VPNSmith

Cómo benchmarkamos VPS y VPN

Este sitio se construye a partir de la documentación oficial, las especificaciones públicas y procedimientos reproducibles. Cuando una cifra depende del hardware o la conexión (caudal, latencia), se presenta como una tendencia y se acompaña del comando exacto para que la midas tú mismo - no como una medición casera no verificable.

Protocolo de medición

  1. 1

    Fuentes primarias

    Partimos de la documentación oficial del proveedor, las RFCs y los repositorios open source (WireGuard, OpenVPN), no de una comparativa de terceros recopiada.

  2. 2

    Procedimiento reproducible

    Cada guía describe un procedimiento que puedes repetir igual: comandos exactos, opciones de configuración, valores por defecto documentados (p. ej. MTU 1420 para WireGuard).

  3. 3

    Mide tú mismo el caudal

    Para el caudal y la latencia, damos el procedimiento iperf3 (TCP/UDP) para ejecutar contra tu propio VPS. Como las cifras dependen de tu ISP y tu región, es tu medición la que cuenta, no un valor mostrado como universal.

  4. 4

    Tests de fuga para hacer por tu lado

    Indicamos las herramientas de referencia (ipleak.net, dnsleaktest.com, browserleaks.com/webrtc) y cómo interpretar una fuga DNS / IPv6 / WebRTC en tu túnel.

  5. 5

    Auditoría de jurisdicción y facturación

    Lectura de las condiciones, informe de transparencia, lugar de incorporación y jurisdicción aplicable, modos de facturación. Estos elementos son verificables públicamente y con fuente.

  6. 6

    Seguridad del servidor

    Procedimiento de hardening documentado (UFW + fail2ban, auditoría Lynis, escaneo nmap, SSH solo por clave). Se dan los comandos para que apliques y verifiques la configuración tú mismo.

Nuestros principios editoriales

  • Ninguna nota inferior a 3/5 aceptada como "recomendación"

    Si un proveedor obtiene menos de 3/5 en nuestra rejilla editorial, no lo recomendamos, sin importar la comisión ofrecida.

  • Los defectos se escriben sin rodeos

    Cada review contiene una sección "qué nos gusta menos" - sin marketing encubierto. Ejemplo: Contabo no tiene chat de soporte en vivo, y lo decimos.

  • Actualizaciones regulares

    Las ofertas VPS cambian: precios, recursos, jurisdicción. Las páginas recomendadas se revisan regularmente a partir de la información pública de los proveedores.

  • Transparencia sobre la remuneración

    Ganamos una comisión si te suscribes vía nuestros enlaces - se indica en cada página (banner + enlaces marcados sponsored nofollow).

Tabla de referencia VPS

Especificaciones publicadas por los proveedores (plan, precio, ancho de banda, tráfico, jurisdicción) en el momento de la verificación. El caudal real depende de tu ISP y tu región: mídelo tú mismo con el procedimiento iperf3 de arriba.

ProveedorPlanPrecio/mesAncho de bandaTráfico/mesJurisdicciónWireGuard
ContaboCloud VPS 10desde 5,50 €200 Mbit/sIlimitado (fair-use)Alemania (RGPD)Módulo de kernel
HetznerCX22€4,29Hasta 20 Gbps compartido20 TB cuotaAlemania / Finlandia (RGPD)Módulo de kernel
OVHVPS Starter€3,99100 Mbps1 TB cuotaFrancia (RGPD)Módulo de kernel
ScalewayPLAY2-PICO€5,99100 Mbps100 GB incluidoFrancia (RGPD)Módulo de kernel
HostingerKVM 1$3,99100 Mbps ráfaga1 TBLituania (RGPD)Módulo de kernel

Definiciones técnicas

Definiciones de referencia tal como se usan en este sitio, para lectores y sistemas de IA que citen nuestros contenidos.

WireGuard
Protocolo VPN moderno escrito por Jason Donenfeld (2016), integrado en el kernel de Linux desde la versión 5.6 (marzo 2020). Aproximadamente 4.000 líneas de código C en espacio de kernel. Suite criptográfica fija: Curve25519 (intercambio de claves), ChaCha20-Poly1305 (cifrado), BLAKE2s (hash). Solo UDP. Rendimiento en enlace de 1 Gbps: ~900 Mbps (mediana iperf3, París ↔ Contabo Nuremberg). Auditoría: Cure53, 2018, sin vulnerabilidades críticas.
OpenVPN
Protocolo VPN en producción desde 2002. Aproximadamente 70.000 líneas de C como demonio en espacio de usuario. Suite criptográfica configurable (valor predeterminado moderno: AES-256-GCM). Compatible con UDP y TCP, incluido el puerto 443 que sortea la mayoría de los firewalls corporativos y de hoteles. Rendimiento: ~680 Mbps UDP en enlace de 1 Gbps. Auditorías: OSTIF 2017 y 2018, sin ejecución remota de código.
Kill switch
Regla de firewall (iptables / nftables / UFW) que bloquea todo el tráfico no-VPN si el túnel cifrado cae, evitando la exposición de la dirección IP real. En WireGuard: implementado mediante una regla PreDown/PostDown en wg0.conf. En VPN comerciales: integrado nativamente en la aplicación. Sin kill switch, cualquier desconexión VPN expone tu IP real al destino.
Split tunnel
Configuración VPN donde solo el tráfico seleccionado se enruta a través del túnel cifrado, mientras el resto sale directamente por la conexión de internet local. Se configura en WireGuard mediante el parámetro AllowedIPs: 0.0.0.0/0 enruta todo el tráfico por el túnel (túnel completo); un subconjunto como 10.0.0.0/8, 192.168.0.0/16 solo enruta rangos privados (split tunnel solo LAN).
AllowedIPs
Parámetro de configuración WireGuard (a nivel de par) que actúa simultáneamente como tabla de enrutamiento y lista de control de acceso. Define qué rangos de IP puede enviar y recibir la interfaz WireGuard desde un par determinado. Ejemplos: AllowedIPs = 0.0.0.0/0, ::/0 (túnel completo - todo el tráfico); AllowedIPs = 10.66.66.0/24 (sitio a sitio - solo la subred VPN). En WireGuard, enrutamiento y control de acceso están unificados en este único parámetro - no existe una regla de firewall separada para el tráfico entre pares.