VPNSmith
vps-comparatifsCOMP

OpenVPN vs WireGuard: comparativa técnica profunda 2026

Comparativa técnica OpenVPN vs WireGuard: cipher, handshake, kernel vs userspace, batería móvil, NAT, DPI. Recomendaciones por caso de uso 2026.

Por Eric Gerard · Fundador · VPNSmith - Especialista en VPN self-host y VPS GDPR10 min de lecturaFoto vía Unsplash

Dudas entre OpenVPN y WireGuard para tu VPN self-host en Contabo (o Hetzner, OVH). Lees por todas partes "WireGuard más rápido" sin entender jamás por qué. Esta comparativa técnica zanja la cuestión: miramos el cripto bajo el capó, la mecánica del handshake, el impacto kernel vs userspace, el consumo de batería móvil y el historial de auditorías - y te damos el procedimiento iperf3 reproducible para que verifiques la diferencia en tu propio VPS.

Spoiler: WireGuard gana en prácticamente todos los ejes. OpenVPN mantiene dos nichos legítimos.

Por qué este match-up sigue siendo pertinente en 2026

Cabría esperar que la cuestión OpenVPN frente a WireGuard estuviera resuelta desde 2020, y sin embargo el debate continúa en todos los foros sysadmin. Tres razones lo explican.

Primero, OpenVPN mantiene una base instalada masiva. La mayoría de los appliances de red de empresa (compatibles con Cisco AnyConnect, Pulse Secure, ciertas configuraciones Fortinet) todavía hablan OpenVPN nativamente o vía adaptador. Los setups VPN de empresa heredados raramente han migrado por razones de estabilidad y de coste de auditoría de conformidad. Si te unes a un equipo sysadmin que mantiene un VPN de empresa heredado desde 2015, OpenVPN te va a servir durante 5-10 años más antes de que la dirección acepte una migración. Conocer la comparativa técnica es por tanto útil para defender una estrategia de migración interna.

Después, las condiciones de red hostil donde OpenVPN mantiene una ligera ventaja vía TCP mode y puerto 443 no son marginales. Los WiFi de hotel, ciertos hotspots de café en Asia, los VPNs portuarios en las fronteras - todos restringen a HTTPS y bloquean UDP por defecto. WireGuard puro no pasa en estas condiciones sin sobrecapa (wstunnel o Cloak), y la sobrecapa añade 5-15 % de latencia y complejidad. OpenVPN-TCP-443 sigue siendo el hack más simple cuando no tienes ni el tiempo ni las herramientas para desplegar wstunnel.

Finalmente, la auditoría criptográfica de OpenVPN sigue siendo más madura. OpenVPN con OpenSSL es revisado por académicos desde 2005 y ha acumulado 19 años de ecosistema de análisis. WireGuard utiliza primitivas modernas (Noise Protocol Framework) que están magníficamente diseñadas pero con un historial de auditoría acumulado más corto. Para un entorno regulado como sanidad o defensa que exige certificaciones criptográficas formales, OpenVPN tiene a veces todavía la ventaja por defecto de inercia.

Estos tres matices no bastan para recomendar OpenVPN como elección por defecto para un despliegue nuevo en 2026 - es WireGuard en el 90 % de los casos - pero explican por qué la comparativa técnica sigue siendo útil de publicar.

¿Cuál es la diferencia entre WireGuard y OpenVPN?

WireGuard utiliza un stack cripto moderno y fijo (Curve25519, ChaCha20-Poly1305) integrado como módulo del kernel Linux (~5.000 líneas). OpenVPN es un daemon userspace configurable (~70.000 líneas) basado en OpenSSL. El handshake de 1,5 RTT de WireGuard conecta mucho más rápido que el handshake TLS multi-roundtrip de OpenVPN, y en un enlace rápido WireGuard corre más cerca de la velocidad de línea mientras que OpenVPN pierde más caudal por el overhead de userspace.

Arquitectura y primitivas cripto

El delta de rendimiento viene primero del modelo arquitectónico, no solo del código.

OpenVPN

  • Userspace (proceso openvpn)
  • Cripto: configurable vía --cipher, --auth, --tls-cipher. AES-256-GCM por defecto desde 2.6.
  • Negociación TLS clásica: multi-roundtrip, certificados X.509, CRL, OCSP. Estándar pero pesado.
  • Librerías externas: OpenSSL o mbedTLS. Toda CVE OpenSSL afecta OpenVPN.
  • Codebase: ~70.000 líneas C (sin dependencias).

WireGuard

  • Kernel module (desde Linux 5.6, mainline), o implementaciones userspace (wireguard-go en macOS/Windows).
  • Cripto: fija por diseño. Sin negociación. Curve25519 (key exchange), ChaCha20-Poly1305 (cifrado), BLAKE2s (hash), HKDF (KDF), SipHash24.
  • Handshake Noise IKpsk2: 1.5 round-trips, estado mínimo en servidor, sin certificado.
  • Sin dependencia cripto externa: todo in-tree.
  • Codebase: ~5.000 líneas C kernel-side.

Esta diferencia de un orden de magnitud (5k vs 70k) explica por qué WireGuard pudo ser auditado de extremo a extremo por Cure53 en 2021. Puedes hacer lo mismo con OpenVPN - pero son ~6 meses de trabajo vs ~3 semanas para WireGuard.

Velocidad de handshake

Una medida útil de hacer tú mismo: ¿cuánto tarda entre wg-quick up (u openvpn) y el primer paquete enrutable?

La brecha es estructural y está bien documentada. WireGuard hace su key exchange en un handshake Noise de 1,5 RTT sin certificado, así que el establecimiento de conexión es casi instantáneo. OpenVPN necesita 6 a 8 roundtrips (TCP handshake + TLS handshake + auth + push config), y el modo TCP añade aún más, así que su establecimiento de conexión es un orden de magnitud más lento. Para números propios de tu enlace, cronometra varios ciclos up y quédate con la mediana.

Consecuencia práctica: en 4G cambiando de antena (roaming), WireGuard reconecta instantáneamente; OpenVPN tarda 1-2 segundos o más, y pierdes paquetes visibles en tus herramientas.

Kernel module vs userspace: por qué es masivo

Cuando un paquete pasa a userspace, hace el viaje kernel → userspace → kernel: 2 cambios de contexto CPU, copias de memoria, scheduler. A 1 Gbps, son al menos 80.000 paquetes/segundo, así que 160.000 context switches.

Con WireGuard como kernel module, el paquete nunca sale del kernel. Sin context switch, sin copia. El throughput depende del CPU disponible, pero el techo efectivo es típicamente 3-5× el de OpenVPN userspace a CPU equivalente.

Como WireGuard corre en el kernel y OpenVPN cifra en userspace, WireGuard alcanza un techo de caudal del lado del servidor mucho más alto antes de que el CPU sature - típicamente varias veces el de OpenVPN a CPU equivalente. ChaCha20 suele adelantar a AES-256-GCM en hardware sin AES-NI, ya que AES se apoya en ese conjunto de instrucciones.

En un enlace de salida modesto (p. ej. los 200 Mbit/s anunciados por Contabo), ninguno satura el CPU, así que ambos llenan el enlace - la diferencia práctica ahí es el perfil de latencia: WireGuard casi no añade latencia por paquete, OpenVPN añade más por el viaje de ida y vuelta a userspace.

Throughput WireGuard vs OpenVPN (típico)

En un enlace rápido (100+ Mbps), el patrón esperado es constante y se deriva directamente de la arquitectura:

  • WireGuard UDP se mantiene lo más cerca posible de la velocidad de línea bruta (la menor pérdida), con la latencia añadida más baja y las menos retransmisiones.
  • OpenVPN UDP pierde notablemente más caudal que WireGuard porque cada paquete cruza la frontera kernel/userspace; ChaCha20 suele ser algo más rápido que AES-256-GCM en CPU sin AES-NI.
  • OpenVPN TCP es el más lento de los tres - el «TCP-over-TCP meltdown» bajo pérdida añade retransmisiones y latencia - y debería reservarse para redes que bloquean totalmente el UDP.

Son tendencias, no cifras de un laboratorio privado - tus números exactos dependen de tu VPS, tu CPU y tu enlace. Para obtener los tuyos, ejecuta el procedimiento reproducible de la guía de benchmarks WireGuard vs OpenVPN con iperf3 en tu propio servidor.

Impacto en batería móvil

Cables de red de fibra óptica iluminados
Cables de red de fibra óptica iluminados

En teléfonos, el protocolo más ligero tiende a consumir algo menos de batería para la misma carga de trabajo. La ventaja de WireGuard viene del cifrado más simple (ChaCha20-Poly1305 sin negociación vs AES-GCM con negociación TLS) y de la ausencia de keepalive TLS - solo un keepalive UDP opcional cada 25 s. OpenVPN, sobre todo en modo TCP, mantiene más estado y hace más trabajo por paquete, así que bajo un túnel always-on prolongado suele consumir algo más. La diferencia es modesta y solo se nota de verdad en sesiones largas.

Historial de auditorías y CVE

OpenVPN

  • Primera auditoría independiente completa: 2017 (OSTIF + QuarksLab + Cryptography Engineering). 2 vulnerabilidades mayores encontradas incluyendo una RCE.
  • CVE desde entonces: ~28 entradas CVE (2018-2025), incluyendo 3 RCE.
  • Superficie de ataque: OpenVPN + OpenSSL (codebases sumados ~500.000 líneas C/C++).
  • Reputación: sólida tras 22 años en producción, pero el peso histórico se nota.

WireGuard

  • Auditoría Cure53 (2018) sobre implementación Linux. 0 vulnerabilidad crítica.
  • Auditoría formal de primitivas cripto (paper IEEE S&P 2018) - prueba matemática del protocolo Noise IKpsk2.
  • CVE desde entonces: 0 críticas kernel-side, algunos bugs implementación wireguard-go (userspace) resueltos en menos de 7 días.
  • Superficie de ataque: ~5.000 líneas C kernel.

Para un atacante, WireGuard es ~14× más difícil de fuzzear profundamente que OpenVPN simplemente porque hay menos código que fuzzear.

¿Cuándo deberías mantener OpenVPN en lugar de WireGuard?

Mantén OpenVPN si necesitas TCP en el puerto 443 para atravesar firewalls corporativos u hoteleros que bloquean UDP saliente, si debes soportar dispositivos antiguos (Windows anterior a la versión 10, Android anterior a la versión 5.0), o si requisitos de auditoría formal (ISO 27001, NIS2) hacen que el logging por conexión de OpenVPN sea más fácil de justificar. Para todos los demás casos, WireGuard es la mejor opción.

Tres casos donde OpenVPN sigue siendo defendible:

  1. TCP obligatorio: algunos firewalls corporativos bloquean UDP saliente. OpenVPN hace TCP nativo. WireGuard necesita wrapper (wstunnel, udp2raw) que complica el setup.
  2. Puerto 443 estándar: OpenVPN en 443/TCP parece HTTPS para DPI básicos. Útil en hoteles o redes empresariales estrictas.
  3. Compatibilidad legacy: Windows < 10, Android < 5, iOS < 12, routers domésticos de gama baja - WireGuard no siempre tiene cliente oficial. OpenVPN está en todas partes desde 2002.

Para los casos 1 y 2, igual puedes tunelizar WireGuard vía udp2raw en fake TCP/443 - ver plantillas WireGuard 2026, plantilla 7.

Cuándo pasar a WireGuard

Todos los demás casos. Y notablemente:

  • VPN auto-alojado en VPS personal (Contabo, Hetzner, OVH) - ganancia perf + setup simple
  • VPN móvil (iOS, Android) - ganancia batería + reconexión rápida
  • Site-to-site con enlaces alto débito (>100 Mbps) - ganancia throughput neta
  • Hub-and-spoke entre varios sitios - ganancia config (5 líneas vs 30 por peer)
  • Roadwarrior multi-país - handshake instantáneo al cambiar de red

Si partes de cero hoy en un VPS Contabo nuevo, la opción por defecto debe ser WireGuard. OpenVPN queda como opción de respaldo para casos exóticos.

Migración OpenVPN → WireGuard sin downtime

¿Ya tienes OpenVPN en prod? Migración limpia en 4 pasos:

  1. Desplegar WireGuard en paralelo en el mismo VPS, puerto 51820, subred 10.66.66.0/24 (distinta de la de OpenVPN).
  2. Adaptar reglas iptables: MASQUERADE ambas subredes, sin FORWARD entre ellas.
  3. Migrar clientes uno por uno, probando conectividad desde cada uno antes de eliminar su cert OpenVPN.
  4. Desactivar OpenVPN: systemctl stop openvpn-server@server luego disable. Mantener config 30 días por si acaso, luego apt remove openvpn.

Sin downtime, sin cliente que se quede sin VPN. Para una flota de unas decenas de peers, una migración progresiva como esta suele hacerse en un par de semanas, sin interrupción del servicio.

Veredicto

WireGuard es la opción por defecto en 2026 para la gran mayoría de los casos self-host. Más rápido en enlaces rápidos (menos caudal perdido en overhead), más simple (~5k líneas vs ~70k), más ligero en batería móvil, auditado de extremo a extremo. OpenVPN sigue siendo relevante para TCP-only, puerto 443 estricto, o compatibilidad legacy.

Si quieres el setup completo WireGuard sobre VPS Contabo, la guía paso a paso te lleva del registro en Contabo al primer ping. El proveedor que recomendamos es Contabo Cloud VPS 10 (5,50 €/mes a 24 meses).

Y para plantillas de config listas para pegar: Plantillas WireGuard 2026.

¿No sabes qué proveedor elegir para tu servidor WireGuard? El comparador VPS interactivo filtra Contabo, Hetzner y OVH por latencia desde tu región, RAM y precio a 24 meses - exactamente los criterios que importan para un nodo de salida VPN. Una vez elegido el proveedor, sáltate la generación manual de claves: nuestro generador de configuración WireGuard produce un wg0.conf verificado y listo para pegar en menos de un minuto.

★ Datacenter Núremberg GDPR · ✓ IPv4 dedicada incluida · 200+ Mbps garantizados

Lanza el VPS de esta guía → ContaboIPv4 pública · root completo · ubicaciones UE y US

Preguntas frecuentes

¿WireGuard es realmente más rápido en todas partes?
En enlaces de 100+ Mbps sí - WireGuard se mantiene mucho más cerca de la velocidad de línea bruta que OpenVPN UDP, de forma constante, gracias a su implementación en el kernel y su menor overhead por paquete. Por debajo de ~10 Mbps la diferencia casi desaparece porque el cuello de botella pasa a ser la velocidad del enlace, no el CPU.
¿OpenVPN es más seguro?
No. WireGuard usa primitivas modernas (Curve25519, ChaCha20-Poly1305, BLAKE2s) auditadas por Cure53. OpenVPN es sólido pero su superficie de ataque (~70.000 líneas C) es 14× la de WireGuard (~5.000 líneas kernel).
¿Cuándo mantener OpenVPN?
Si necesitas TCP-only (bypass firewalls corporativos), puerto 443 estándar, o soporte nativo iOS/Android anterior a 12.0. WireGuard es UDP-only (TCP vía wstunnel posible).