VPN remota · El teletrabajador

// 01 · EL PROBLEMA

Un firewall, miles de clientes, mil escenarios

Una VPN de acceso remoto resuelve un problema parecido a IPSec site-to-site (cifrar capa 3 entre dos puntos), pero con una asimetría brutal: un solo concentrador VPN y miles de clientes heterogéneos — Windows, macOS, iPhones, Androids, Linux, y a veces incluso un router del IKEA en el salón.

Los actores son distintos. Cliente VPN: software o cliente nativo del SO que el usuario instala (o le instalan) en su dispositivo. Concentrador VPN / gateway: el dispositivo de borde corporativo que atiende todas las conexiones entrantes — Cisco ASA, Fortigate, Palo Alto GlobalProtect, AWS Client VPN, Tailscale relay. Identidad del usuario: aquí entra el factor que en site-to-site no existe — quién es la persona detrás de la conexión, con su MFA, su passkey o su token.

Y los protocolos del juego son distintos a IPSec puro. Hay tres familias: las VPN basadas en TLS (OpenVPN, AnyConnect-SSL, GlobalProtect-SSL) que heredan la herencia PQC de TLS 1.3; las VPN basadas en IKEv2/IPSec (AnyConnect-IPSec, GlobalProtect-IPSec, IKEv2 nativo de iOS y Windows) que heredan la migración de la estación anterior; y WireGuard, que es categoría propia y merece sección aparte.

Decenas de miles de túneles, cada uno desde un cliente distinto, terminando en el mismo gateway

Esta heterogeneidad introduce un factor que en IPSec site-to-site no existe: la velocidad de migración la marca el cliente más lento. Si tu Windows 10 corporativo lleva una versión del cliente de hace 3 años, ese empleado no negociará PQC aunque el concentrador lo soporte. Es el problema clásico de las flotas grandes — y por eso la migración real es un ejercicio de gestión de parque más que de criptografía.

// 02 · LA HISTORIA

De PPTP al teletrabajo masivo

La VPN remota es probablemente la categoría con más cadáveres criptográficos enterrados. PPTP estuvo en producción 25 años. Cisco IPSec con XAUTH también. Aquí los protocolos no se entierran cuando son inseguros, sino cuando los desinstalan los clientes.

1996

PPTP · Microsoft

El primer "VPN para todos". Roto criptográficamente desde 2012 (MS-CHAPv2 bruteforceable en ~24h). Sigue habiendo deployments.
2001

OpenVPN · James Yonan

Open-source, basado en TLS, multiplataforma. Se convierte en el estándar de facto fuera de entornos enterprise.
2005-2010

Cisco AnyConnect · Pulse · GlobalProtect

La era enterprise. SSL-VPN (TLS sobre puerto 443) gana terreno porque atraviesa firewalls hostiles. La criptografía sigue el ritmo de TLS.
2018

WireGuard · Jason Donenfeld

Reescritura desde cero. ~4000 líneas de código (vs ~600.000 de OpenVPN). Cripto fija no negociable: Curve25519 + ChaCha20-Poly1305 + BLAKE2s. Mainline en el kernel Linux desde 5.6.
2020-2023

Tailscale · Cloudflare WARP

VPNs como servicio basadas en WireGuard. Cambian la idea de "VPN corporativa" hacia mesh networking y zero-trust.
2023

Rosenpass v1.0

Daemon Rust que añade KEX post-cuántico (ML-KEM + Classic McEliece) a WireGuard usando el slot PSK. Verificado formalmente. La respuesta canónica al problema de WireGuard.
2025

VPN comerciales con PQC

ExpressVPN (enero), NordVPN (mayo) y Mullvad activan PQC en sus clientes basados en WireGuard. Generalmente vía Kyber/ML-KEM en el slot PSK.
2025-2026 →

Roadmap enterprise

Cisco anuncia "Crawl Walk Run" PQC para AnyConnect. Palo Alto y Fortinet preparan ML-KEM en GlobalProtect e SSL-VPN. Calendario realista: 2026-2028 para despliegue masivo.

// 03 · ESTADO DEL ARTE CLÁSICO

Lo que hoy se considera "bien hecho"

Una VPN de acceso remoto bien configurada en 2026 combina cripto sólida con gestión de identidad fuerte. El cifrado solo no basta — la mitad del problema es quién es la persona detrás del túnel.

Protocolo

WireGuard o IKEv2 nativo, o OpenVPN 2.6+ con TLS 1.3. Nunca PPTP, L2TP/IPSec con PSK genérico.

Cifrado de control

TLS 1.3 (en SSL-VPN) o IKEv2 con DH Group 19+ (en IPSec). Ver estaciones 01 y 03.

Cifrado de datos

AEAD: ChaCha20-Poly1305 o AES-256-GCM. Nunca Blowfish, 3DES.

Auth de cliente

Certificado de dispositivo + MFA. Idealmente FIDO2/WebAuthn. Nunca usuario+password sin segundo factor.

Auth de gateway

Certificado X.509 de CA pública o interna, validado por el cliente. Pinning de certificados cuando sea posible.

Política

Split-tunneling deshabilitado o limitado a destinos específicos. Always-on VPN en endpoints corporativos. Postura del dispositivo evaluada antes de conceder acceso.

Versionado

Cliente VPN actualizado en <30 días tras release. Forzado por MDM o por bloqueo en gateway si la versión es antigua.

El gap de seguridad real en VPN remota suele estar en lo no-criptográfico: clientes desactualizados, certificados de usuario sin renovar, MFA exenciones que se quedaron permanentes, split-tunneling abierto a Internet. La cripto importa, pero hay un montón de cosas que importan igual o más.

// 04 · LA AMENAZA CUÁNTICA

La paradoja de WireGuard

La situación cuántica de las VPN basadas en TLS o IKEv2 es la misma que vimos en las estaciones anteriores. Pero WireGuard merece análisis aparte — y es probablemente el caso más interesante pedagógicamente de todo Cryptolab.

✕

Curve25519 (KEX en WireGuard)

Shor lo rompe. Y aquí el problema es estructural — la cripto está fija en el protocolo, no se puede negociar otra.

Roto · Shor

✕

RSA · ECDSA en SSL-VPN / IKEv2

Shor las rompe. Mismo problema que en TLS y IPSec — los certificados X.509 que autentican gateways y usuarios caen.

Roto · Shor

✓

ChaCha20-Poly1305 (datos en WireGuard)

Clave de 256 bits. Grover lo deja en ~128 bits efectivos. La parte simétrica de WireGuard aguanta perfectamente.

Resiste

✓

AES-256-GCM (datos en SSL-VPN/IPSec)

Igual que en estaciones anteriores. Aguanta.

Resiste

El detalle interesante es por qué WireGuard tiene una cripto fija. Su autor, Jason Donenfeld, lo diseñó así a propósito: la cripto negociable de IPSec y TLS es donde han aparecido históricamente la mayoría de vulnerabilidades de protocolo (downgrade attacks, misconfiguration, BEAST, POODLE, FREAK, Logjam…). Eliminando la negociación, eliminas toda esa clase de bugs. Es una decisión de diseño brillante.

WireGuard es seguro precisamente porque no se puede configurar mal. Y por la misma razón, es difícil de migrar a PQC.

En TLS, basta con que una nueva cipher suite aparezca en el registro IANA y los clientes y servidores la negocien. En IPSec, RFC 9370 permitió añadir KEMs adicionales. En WireGuard, no hay registro, no hay negociación. Cualquier cambio de criptografía implica un cambio de protocolo — un nuevo "WireGuard 2" incompatible. Y cambiar el protocolo cuando hay millones de despliegues en el mundo es dolorosísimo.

La respuesta de la comunidad ha sido creativa: usar el slot PSK (preshared key) que WireGuard ya tiene — pensado originalmente para defensa en profundidad contra fallos en Curve25519 — y meter ahí una clave derivada de un KEX post-cuántico ejecutado fuera del protocolo. Esa es la idea de Rosenpass.

// 05 · LA SOLUCIÓN PQC

Tres caminos según el protocolo

Cada familia de VPN remota está migrando por una vía distinta. Son tres soluciones diferentes a un problema común — cada una con sus tiempos.

SSL-VPN (OpenVPN, AnyConnect-SSL)

Hereda de TLS 1.3

vía X25519MLKEM768

Cuando el TLS subyacente activa ML-KEM, la VPN lo activa "gratis". OpenVPN 2.6+ con OpenSSL moderno ya puede negociarlo. Cisco AnyConnect y GlobalProtect están en roadmap para incorporarlo en sus stacks TLS.

IKEv2 nativo (iOS, Win, AnyConnect-IPSec)

Hereda de IPSec

vía RFC 9370 + ML-KEM draft

Cuando los gateways implementen el draft ietf-ipsecme-ikev2-mlkem y los clientes nativos de iOS/Windows lo soporten, la VPN remota IKEv2 se vuelve PQC. Calendario realista: clientes Apple/Microsoft llegarán al final, no al principio.

WireGuard + Rosenpass

PQC vía slot PSK

la solución elegante

Daemon externo (escrito en Rust, verificado formalmente con ProVerif) que ejecuta un KEX post-cuántico — ML-KEM + Classic McEliece — entre los peers cada 2 minutos e inyecta el resultado en el slot PSK de WireGuard. Híbrido por construcción.

¿Por qué Classic McEliece en Rosenpass?

Es una elección curiosa que merece explicación. Rosenpass usa dos KEMs en paralelo: ML-KEM (lattices) y Classic McEliece (códigos correctores de errores). La razón es defensa en profundidad dentro del propio PQC: si una familia matemática cae (lattices o códigos), la otra sigue protegiendo. Classic McEliece tiene claves enormes (~1 MB) pero lleva 40 años resistiendo análisis, mucho más tiempo que ML-KEM. Es la apuesta conservadora dentro de PQC.

Estado real por familia

VPN consumer · WireGuard + PSK

Desplegado masivamente

ExpressVPN, NordVPN, Mullvad y Surfshark ya tienen PQC en producción para millones de usuarios. Si usas una de estas, ya estás haciendo PQC sin saberlo. Rosenpass para entornos self-hosted.

VPN enterprise · SSL-VPN / IKEv2

En desarrollo · roadmap 2026-2028

Cisco, Palo Alto, Fortinet anunciaron roadmaps. Las piezas están: TLS 1.3 con ML-KEM funciona, IKEv2 con ML-KEM funciona. Falta la integración en cliente + concentrador + consola de administración + certificación. Que dolor para integrar todo esto.

Auth de usuario · firmas / FIDO2

Pre-desarrollo

Las passkeys y tokens FIDO2 que usas como segundo factor son ECDSA. La FIDO Alliance ha anunciado roadmap PQC pero no hay producto comercial todavía. Es el frente más atrasado de toda la VPN remota.

La asimetría llamativa: el segmento consumer (las VPNs comerciales) van más rápido en PQC que el enterprise. La razón es estructural — un proveedor consumer controla cliente y servidor (su app y su backend), puede empujar updates en días. Una empresa con AnyConnect tiene que esperar a que Cisco saque versión, certifique, y luego desplegar a 50.000 endpoints. Lleva años.

// 06 · CHECKLIST DE MADUREZ

Los 6 criterios de la auditoría

Como en estaciones anteriores, 6 criterios para 90 puntos máximos. La particularidad de VPN remota es que la mitad de los puntos vienen de cripto y la otra mitad de postura del dispositivo: cliente actualizado, MFA, política aplicada. La parte humana pesa.

// VPN REMOTA · 6 CRITERIOS · 90 PTS MAX

"No lo sé" cuenta como área ciega · no penaliza, no puntúa

01. ¿Qué protocolo de VPN remota usan tus empleados?

Classical

PPTP o L2TP/IPSec · 0 pts (crítico, roto)

Hybrid

OpenVPN, IKEv2 nativo o SSL-VPN moderno · 10 pts

Quantum

WireGuard + Rosenpass o gateway con ML-KEM en producción · 15 pts
02. ¿Qué cifrado de datos negocian tus túneles?

Classical

Permite Blowfish, 3DES o AES-CBC + HMAC-SHA1 · 0 pts

Hybrid

AEAD (AES-GCM, ChaCha20-Poly1305) · 10 pts

Quantum

AES-256-GCM o ChaCha20-Poly1305 exclusivamente · 15 pts
03. ¿Cómo autentican los usuarios?

Classical

Solo usuario+password (sin MFA) · 0 pts (crítico)

Hybrid

Usuario+password + TOTP/SMS · 5 pts

Quantum

Certificado de dispositivo + FIDO2/passkey · 10 pts

Q-Day Proof

Cert dispositivo + FIDO2 + postura del dispositivo evaluada · 15 pts
04. ¿Tienes política de gestión del parque de clientes?

Classical

El usuario decide cuándo actualiza el cliente · 0 pts

Hybrid

MDM o avisos al usuario · actualización en <3 meses · 10 pts

Quantum

Update forzado en <30 días · gateway bloquea versiones antiguas · 15 pts
05. ¿Cómo está configurado el split-tunneling?

Classical

Split abierto · cliente decide qué va por la VPN · 0 pts

Hybrid

Split limitado a destinos corporativos definidos · 10 pts

Quantum

Sin split-tunnel + always-on en endpoints corporativos · 15 pts
06. ¿Tienes plan de migración PQC?

Classical

Sin plan · esperando a que el vendor saque la versión · 0 pts

Hybrid

Roadmap definido · piloto en producción para 2026-2027 · 10 pts

Q-Day Proof

PQC ya activo en al menos un grupo de usuarios · capacidad de extender en semanas · 15 pts

Mapeo a badge: 0–30 Classical · 31–55 Hybrid-Ready · 56–75 Quantum-Safe · 76–90 Q-Day Proof. La paradoja de esta estación es que una empresa pequeña self-hosted con WireGuard + Rosenpass puede llegar a Q-Day Proof antes que un banco con AnyConnect en 50.000 endpoints. La complejidad operacional manda tanto como la criptografía.