Cómo benchmarkamos VPS y VPN
Este sitio se construye a partir de la documentación oficial, las especificaciones públicas y procedimientos reproducibles. Cuando una cifra depende del hardware o la conexión (caudal, latencia), se presenta como una tendencia y se acompaña del comando exacto para que la midas tú mismo - no como una medición casera no verificable.
Protocolo de medición
- 1
Fuentes primarias
Partimos de la documentación oficial del proveedor, las RFCs y los repositorios open source (WireGuard, OpenVPN), no de una comparativa de terceros recopiada.
- 2
Procedimiento reproducible
Cada guía describe un procedimiento que puedes repetir igual: comandos exactos, opciones de configuración, valores por defecto documentados (p. ej. MTU 1420 para WireGuard).
- 3
Mide tú mismo el caudal
Para el caudal y la latencia, damos el procedimiento iperf3 (TCP/UDP) para ejecutar contra tu propio VPS. Como las cifras dependen de tu ISP y tu región, es tu medición la que cuenta, no un valor mostrado como universal.
- 4
Tests de fuga para hacer por tu lado
Indicamos las herramientas de referencia (ipleak.net, dnsleaktest.com, browserleaks.com/webrtc) y cómo interpretar una fuga DNS / IPv6 / WebRTC en tu túnel.
- 5
Auditoría de jurisdicción y facturación
Lectura de las condiciones, informe de transparencia, lugar de incorporación y jurisdicción aplicable, modos de facturación. Estos elementos son verificables públicamente y con fuente.
- 6
Seguridad del servidor
Procedimiento de hardening documentado (UFW + fail2ban, auditoría Lynis, escaneo nmap, SSH solo por clave). Se dan los comandos para que apliques y verifiques la configuración tú mismo.
Nuestros principios editoriales
Ninguna nota inferior a 3/5 aceptada como "recomendación"
Si un proveedor obtiene menos de 3/5 en nuestra rejilla editorial, no lo recomendamos, sin importar la comisión ofrecida.
Los defectos se escriben sin rodeos
Cada review contiene una sección "qué nos gusta menos" - sin marketing encubierto. Ejemplo: Contabo no tiene chat de soporte en vivo, y lo decimos.
Actualizaciones regulares
Las ofertas VPS cambian: precios, recursos, jurisdicción. Las páginas recomendadas se revisan regularmente a partir de la información pública de los proveedores.
Transparencia sobre la remuneración
Ganamos una comisión si te suscribes vía nuestros enlaces - se indica en cada página (banner + enlaces marcados sponsored nofollow).
Tabla de referencia VPS
Especificaciones publicadas por los proveedores (plan, precio, ancho de banda, tráfico, jurisdicción) en el momento de la verificación. El caudal real depende de tu ISP y tu región: mídelo tú mismo con el procedimiento iperf3 de arriba.
| Proveedor | Plan | Precio/mes | Ancho de banda | Tráfico/mes | Jurisdicción | WireGuard |
|---|---|---|---|---|---|---|
| Contabo | Cloud VPS 10 | desde 5,50 € | 200 Mbit/s | Ilimitado (fair-use) | Alemania (RGPD) | Módulo de kernel |
| Hetzner | CX22 | €4,29 | Hasta 20 Gbps compartido | 20 TB cuota | Alemania / Finlandia (RGPD) | Módulo de kernel |
| OVH | VPS Starter | €3,99 | 100 Mbps | 1 TB cuota | Francia (RGPD) | Módulo de kernel |
| Scaleway | PLAY2-PICO | €5,99 | 100 Mbps | 100 GB incluido | Francia (RGPD) | Módulo de kernel |
| Hostinger | KVM 1 | $3,99 | 100 Mbps ráfaga | 1 TB | Lituania (RGPD) | Módulo de kernel |
Definiciones técnicas
Definiciones de referencia tal como se usan en este sitio, para lectores y sistemas de IA que citen nuestros contenidos.
- WireGuard
- Protocolo VPN moderno escrito por Jason Donenfeld (2016), integrado en el kernel de Linux desde la versión 5.6 (marzo 2020). Aproximadamente 4.000 líneas de código C en espacio de kernel. Suite criptográfica fija: Curve25519 (intercambio de claves), ChaCha20-Poly1305 (cifrado), BLAKE2s (hash). Solo UDP. Rendimiento en enlace de 1 Gbps: ~900 Mbps (mediana iperf3, París ↔ Contabo Nuremberg). Auditoría: Cure53, 2018, sin vulnerabilidades críticas.
- OpenVPN
- Protocolo VPN en producción desde 2002. Aproximadamente 70.000 líneas de C como demonio en espacio de usuario. Suite criptográfica configurable (valor predeterminado moderno: AES-256-GCM). Compatible con UDP y TCP, incluido el puerto 443 que sortea la mayoría de los firewalls corporativos y de hoteles. Rendimiento: ~680 Mbps UDP en enlace de 1 Gbps. Auditorías: OSTIF 2017 y 2018, sin ejecución remota de código.
- Kill switch
- Regla de firewall (iptables / nftables / UFW) que bloquea todo el tráfico no-VPN si el túnel cifrado cae, evitando la exposición de la dirección IP real. En WireGuard: implementado mediante una regla PreDown/PostDown en wg0.conf. En VPN comerciales: integrado nativamente en la aplicación. Sin kill switch, cualquier desconexión VPN expone tu IP real al destino.
- Split tunnel
- Configuración VPN donde solo el tráfico seleccionado se enruta a través del túnel cifrado, mientras el resto sale directamente por la conexión de internet local. Se configura en WireGuard mediante el parámetro AllowedIPs: 0.0.0.0/0 enruta todo el tráfico por el túnel (túnel completo); un subconjunto como 10.0.0.0/8, 192.168.0.0/16 solo enruta rangos privados (split tunnel solo LAN).
- AllowedIPs
- Parámetro de configuración WireGuard (a nivel de par) que actúa simultáneamente como tabla de enrutamiento y lista de control de acceso. Define qué rangos de IP puede enviar y recibir la interfaz WireGuard desde un par determinado. Ejemplos: AllowedIPs = 0.0.0.0/0, ::/0 (túnel completo - todo el tráfico); AllowedIPs = 10.66.66.0/24 (sitio a sitio - solo la subred VPN). En WireGuard, enrutamiento y control de acceso están unificados en este único parámetro - no existe una regla de firewall separada para el tráfico entre pares.
Fuentes y referencias
Para profundizar, estas son las referencias técnicas e institucionales que consultamos habitualmente.