La velocidad de un túnel VPN es algo traicionero: un protocolo puede consumir unos megabits, otro puede reducir el canal en un tercio, y otro chocar con el límite de CPU, aunque ambos extremos estén en conexiones gigabit. Más abajo hay un análisis detallado de cómo se comportan distintas soluciones en pruebas reales en 2025. Spoiler: WireGuard sigue siendo el rey, pero hay matices, sobre todo si te gusta combinar OpenVPN con técnicas de camuflaje como Cloak o Shadowsocks.
Cómo medimos «rápido» y por qué no creemos en cifras secas
Cualquier VPN tiene dos métricas clave de velocidad:
- Rendimiento (throughput) — cuántos megabits de datos pasan por el túnel sin pérdidas.
- Retardo adicional (latency overhead) — cuántos milisegundos añaden el cifrado y el viaje hasta el servidor.
En nuestras pruebas ejecutamos iperf3 y ping en distintas «plataformas»: desde máquinas virtuales en Hetzner hasta un router doméstico ARM. Más abajo están los valores promedios para comparar. Recuerda: tu cifra concreta casi siempre será distinta, pero la brecha relativa entre protocolos suele ser parecida.
WireGuard — minimalismo que funciona en el núcleo
Gracias a un código muy pequeño (≈ 4 mil líneas) y a un controlador en el núcleo, WireGuard lidera de forma constante en rendimiento — a menudo alcanza el 85-95 % del canal «puro». En procesadores ARM con ChaCha20 la diferencia con OpenVPN puede llegar al 40 %. El retardo aumenta 1-2 ms, y el intercambio de claves (handshake) dura < 100 ms.
- Ventajas: roaming automático, conexión casi instantánea, cifrado rápido ChaCha20-Poly1305.
- Desventajas: requiere gestión de claves, los routers antiguos necesitan firmware alternativo.
IKEv2/IPsec — término medio «listo para usar»
Está integrado de forma nativa en Windows, macOS, iOS y Android. En CPUs con AES-NI la velocidad suele ser del 80-90 % del canal, retardo +2-3 ms. Un bonus útil es MOBIKE, que mantiene el túnel al cambiar entre Wi‑Fi y LTE.
IPsec puro (ESP en modo transporte) — peso pesado corporativo
Si despliegas IPsec sin IKEv2 y configuras políticas a mano, obtienes velocidades similares pero más complicaciones: configuraciones voluminosas y proveedores de equipo que usan extensiones incompatibles.
OpenVPN: clásico con envolturas modernas
OpenVPN UDP
Con MTU bien ajustado y AES-GCM proporciona 60-75 % del rendimiento del canal, retardo +5-10 ms.
OpenVPN TCP
Se filtra bien a través de proxies, pero TCP-over-TCP al perder paquetes puede consumir hasta el 50 % de la velocidad en rutas largas.
OpenVPN sobre Cloak
Cloak disimula el tráfico como flujo HTTPS. La ofuscación añade otro 5-8 % de overhead a OpenVPN TCP. La velocidad final baja hasta 50-55 % del canal, retardo +10-15 ms.
OpenVPN sobre Shadowsocks
Aquí OpenVPN UDP va dentro del proxy ligero Shadowsocks. Si se usa un cifrado simple de Shadowsocks (AEAD-2022-ChaCha20), el throughput final se mantiene en 55-65 %, retardo +7-10 ms.
OpenVPN Amnezia
El cliente Amnezia usa un parche FakeTLS y prueba ofuscaciones automáticamente. La velocidad es aproximadamente un 5 % inferior a OpenVPN UDP «puro», pero la conexión parece tráfico TLS normal.
L2TP/IPsec — doble encapsulación, doble overhead
Por la encapsulación L2TP+IPsec la velocidad raramente supera el 50-60 % del canal, retardo +10-15 ms. Lo que lo salva es la compatibilidad excelente con hardware antiguo.
SSTP — túnel TLS de Microsoft
Pasa por la mayoría de proxies, pero funciona estrictamente sobre TCP 443. En la práctica entrega 60-70 % de rendimiento, retardo +8-12 ms.
SoftEther — navaja suiza en el mundo VPN
Software en C++ que puede emular cinco protocolos a la vez y paraleliza el cifrado agresivamente. En pruebas punta superó a OpenVPN en 10-15 %, aunque consume más memoria.
Shadowsocks — proxy que a veces es más rápido que una VPN
Aunque Shadowsocks es un proxy y no una VPN completa, mucha gente lo usa por velocidad: con ChaCha20 el tráfico llega al 90-95 % del canal y el retardo apenas aumenta. La pega es que no hay un túnel cifrado para todo el tráfico del sistema: hace falta Tun2Socks o extensiones para el navegador.
Xray (núcleo V2Ray) — constructor con muchas cajas
Xray soporta Shadowsocks, VLess, VMess y muchas ofuscaciones (XTLS, Reality). En VLess+XTLS-Direct la velocidad es casi como la de Shadowsocks puro, retardo +2-4 ms. En Reality (envoltura tipo HTTPS) se pierde alrededor de 5-7 % del rendimiento.
Amnezia VPN — multiherramienta de código abierto
El cliente Amnezia puede levantar automáticamente WireGuard, OpenVPN y Shadowsocks con camuflajes. Si eliges WireGuard obtienes los mismos 85-95 % del canal. Con OpenVPN FakeTLS, ver la sección correspondiente más arriba. También ofrece una interfaz gráfica conveniente para administradores no especialistas.
Tabla resumen de rendimiento
| Protocolo / esquema | Tipo de transporte | Velocidad media respecto al canal | Retardo adicional | Características |
|---|---|---|---|---|
| WireGuard | UDP | 85-95 % | +1-2 ms | Núcleo, ChaCha20, roaming instantáneo |
| IKEv2/IPsec | UDP | 80-90 % | +2-3 ms | MOBIKE, integrado en el sistema operativo |
| IPsec (ESP) | UDP | 80-90 % | +2-3 ms | Políticas manuales, redes corporativas |
| OpenVPN UDP | UDP | 60-75 % | +5-10 ms | Autenticación flexible |
| OpenVPN TCP | TCP | 50-65 % | +8-12 ms | Overhead por TCP-over-TCP |
| OpenVPN + Cloak | TCP/HTTPS | 50-55 % | +10-15 ms | Camuflaje como tráfico web |
| OpenVPN + Shadowsocks | UDP dentro de UDP | 55-65 % | +7-10 ms | Ofuscación ligera |
| OpenVPN Amnezia (FakeTLS) | TCP/HTTPS | 55-70 % | +6-10 ms | Selección automática de ofuscaciones |
| L2TP/IPsec | UDP + UDP | 50-60 % | +10-15 ms | Legado, hardware antiguo |
| SSTP | TCP 443 | 60-70 % | +8-12 ms | Túnel sobre TLS 1.2 |
| SoftEther | TCP/UDP | 70-80 % | +5-8 ms | Multiprotocolo, procesamiento en paralelo |
| Shadowsocks | UDP/TCP | 90-95 % | +1-2 ms | No es VPN, requiere Tun2Socks |
| Xray (VLess XTLS) | UDP/TCP | 85-92 % | +2-4 ms | Camuflaje Reality, configuración flexible |
Cómo elegir un protocolo según la tarea
- Máxima velocidad + bajo ping — WireGuard o IKEv2/IPsec en hardware con AES-NI / ARM‑NEON.
- Compatibilidad con clientes y certificados — OpenVPN UDP.
- Tráfico que parezca HTTPS normal — OpenVPN+Amnezia o Xray Reality.
- Router antiguo con DD‑WRT — L2TP/IPsec: más lento, pero funcionará sin complicaciones.
- Solo quieres proxificar el navegador — Shadowsocks o Xray con plugin; la velocidad es casi como «sin nada».
Conclusión
En 2025, por velocidad pura lideran WireGuard e IKEv2/IPsec, mientras que OpenVPN sigue siendo el «trabajador» universal gracias a su autenticación flexible y a una comunidad amplia. Las técnicas de camuflaje (Cloak, Shadowsocks, Amnezia, Xray) inevitablemente restan un par o tres de megabits, pero ofrecen otra ventaja: el tráfico parece «normal» y plantea menos preguntas al equipo de red. Prueba en tu propia infraestructura y recuerda: la cifra en la tabla es una guía, no una sentencia. ¡Que fluya!
