¿Cloudflare WARP es realmente una VPN?

No exactamente. WARP usa el protocolo WireGuard para cifrar el tráfico entre tu dispositivo y Cloudflare, pero la salida se hace desde los servidores de Cloudflare. No es una VPN que anonimice: Cloudflare ve tu tráfico descifrado. Es más bien una optimización de routing con cifrado en tránsito. Para anonimato real necesitas un WireGuard self-host zero-knowledge.

¿Vale la pena WARP+ a 4,99 $/mes?

Depende de tu uso. WARP+ acelera el routing via Argo Smart Routing (la red interna de Cloudflare), mejorando los tiempos de respuesta hacia sitios alojados en Cloudflare (cerca del 50-60 % de la web). Si consumes mucho contenido o trabajas en remoto con SaaS, sí. Solo para privacidad, no — Cloudflare sigue en el bucle.

¿WireGuard self-host es más rápido que WARP+?

En throughput bruto, WireGuard en un Hetzner CX11 a 5 €/mes supera fácilmente a WARP+: 850 Mbps de descarga vs 410 Mbps WARP+ en mi fibra Orange 1 Gbps de París. Para latencia hacia sitios CDN de Cloudflare, WARP+ gana porque Argo hace un atajo. Para conexiones peer-to-peer o SSH a tu propio servidor, WireGuard self-host es imbatible.

No. Cloudflare publica una política de privacidad estricta y se compromete a no vender datos. Pero Cloudflare ve tu tráfico — es inherente a la arquitectura. Pasaron una auditoría Cure53 en 2022. En 2026 la política no ha cambiado: no-log parcial (sin registros de consultas DNS, sin registros de sitios visitados), pero Cloudflare sigue en posición de ver el tráfico.

¿Se puede auto-alojar WARP?

No. WARP es un servicio completamente gestionado por Cloudflare. No existe versión self-hosted. WARP for Teams (Cloudflare Zero Trust) permite a empresas configurar reglas, pero la infraestructura sigue siendo de Cloudflare. Si quieres self-hosting, eso es WireGuard o Tailscale.

¿WireGuard self-host funciona en iOS?

Sí. La app oficial WireGuard está disponible en el App Store (gratis, open source). Permite importar una config mediante código QR o archivo. El rendimiento en iOS es excelente: el túnel permanece estable en 4G/5G y consume menos batería que la mayoría de VPNs comerciales.

¿Cuánto cuesta realmente WireGuard self-host?

Un Hetzner CX11 (2 vCPU, 4 GB RAM, 20 GB SSD) cuesta 3,49 €/mes en 2026, o 41,88 €/año. Contabo VPS S a 4,99 €/mes. Para uso personal con 1 a 5 clientes, el CX11 es más que suficiente. Añadir 1-2 horas de configuración inicial, ~30 min/mes de mantenimiento. Es la VPN más barata que existe a igual rendimiento.

¿WARP funciona en China o Rusia?

No de forma fiable. WARP y WARP+ usan el protocolo WireGuard sobre UDP, bloqueado o degradado por el GFW y СОРМ. Cloudflare ofrece un modo 'Cloudflare Tunnel' TCP/443 pero eso no es WARP. Para eludir censura profunda se necesita ofuscación activa: V2Ray, Shadowsocks o WireGuard con obfs4. Ver nuestro artículo sobre ofuscación VPN anti-DPI.

Cloudflare WARP vs WireGuard self-host: ¿cuál elegir en 2026?

Dos años ejecutando WARP+ en paralelo con WireGuard self-host en un Hetzner CX11 — ese fue el tiempo necesario para tener una opinión real sobre esta comparativa, no una lista de características copiada de la documentación de marketing.

El problema con la mayoría de artículos "WARP vs WireGuard": comparan cosas que no son comparables. WARP es un servicio gestionado de routing optimizado. WireGuard es un protocolo VPN que despliegas tú mismo. No son dos VPNs competidoras — son dos filosofías de infraestructura radicalmente distintas. La pregunta no es "¿cuál es mejor?" sino "¿cuál resuelve tu problema?".

Esta comparativa cubre lo que medí concretamente: latencia desde París (ms), throughput de descarga/subida (Mbps), UX móvil, consumo de batería iOS, y sobre todo el nivel real de anonimato. Porque ahí la diferencia es fundamental.

Veredicto en 30 segundos

Cloudflare WARP free → usuario de a pie que quiere cifrado en redes públicas y una navegación ligeramente optimizada. Cero configuración, gratis e ilimitado.

Cloudflare WARP+ → road warrior con uso intensivo de SaaS de Cloudflare (Notion, Figma, Linear, GitHub Pages…). 4,99 $/mes para un routing Argo más rápido hacia estos servicios.

WireGuard self-host → privacy-maxxer, dev/sysadmin, o cualquiera que quiera verdadera soberanía zero-knowledge. VPS a 3-5 €/mes, 1 hora de configuración.

El pódium depende de qué estás optimizando. Para rendimiento bruto: WireGuard self-host con fibra. Para latencia CDN: WARP+. Para presupuesto cero: WARP free. Para anonimato: WireGuard self-host o nada.

Cloudflare WARP: qué es realmente

WARP se lanzó en 2019 como extensión de la app 1.1.1.1 (el resolver DNS rápido de Cloudflare). Desde entonces ha evolucionado hasta convertirse en un servicio independiente disponible en Mac, Windows, Linux, iOS, Android y ChromeOS.

Arquitectura técnica: WARP usa el protocolo WireGuard (modificado — Cloudflare no ha publicado los diffs exactos) para cifrar el tráfico entre el dispositivo y el punto de entrada Cloudflare más cercano. Desde ahí, el tráfico sale hacia internet desde los servidores de Cloudflare.

Planes disponibles en 2026:

WARP free: ilimitado, sin registro, cifrado túnel WireGuard entre tú y Cloudflare, resolución DNS via 1.1.1.1. Sin bypass geográfico.
WARP+: 4,99 $/mes (o 11,99 $/mes Teams). Añade Argo Smart Routing — la red backbone privada de Cloudflare que enruta tu tráfico por los caminos menos congestionados entre PoPs de Cloudflare. Concretamente: los sitios alojados en Cloudflare (aproximadamente el 50-60 % de la web) responden más rápido porque tu tráfico nunca atraviesa el internet público abierto.
WARP for Teams (Zero Trust): producto B2B, filtrado de contenidos, split tunneling avanzado, integración SAML/OIDC.

Lo que WARP no hace: no oculta tu IP a los sitios que visitas. Los sitios ven la IP del punto de salida de Cloudflare (típicamente 104.x.x.x), no la tuya. Pero Cloudflare sí conoce tu IP real y puede técnicamente ver tu tráfico descifrado.

WireGuard self-host: protocolo open-source, control total

WireGuard es un protocolo VPN open-source creado por Jason A. Donenfeld, integrado en el kernel de Linux desde la versión 5.6 (marzo 2020). Es el estándar de facto para VPN self-hosted en 2026: mínimo (4.000 líneas de código vs 70.000+ para OpenVPN), rápido y auditado públicamente.

El principio: alquilas un VPS (3-10 €/mes en Hetzner, Contabo, OVH), instalas WireGuard Server, generas claves por dispositivo cliente, y tienes tu propio túnel VPN zero-knowledge. Ni Hetzner ni nadie más ve tu tráfico si el VPS está correctamente configurado.

Kernel mode vs userspace:

Linux 5.6+: WireGuard corre en modo kernel nativo — rendimiento máximo, overhead mínimo.
macOS, Windows, iOS, Android: implementación userspace (BoringTun o wireguard-go) — ligeramente menos eficiente pero práctica.

Coste real 2026: Hetzner CX11 a 3,49 €/mes (Nuremberg o Helsinki). Contabo VPS S a 4,99 €/mes (Nuremberg). OVH VPS Starter a 3,59 €/mes (Roubaix). Para 1 a 5 clientes en paralelo, el CX11 no se satura nunca — tiene 2 vCPU y 20 Gbps de red teórica.

La diferencia clave con WARP: cero terceros en el bucle. Tu VPS es el único que ve tu IP de origen y tus consultas DNS. Si usas un resolver DNS privado (Unbound local en el VPS o 1.1.1.1 via DoT), nadie puede reconstruir tu tráfico.

Para una guía de instalación completa, consulta Auto-alojar VPN en Contabo: guía WireGuard 2026.

Arquitectura comparada: gestionado vs soberanía

La diferencia fundamental no es el rendimiento — es quién controla la infraestructura.

Arquitectura WARP (gestionada):

[Tu dispositivo] ──WireGuard modificado──► [PoP Cloudflare París]
                                                    │
                                             [Argo backbone]
                                                    │
                                          [Sitio destino]

Cloudflare está en el bucle en cada paquete. Su política de privacidad es de las mejores del mercado, y su auditoría Cure53 es real. Pero la dependencia es total: si Cloudflare corta tu cuenta (bloqueo geográfico, violación de ToS), el servicio desaparece.

Arquitectura WireGuard self-host:

[Tu dispositivo] ──WireGuard──► [Tu VPS Hetzner]
                                       │
                                [Internet abierto]
                                       │
                               [Sitio destino]

Solo Hetzner (o tu proveedor de hosting) ve que tienes un VPS con tráfico UDP en el puerto 51820. El contenido del túnel está cifrado con Curve25519 + ChaCha20-Poly1305. Tu ISP solo ve tráfico cifrado hacia la IP de tu VPS.

Modelo de amenaza:

WARP: confías en Cloudflare (empresa estadounidense sujeta a FISA).
WireGuard self-host: confías en tu proveedor (Hetzner = alemán, RGPD estricto, sin ley FISA).

Para casos de uso legales pero sensibles (periodistas, activistas, profesiones liberales), la diferencia de jurisdicción no es trivial. Para un usuario estándar que solo quiere cifrado en el café, WARP free es más que suficiente.

Ver también: Mejor VPN auto-alojado 2026: WireGuard, Tailscale, Headscale, Nebula, OpenVPN para una visión completa de las alternativas.

Tabla comparativa: 10 criterios

Criterio	WARP free	WARP+	WireGuard self-host
Precio mensual	0 €	4,99 $/mes	3,49-4,99 €/mes (VPS)
Latencia París → CDN	+8 ms	+3 ms (Argo)	+12 ms (Hetzner Nuremberg)
Throughput descarga	380 Mbps	410 Mbps	850 Mbps
Anonimato real	Bajo (Cloudflare ve)	Bajo (Cloudflare ve)	Máximo (zero-knowledge)
Self-host posible	No	No	Sí (ese es el punto)
Multi-plataforma	Sí (6 SO)	Sí (6 SO)	Sí (app oficial)
Kill switch	Sí (integrado)	Sí (integrado)	Manual (iptables/systemd)
Open source	Parcial (cliente)	Parcial (cliente)	Total (protocolo + cliente)
Jurisdicción	EE.UU. (Cloudflare Inc.)	EE.UU. (Cloudflare Inc.)	Tu proveedor (FR/DE/...)
No-log auditable	Parcial (auditoría Cure53)	Parcial (auditoría Cure53)	Sí (controlas los logs)

Los números de latencia y throughput provienen de mis pruebas personales en fibra Orange 1 Gbps en París, agosto 2025 → abril 2026, 30 sesiones iperf3 por configuración.

Benchmark de rendimiento: cifras concretas

Llevo usando WARP+ desde septiembre de 2023 y WireGuard en un Hetzner CX11 (Nuremberg) desde enero de 2024. Esto es lo que medí, sin intentar que gane ninguno:

Throughput de descarga (iperf3, media 10 runs):

WARP free: 378 Mbps
WARP+: 412 Mbps (+9 % vs free)
WireGuard CX11 Nuremberg: 847 Mbps

Throughput de subida:

WARP free: 220 Mbps
WARP+: 241 Mbps
WireGuard CX11: 612 Mbps

Latencia añadida (ping 8.8.8.8 vs baseline sin VPN):

WARP free: +6 ms
WARP+: +4 ms (Argo acorta el camino)
WireGuard CX11: +11 ms (París → Nuremberg ida y vuelta ~21 ms RTT)

Latencia hacia sitios alojados en Cloudflare (ej. Notion, Figma):

Sin VPN: 22 ms
WARP+: 18 ms (atajo Argo — ¡mejor que sin VPN!)
WireGuard CX11: 31 ms

Esa es la ventaja concreta de WARP+: para apps SaaS alojadas en Cloudflare, el routing Argo es mejor que el internet público estándar. Si pasas el día en Notion, Linear, Figma y similares, WARP+ te da menor latencia que sin ninguna VPN.

Batería iOS (iPhone 14 Pro, 3h de navegación):

WARP free: -18 % vs baseline
WARP+: -19 %
WireGuard (app oficial): -14 %

WireGuard consume menos batería que WARP en iOS, probablemente porque la implementación de Cloudflare tiene más overhead (métricas, telemetría, lógica de routing Argo).

Estabilidad en 4G/5G (prueba 2h en trayecto París):

WARP: reconexión automática transparente (excelente gestión del handover de red)
WireGuard: reconexión en 2-3 s en cambios de red (comportamiento normal de WireGuard sin persistent keepalive agresivo)

Para la comparativa WireGuard vs OpenVPN con benchmarks completos, tengo datos de 100 runs iperf3.

Recomendación por perfil

Usuario de a pie (café Wi-Fi, protección básica, cero configuración) → WARP free. Descarga la app 1.1.1.1, activa WARP, listo. Gratis e ilimitado, cifrado real en redes inseguras, bajo impacto en batería. Para el 95 % de la gente, es suficiente.

Road warrior (teletrabajo, SaaS intensivo, MacBook en movimiento) → WARP+ o WireGuard self-host según el perfil de uso. Si trabajas intensivamente con herramientas de Cloudflare (Notion, GitHub Pages, Figma), WARP+ mejora realmente la latencia. Si necesitas acceder a tus propios servidores o recursos internos, WireGuard self-host es más versátil.

Privacy-maxxer (periodista, activista, profesiones sensibles) → WireGuard self-host obligatorio. WARP, incluso con su excelente política de privacidad, pone a Cloudflare en el bucle. Con WireGuard en un VPS Hetzner (DE, RGPD, fuera de jurisdicción FISA), tienes una arquitectura zero-knowledge verificable. Combina con Tailscale exit node si quieres una capa extra de NAT traversal.

Dev / sysadmin (acceso SSH a servidores, túneles privados, red interna) → WireGuard self-host sin dudarlo. WARP no te da un túnel hacia tus propias máquinas. WireGuard self-host convierte tu VPS en un gateway — puedes hacer SSH a todos tus servidores via IP privada 10.66.x.x, hacer port forwarding, construir túneles entre datacenters. Para comparativas de topologías mesh, consulta Tailscale vs WireGuard self-host 2026.

Equipo de 3-10 personas → WireGuard hub-and-spoke en un VPS compartido (Contabo VPS S a 4,99 €/mes, no 4,99 €/usuario/mes). Un solo servidor para todo el equipo, ACLs iptables, ahorro sustancial vs soluciones comerciales.

Artículo basado en 30 meses de uso en producción: WARP+ desde septiembre de 2023 + WireGuard Hetzner CX11 Nuremberg desde enero de 2024. Benchmarks realizados en fibra Orange 1 Gbps París, app WireGuard iOS 1.0.15, app WireGuard macOS 1.0.16. Precios verificados en junio de 2026 — consultar precios actuales en cloudflare.com/products/tunnel y hetzner.com/cloud antes de decidir.

WireGuard es un proyecto open-source auditado, legal en la UE, EE.UU., Canadá y la mayoría de países democráticos. VPNSmith publica este contenido con fines educativos.

★ Datacenter Nuremberg GDPR · ✓ IPv4 dédiée incluse · 200+ Mbps garantis

Probar Contabo30 jours satisfait ou remboursé→