VPN de código abierto: por qué elegirlas y cómo configurarlas en Linux
Las VPN de código abierto devuelven el control de tu tráfico a tus manos. Exploramos las mejores opciones libres, sus diferencias técnicas y una guía práctica para instalar y usar una en tu sistema GNU/Linux sin depender de proveedores cerrados.
Hace unos años, cuando alguien hablaba de VPN, casi siempre se refería a un servicio comercial con una aplicación bonita y un botón grande que decía “Conectar”. Hoy esa conversación cambió. Cada vez más personas buscan VPN de código abierto porque quieren saber exactamente qué hace el software que protege su conexión.
El problema con muchas VPN comerciales no es solo el precio o la velocidad. Es que confiamos en que no registran nuestro tráfico, que no venden datos y que sus servidores no tienen puertas traseras. Con el código abierto, esa confianza se reemplaza por verificación: cualquiera puede auditar el software.
¿Qué hace que una VPN sea realmente de código abierto?
No alcanza con que la app tenga una licencia GPL. Una VPN de código abierto implica que tanto el cliente como el protocolo de túnel (WireGuard, OpenVPN, IPsec) y, preferentemente, la infraestructura del servidor estén disponibles para inspección.
Proyectos como Mullvad y ProtonVPN publican sus clientes y parte de su backend. Pero si querés ir más lejos, podés autohospedar tu propia instancia con herramientas completamente libres como WireGuard, OpenVPN o incluso proyectos más nuevos como Innernet o Netbird.
Comparación honesta: las principales opciones libres
WireGuard es, hoy por hoy, la opción más recomendada para la mayoría. Su código es mínimo (menos de 4000 líneas), lo que facilita las auditorías. Es rápido, usa criptografía moderna (ChaCha20, Curve25519) y se integra nativamente en el kernel de Linux desde la versión 5.6.
OpenVPN sigue siendo útil cuando necesitás compatibilidad con redes restrictivas o cuando querés usar TCP. Su código es más antiguo y grande, pero cuenta con más años de revisiones de seguridad. La comunidad lo mantiene activamente.
IPsec con strongSwan es otra alternativa sólida, especialmente en entornos empresariales o cuando necesitás IKEv2. Su curva de aprendizaje es más alta, pero ofrece gran flexibilidad.
Hay iniciativas más experimentales como Nebula (de Slack) o Tailscale (aunque este último tiene partes privativas en su coordinación central). Si buscás 100 % libre, mejor quedarse con WireGuard o OpenVPN puro.
Guía práctica: armá tu propia VPN con WireGuard en Debian/Ubuntu
Primero actualizá tu sistema y instalá el paquete:
sudo apt update && sudo apt install wireguard
Generá las claves en el servidor:
wg genkey | tee server_private.key | wg pubkey > server_public.key
Creá el archivo de configuración /etc/wireguard/wg0.conf:
[Interface]
PrivateKey = TU_CLAVE_PRIVADA_DEL_SERVIDOR
Address = 10.0.0.1/24
ListenPort = 51820
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
[Peer]
PublicKey = CLAVE_PUBLICA_DEL_CLIENTE
AllowedIPs = 10.0.0.2/32
Habilitá el forwarding de IP y arrancá la interfaz:
sudo sysctl -w net.ipv4.ip_forward=1
sudo wg-quick up wg0
sudo systemctl enable wg-quick@wg0
En el cliente (puede ser tu notebook o teléfono) repetís el proceso de generación de claves y creás un archivo similar, pero con la clave pública del servidor y la IP permitida.
Para conectarte desde Linux simplemente ejecutás wg-quick up wg-client.
Ventajas reales y fricciones que nadie menciona
Usar una VPN de código abierto te da control total, pero también responsabilidad. Tenés que mantener actualizado el servidor, renovar claves periódicamente y configurar correctamente el firewall. Si el servidor se cae, perdés conectividad (o peor, podés filtrar tu IP real si no configuraste kill-switch).
La curva de aprendizaje es más pronunciada que instalar una app de Play Store. Pero una vez que lo configurás, funciona de forma predecible y sin sorpresas.
Además, al autohospedar evitás pagar suscripciones mensuales y, sobre todo, evitás que una empresa tenga logs de todas las páginas que visitás. Ese es el verdadero valor: recuperar soberanía sobre tus datos de navegación.
Herramientas complementarias para mayor privacidad
WireGuard solo cifra el túnel. Para evitar fugas DNS, configurá un resolver cifrado como DoH (DNS over HTTPS) o DoT (DNS over TLS). Proyectos como stubby o simplemente usar servidores de Quad9 o dns0.eu ayudan.
También es buena idea combinarlo con Tor para tráfico especialmente sensible, aunque la combinación reduce bastante la velocidad.
Conclusión: el camino hacia la independencia digital
Elegir una VPN de código abierto no es solo una cuestión técnica. Es una decisión política: dejar de confiar ciegamente en terceros y empezar a verificar. No es la solución perfecta —ninguna lo es— pero reduce drásticamente la superficie de ataque y el poder que las empresas tienen sobre nuestra actividad en internet.
Si recién estás empezando, probá primero un servidor WireGuard en una VPS barata. Una vez que te sientas cómodo, podés migrar a hardware que controlés completamente, como una Raspberry Pi en tu casa. Cada paso que des en esa dirección es un paso lejos de los silos cerrados de las big tech.
¿Ya probaste armar tu propia VPN? ¿Qué protocolo preferís y por qué? Compartí tu experiencia en los comentarios o en las redes federadas. Cuanto más gente sepa cómo hacerlo, más fuerte se vuelve nuestra comunidad.