Por defecto, una VPN es todo o nada: la activas y todo lo que envía tu dispositivo pasa por el túnel cifrado. El split tunneling rompe esa regla. Te deja elegir qué tráfico pasa por la VPN y cuál usa tu conexión normal — útil, pero con un matiz que conviene entender. Esta guía explica qué es el split tunneling, los tipos, por qué se usa, la contrapartida honesta, y cómo hacerlo en un WireGuard autoalojado.
La definición corta
El split tunneling es una función de VPN que enruta parte de tu tráfico por el túnel cifrado y deja que el resto vaya directo por tu conexión a internet normal. En lugar de un único túnel que lo lleva todo, divides tu tráfico en dos caminos: protegido (por la VPN) y directo (no). Tú decides qué va por dónde.
Cómo funciona
Defines reglas que indican a la VPN qué tráfico incluir o excluir. Esas reglas suelen funcionar de algunas formas:
- Por aplicación — elegir apps concretas para enviar por la VPN (o mantenerlas fuera). Común en clientes VPN de escritorio y Android.
- Por destino — enrutar por rango de IP o por dominio, para que el tráfico hacia ciertos sitios o redes use el túnel y el resto no.
- Túnel dividido inverso — todo pasa por la VPN excepto una lista corta que excluyes (útil para una app que funciona mal tras una VPN).
Sea cual sea el método, el cliente VPN aplica tus reglas a cada conexión y la envía por el camino correcto.
Por qué se usa
El split tunneling va sobre todo de comodidad y rendimiento:
- Velocidad y ancho de banda. El tráfico que no necesita protección se ahorra el salto extra de la VPN: más rápido y sin consumir el caudal del túnel. Descargas grandes y videollamadas suelen ir directas.
- Acceso a la red local. Alcanzas tu impresora, tu NAS u otros dispositivos de casa mientras la VPN sigue activa para lo demás — normalmente un túnel completo te dejaría sin ellos.
- Doble acceso. Usar un servicio que bloquea VPN (algunas apps de banca o streaming) por tu conexión real mientras otra app sigue en la VPN — sin encender y apagar.
La contrapartida honesta
Aquí está lo que importa: todo lo que enrutas fuera del túnel no está protegido. Ese tráfico usa tu IP real y es visible para tu red y tu proveedor, igual que si la VPN estuviera apagada. El split tunneling cambia algo de protección por comodidad, y el principal riesgo es la mala configuración — excluir algo sensible por error, o una consulta DNS que se fuga fuera del túnel y revela lo que haces.
Así que la regla práctica es sencilla: excluye solo el tráfico que de verdad no te importa dejar sin proteger. Si usas una VPN por privacidad o en una red hostil, un túnel completo — todo por la VPN — es el ajuste por defecto más seguro, y el split tunneling es la excepción deliberada que haces para una app concreta.
Hacerlo tú mismo en WireGuard
Si alojas tu propia VPN, ya tienes split tunneling — es solo el ajuste AllowedIPs de tu configuración de cliente WireGuard. AllowedIPs = 0.0.0.0/0, ::/0 enruta todo el tráfico por el túnel (túnel completo). Indica solo subredes concretas y únicamente ese tráfico usa WireGuard mientras el resto se queda en tu conexión normal (túnel dividido). No hace falta un botón especial: la configuración de enrutamiento es el control — una razón más por la que un servidor WireGuard autoalojado te da un mando preciso sobre tu tráfico.
El veredicto
El split tunneling es una función realmente útil para velocidad, acceso local y conexiones dobles — siempre que recuerdes que el tráfico excluido no recibe ninguna protección de la VPN. Úsalo de forma deliberada para las apps que se benefician, mantén dentro del túnel todo lo sensible, y en caso de duda, envía todo por la VPN.
★ Datacenter Núremberg GDPR · ✓ IPv4 dedicada incluida · 200+ Mbps garantizados
Un VPS que controlas para túnel y ofuscación → ContaboAcceso root · abre cualquier puerto · tu propia stack→
