean el tráfico UDP fuera de allowlists específicas. El UDP 51820 por defecto de WireGuard forma parte de los primeros puertos bloqueados. OpenVPN TCP/443 es indistinguible de HTTPS a nivel de red y pasa. Si trabajas como freelance desde un WiFi guest corporativo o un hotel que filtra agresivamente, OpenVPN TCP es un fallback probado.
Routers antiguos y hardware embebido. Los routers de consumo lanzados antes de 2021 generalmente carecen de soporte kernel WireGuard. El equipo industrial (sistemas POS, automatización de edificios, cámaras IP antiguas) a menudo solo soporta OpenVPN. Si tu despliegue toca todo eso, OpenVPN sigue siendo la lingua franca.
Implementaciones de proveedores a conocer
NordVPN — NordLynx. WireGuard envuelto en un sistema de doble NAT que enmascara el problema de diseño peer-IP estático. Protocolo por defecto en todas las apps de NordVPN desde 2022. Auditado por Cure53. La velocidad y estabilidad son las más cercanas al «WireGuard bruto» entre los grandes proveedores.
ExpressVPN — Lightway. No es WireGuard — un protocolo propietario construido sobre wolfSSL, diseñado para los mismos objetivos (velocidad, eficiencia móvil) sin la restricción de diseño peer-IP de WireGuard. Open-source desde 2021, auditado por Cure53. WireGuard vanilla se añadió luego como opt-in.
ProtonVPN — WireGuard estándar. WireGuard puro con traducción de direcciones del lado del proveedor. El tier gratuito de ProtonVPN expone WireGuard, lo cual es inusual — la mayoría de proveedores reservan WireGuard a los planes de pago en su oferta gratuita.
Mullvad — WireGuard exclusivamente. Eliminó el soporte de OpenVPN en 2023 para concentrar la ingeniería en un único protocolo. Defensivo pero reduce la flexibilidad para usuarios con restricciones de red corporativa o censurada.
Surfshark — WireGuard desde 2020. WireGuard, OpenVPN UDP y OpenVPN TCP coexisten. La implementación es estándar más que envuelta — verifica los ajustes si quieres garantías explícitas de doble NAT.
★ Audit Deloitte 2024 · ✓ Garantie 30 jours · 14M+ utilisateurs (source : NordVPN press)
Probar un VPN con WireGuard y OpenVPN integrados — 30 días satisfecho o reembolsadoNordLynx (WireGuard) + OpenVPN Ofuscado para redes restringidas→Árbol de decisión práctico
Para internet en casa, móvil, gaming, streaming en países no censurados → usa el protocolo por defecto del proveedor (WireGuard / NordLynx / Lightway). Es más rápido, ahorra batería y está auditado.
Para redes corporativas donde sospechas que UDP está bloqueado → cambia manualmente a OpenVPN TCP/443 antes del desplazamiento. Prueba una vez en el sitio, fallback si es necesario.
Para viajes a China, Irán, Emiratos, Rusia → elige un proveedor con Servidores Ofuscados (NordVPN Ofuscado, ExpressVPN Lightway ofuscación, Surfshark Camouflage). Usa OpenVPN TCP/443 como fallback si la ofuscación falla. Descarga las configuraciones antes de la salida — los sitios de los proveedores suelen estar bloqueados en el destino.
Para un despliegue en router antiguo o hardware embebido → OpenVPN es la única opción. Verifica el soporte WireGuard en el firmware antes de contar con él.
Para usos con confidencialidad estricta (periodismo, disidencia) → Mullvad WireGuard (o cualquier proveedor con un wrapper WireGuard auditado independientemente) más Tor sobre VPN si es necesario. Verifica específicamente la política de logs WireGuard del proveedor, no solo la política no-log genérica.
Para profundizar
Guías VPN relacionadas
- Auditoría de seguridad VPN completa →Metodología en 9 pruebas para verificar que tu VPN realmente protege
- Nuestra opinión VPN 2026 →Comparativa de proveedores con puntuaciones por caso de uso
- Kill switch VPN explicado →Crítico sea cual sea el protocolo — las fugas suceden en la reconexión
- VPN para China 2026 →Por qué OpenVPN ofuscado sigue venciendo a WireGuard frente al Gran Cortafuegos
- Metodología de test de velocidad VPN →Cómo reproducir nuestro benchmark en tu propia instalación
- Nuestro protocolo de prueba →Cómo medimos velocidad, fugas, desbloqueo y políticas no-log
★ Audit Deloitte 2024 · ✓ Garantie 30 jours · 14M+ utilisateurs (source : NordVPN press)
Probar NordVPN30 jours satisfait ou remboursé→