«VPN autoalojada» significa tres cosas diferentes para tres audiencias diferentes, y la mayoría de las listas fallan porque las tratan como una sola. Un usuario que se preocupa por la privacidad y quiere reemplazar un servicio de VPN comercial con su propio nodo de salida no está resolviendo el mismo problema que un equipo de ingeniería de cuatro personas que conecta un laboratorio doméstico a AWS. Las herramientas se solapan, pero la herramienta adecuada para una tarea rara vez es la adecuada para otra.
Esta guía está estructurada en torno a esa división. Tres casos de uso, tres recomendaciones principales y las concesiones honestas que conlleva cada una. Aquí no hay tutoriales de instalación. Cuando se identifique la herramienta adecuada para tu tarea, encontrarás enlaces a las guías completas de instalación.
La versión corta
- Para la privacidad personal como tu propio nodo de salida, implementa WireGuard en un VPS pequeño en una jurisdicción fuera de los Five Eyes. WireGuard Easy añade una interfaz web si la quieres. OpenVPN solo cuando tu red bloquea UDP.
- Para una malla de equipo que conecta portátiles, laboratorios domésticos y VPC en la nube, Tailscale es la respuesta pragmática para la mayoría de los equipos. Ejecuta Headscale o Netmaker solo si controlar el plano de control forma parte de tu modelo de amenazas.
- Para usuarios en entornos de internet restrictivos, Hiddify Manager es actualmente la mejor respuesta. WireGuard y OpenVPN no sobreviven por sí solos a la inspección profunda de paquetes.
- Un VPS de 1 vCPU y 512 MB gestiona un servidor WireGuard personal con margen de sobra. El cuello de botella es el ancho de banda, no el cómputo.
Cuándo tiene sentido realmente autoalojar una VPN
Una VPN comercial te da miles de IP de salida compartidas y cero mantenimiento. Una VPN autoalojada te da exactamente una IP, una ubicación y la responsabilidad total del servidor. Son productos diferentes, a pesar de cómo se comercializan a menudo.
El autoalojamiento es la opción correcta cuando se cumple una de las siguientes condiciones:
- Quieres minimizar el número de partes que pueden ver tu tráfico sin cifrar. Con una VPN comercial, el proveedor puede. Con una VPN autoalojada, solo tú puedes.
- Necesitas una jurisdicción concreta. Fráncfort por la exposición al GDPR. Sídney para probar servicios australianos con restricciones geográficas. Suiza por una ley de protección de datos más sólida (cuando hay disponibilidad). Los proveedores comerciales ocultan esto; el autoalojamiento lo hace explícito.
- Estás conectando infraestructura de equipo, no solo enrutando tu navegación personal.
- Estás en un entorno de censura donde las propias VPN comerciales están bloqueadas.
El autoalojamiento es la opción equivocada cuando quieres la máxima diversidad de IP para streaming, cuando no quieres mantener un servidor Linux o cuando tu modelo de amenazas es puramente «impedir que mi ISP venda mis datos de navegación». Para el tercer caso, el DNS cifrado junto con tu navegador actual hace la mayor parte del trabajo.
Hay una limitación que vale la pena mencionar pronto porque aparece en muchas discusiones honestas sobre las VPN autoalojadas. WireGuard, por diseño, conserva la última dirección IP vista de cada peer en el estado del kernel. Un proveedor de VPN comercial puede afirmar que «no guarda registros», pero no tienes forma de verificarlo. Quien autoaloja sí puede verificarlo, y la verificación te dirá que el kernel sí conoce la IP desde la que tu teléfono se conectó esta mañana. La mitigación no consiste en ignorar esto; consiste en rotar claves, eliminar el estado del kernel de forma programada y aceptar la concesión.
Caso de uso 1: Nodo de salida para privacidad personal
Veredicto rápido: WireGuard en un VPS pequeño en una jurisdicción fuera de los Five Eyes. WireGuard Easy si quieres una interfaz web sin la línea de comandos. OpenVPN solo cuando UDP esté bloqueado en la red desde la que te conectas.
WireGuard: la opción por defecto
WireGuard es la respuesta correcta para el caso de uso de nodo de salida orientado a la privacidad.
El protocolo usa el framework Noise para el intercambio de claves y completa un handshake en un único viaje de ida y vuelta. OpenVPN usa TLS, que requiere múltiples viajes de ida y vuelta y expone más metadatos en el proceso. La sobrecarga de latencia de WireGuard suele ser de 1 a 3 milisegundos por encima de tu conexión subyacente. OpenVPN añade del 20 al 30 por ciento de sobrecarga de latencia en condiciones comparables.
Cifras de rendimiento de un benchmark revisado por pares de 2025 en de MDPI, Computers la revista: aproximadamente 210 Mbps con WireGuard frente a 110 Mbps con OpenVPN en las mismas condiciones de VM con túnel TCP. En hardware bare-metal con el módulo del kernel activado, WireGuard puro alcanza unos 8 Gbps en hardware de clase gigabit; allí el límite es la tarjeta de red, no el protocolo.
El código base tiene aproximadamente 4,000 líneas. El de OpenVPN es muchas veces mayor. Un código base pequeño no es seguridad en sí mismo, pero hace que las auditorías sean prácticas. WireGuard ha sido auditado; se incorporó al kernel principal de Linux en la versión 5.6 y es el predeterminado en la mayoría de las distribuciones.
La configuración es un archivo de texto de 12 líneas. No hay razón para que sea más complicado que esto. El tutorial completo de instalación está documentado en nuestro blog, que cubre la instalación de paquetes, la generación de claves, la configuración de peers y las reglas de firewall.
Un VPS barato y sencillo gestiona un servidor WireGuard personal con ancho de banda de sobra. El cuello de botella será tu conexión a internet doméstica, no el servidor. Para la mayoría de los lectores, un VPS barato es más que suficiente para ejecutar su configuración de WireGuard.
Consejo profesional: WireGuard registra la última dirección IP vista de cada peer en el estado del kernel. Para una privacidad genuina sin registros, acepta esto y rota las claves, o elimina el estado del kernel de forma programada. No finjas que la limitación no existe. La nota técnica de privacidad de WireGuard de Proton VPN reconoce esto en su propia implementación.
WireGuard con una interfaz web
Si gestionar peers desde la línea de comandos no te resulta atractivo, vale la pena conocer dos envoltorios.
WireGuard Easy es un contenedor de Docker que expone un panel de administración web. Genera configuraciones de peers, imprime códigos QR para clientes móviles y almacena todo en un único volumen de configuración. La instalación es rápida. Es adecuado para uso personal y hogares pequeños.
WGDashboard es una alternativa más pesada. Soporta más peers, más funciones administrativas, más tiempo de instalación. Vale la pena si gestionas más de 20 peers; de lo contrario, WireGuard Easy es suficiente.
Cuándo OpenVPN aún tiene su lugar
OpenVPN no está obsoleto. Sobrevive en dos escenarios específicos.
El primero son las redes restrictivas que bloquean UDP. WireGuard se ejecuta solo sobre UDP, por diseño. Las redes corporativas, el WiFi de los hoteles y algunos operadores móviles bloquean todo el tráfico UDP excepto el DNS. OpenVPN puede ejecutarse sobre TCP en el puerto 443, lo que le ayuda a atravesar muchos firewalls restrictivos. Si te conectas con regularidad desde redes que te complican el UDP, OpenVPN es la alternativa.
El segundo es el amplio soporte para clientes heredados. Existen clientes de OpenVPN para todos los sistemas operativos que han funcionado en los últimos quince años, incluidas plataformas a las que WireGuard no apunta. Si tu población de lectores incluye teléfonos antiguos o dispositivos, la compatibilidad de OpenVPN es más amplia.
OpenVPN Access Server añade una interfaz de administración web sobre el protocolo y es gratuito para dos conexiones simultáneas. Más allá de dos conexiones, la licencia es por usuario. Pritunl es una tercera opción que añade un panel de administración comparable tanto para OpenVPN como para WireGuard sin licencia por usuario. Para uso personal, el nivel gratuito de OpenVPN AS es suficiente. Para equipos pequeños que han descartado Tailscale, Pritunl es la opción más limpia. El tutorial completo de instalación de OpenVPN puro se trata en nuestro artículo sobre instalar OpenVPN en un VPS.
Elegir una ubicación
La jurisdicción importa más que el rendimiento a esta escala. Si parte de tu motivo para autoalojar es reducir la exposición a los acuerdos de intercambio de inteligencia, el grupo relevante es la alianza Five Eyes (US, UK, Canadá, Australia, Nueva Zelanda) y sus socios ampliados. Fráncfort y Ámsterdam son opciones comunes fuera de los Five Eyes en Europa. Dubái es interesante si tu tráfico está en la región de Oriente Medio. Suiza y Singapur tienen marcos de protección de datos más sólidos, pero a menudo están agotados en los proveedores más pequeños.
Si WireGuard se ajusta a tus necesidades, nuestro VPS WireGuard de un clic te ahorra el proceso de instalación y se instala en minutos.
Caso de uso 2: Redes de malla para equipos
Veredicto rápido: Tailscale para la mayoría de los equipos. Headscale o Netmaker si necesitas controlar el plano de control. Malla de WireGuard puro solo si tienes menos de 10 nodos y paciencia.
Tres ingenieros remotos, un laboratorio doméstico, un servidor de staging en AWS y una VM de base de datos en un rack en colocación. Las cinco máquinas necesitan comunicarse entre sí sin exponer puertos públicos. Ninguna de ellas tiene una IP pública estable. Dos de ellas están detrás de Carrier-Grade NAT.
Este es un problema que la malla de WireGuard no fue diseñada para resolver con elegancia a escala.
Por qué la malla de WireGuard puro duele a escala
Una malla requiere que cada peer conozca a todos los demás peers. El formato de configuración de WireGuard refleja esto directamente: cada peer tiene una sección [Peer] por cada nodo con el que se comunica. Cinco nodos significan que cada archivo de configuración tiene cuatro bloques [Peer], y el número total de configuraciones que mantener en toda la malla es N por (N menos 1) dividido entre 2.
Con cinco nodos, eso son 10 pares de conexión. Con 10 nodos, 45. Con 20, 190. El crecimiento es cuadrático. Añadir un solo nodo a una malla de 20 nodos requiere actualizar 20 archivos de configuración y reiniciar 20 demonios. Eliminar una clave requiere lo mismo.
Existen herramientas como wg-meshconf y Netmaker para automatizar esto.
Tailscale: recomendación honesta para la mayoría de los equipos
Tailscale es genuinamente lo bastante bueno para la mayoría de los equipos. El plano de control está alojado por Tailscale, el plano de datos es peer-to-peer directo y el nivel gratuito cubre 100 dispositivos. La instalación lleva menos de cinco minutos. El cruce de NAT funciona en la mayoría de los entornos de red sin configuración. Las ACL se gestionan de forma centralizada.
La advertencia honesta: el plano de control es una dependencia de terceros. Tailscale distribuye las claves de WireGuard que conectan tus dispositivos. Si el servidor de coordinación de Tailscale se ve comprometido, un atacante podría en principio introducirse en la malla. Tailscale publica documentación detallada del modelo de amenazas reconociendo esto y usa bloqueos de tailnet y atestación de nodos para protegerse contra ello. Para la mayoría de los equipos, esta dependencia es aceptable. Para los equipos cuyo modelo de amenazas incluye atacantes a nivel de estado-nación o requisitos regulatorios estrictos sobre los metadatos de coordinación, no lo es.
El plano de datos de Tailscale evita los servidores de la empresa cuando es posible. Cuando el peer-to-peer directo falla, el tráfico recurre a los servidores de retransmisión DERP de Tailscale, que están limitados a aproximadamente 5 Mbps. Si dos de tus nodos siempre acaban en DERP por una patología de NAT, el límite de la retransmisión se convierte en el cuello de botella.
Consejo profesional: Si el ISP de tu hogar usa Carrier-Grade NAT, no puedes aceptar conexiones entrantes en casa. Tailscale y Headscale gestionan esto mediante hole-punching y recurso a DERP automáticamente. WireGuard puro requiere un VPS accesible públicamente como retransmisor, con el nodo doméstico actuando como cliente que inicia conexiones salientes.
Headscale: cuando necesitas controlar el plano de control
Headscale es una reimplementación de código abierto del servidor de coordinación de Tailscale. El cliente oficial de Tailscale se conecta a Headscale en lugar de a los servidores alojados de Tailscale, y la experiencia de cara al usuario es similar. Pero tiene una concesión crucial: operas tú mismo el plano de control, lo que significa que el tiempo de actividad, las actualizaciones y los parches de seguridad son tu problema.
A Headscale le falta parte del pulido de Tailscale. La configuración de ACL es por YAML y CLI, no por una interfaz web. Ocasionalmente surgen casos límite de MagicDNS que el cliente oficial gestiona de forma silenciosa en la versión alojada. El proyecto está bien mantenido, se ejecuta en producción en organizaciones que lo necesitan y es adecuado para equipos cuyo modelo de amenazas o postura de cumplimiento requiere una coordinación autoalojada.
El mantenimiento de Headscale es un trabajo continuo. Si prefieres delegarlo, un Linux VPS con un SLA de tiempo de actividad del 99.95% y soporte 24/7 gestiona la carga de trabajo del controlador sin la carga de la guardia. El controlador en sí es ligero porque solo gestiona la coordinación; el tráfico real de la malla es peer-to-peer.
Netmaker
Netmaker es una capa de coordinación alternativa que se ejecuta sobre WireGuard en lugar de reimplementar Tailscale. La diferencia arquitectónica es significativa: cuando el peer-to-peer directo falla, Netmaker puede enrutar a través de nodos de retransmisión autoalojados sin el límite de 5 Mbps que impone el DERP de Tailscale. Para mallas de equipo que necesitan un rendimiento constante a través de los fallos de NAT, esto importa.
La experiencia de desarrollador de Netmaker es más áspera que la de Tailscale. La edición comunitaria se ejecuta en un único VPS y soporta los casos de uso que tienen la mayoría de los equipos pequeños. La edición comercial de Netmaker añade funciones empresariales, pero no forma parte de esta discusión.
Nuestro VPS Netmaker de un clic viene con una instalación rápida sobre una infraestructura veloz.
Caso de uso 3: Eludir la censura
Veredicto rápido: Hiddify Manager para entornos de censura activa. Outline para regiones más sencillas. WireGuard y OpenVPN no sobreviven a la inspección profunda de paquetes. No los implementes como herramientas anticensura.
El tráfico de WireGuard es identificable por su estructura de paquetes UDP, por lo que puede bloquearse. El problema no es que el cifrado de WireGuard sea débil. El cifrado está bien. El problema es que los paquetes cifrados parecen una VPN, y la censura moderna inspecciona la forma de los paquetes, el tiempo y las huellas del protocolo, no solo el contenido de la carga útil.
Una VPN autoalojada como tu única herramienta anticensura fallará en cualquier entorno con inspección profunda de paquetes activa. El enfoque correcto es una categoría diferente de herramienta: tráfico que imita la navegación web ordinaria lo bastante bien como para que el censor no pueda distinguirlo del tráfico HTTPS real hacia un sitio web real.
Esta categoría envejece más rápido que el resto de esta guía. Los censores se adaptan. Los protocolos se bloquean. Nuevos métodos de ofuscación, como REALITY e Hysteria2, surgieron en los últimos dos años y los próximos dos traerán más. La lógica de selección, que consiste en ajustar el nivel de ofuscación al entorno de censura, es duradera. La herramienta concreta que funciona en tu país hoy puede que no funcione dentro de seis meses. El repositorio de GitHub y el rastreador de incidencias de Hiddify es el lugar para comprobar el estado actual antes de implementar.
Hiddify Manager: la mejor respuesta actual
Hiddify Manager es una metaherramienta. No es en sí mismo un único protocolo de VPN; es una capa de administración que implementa, gestiona y rota más de 20 protocolos anticensura subyacentes en un único VPS. La versión Hiddify v12 lanzada en febrero de 2026 admite:
- Reality (XTLS sobre VLESS)
- Hysteria2
- Shadowsocks-2022 con las variantes TLS
- V2Ray y Xray con transportes WS, gRPC y H2
- WireGuard como alternativa
El panel de administración web gestiona la administración de usuarios, los límites de tráfico y el enrutamiento de protocolo por usuario.
La función de rotación de protocolos es la parte que importa en la práctica: cuando un protocolo empieza a fallar en un país determinado, el administrador cambia a los usuarios a otro sin reimplementar el servidor. Esta es la diferencia operativa entre Hiddify y un stack de un solo protocolo.
Dos notas sobre protocolos que vale la pena entender antes de la implementación. Reality es lo más avanzado actualmente para la evasión de huellas TLS. Imita una conexión HTTPS real a un sitio web público real (que elige el operador, normalmente un sitio de mucho tráfico como cloudflare.com), y un censor que inspecciona el handshake ve lo que parece una conexión ordinaria a ese sitio. Hysteria2 es un protocolo basado en UDP con ofuscación integrada que rinde bien en redes con pérdidas; es más rápido que las alternativas basadas en TCP cuando la red es inestable, lo que describe la mayoría de las conexiones de consumo en entornos restringidos.
El marketplace de Cloudzy también ofrece una imagen de Hiddify de un clic sobre la misma infraestructura de VPS Linux, implementable en minutos.
La selección de ubicación para este caso de uso difiere de los casos de uso de privacidad. Evita los puntos de salida de US y de las principales ubicaciones de la EU cuando sirvas a usuarios en regiones con mucha detección. Buenas opciones incluyen Dubái, Fráncfort, Ámsterdam y Singapur, que ofrecen una amplia cobertura geográfica.
V2Ray, Xray, Shadowsocks: la capa subyacente
V2Ray y su fork Xray son la familia de protocolos que Hiddify envuelve. Si Hiddify es demasiada abstracción y quieres implementar un único protocolo con configuración manual, V2Ray o Xray directamente es el camino. La concesión es operativa: gestionas tú solo el demonio, el certificado TLS, la configuración de ofuscación y los modos de fallo. A la mayoría de los lectores les servirá mejor Hiddify.
Shadowsocks es más antiguo. El protocolo original todavía funciona en muchos entornos, pero cada vez lo detecta más la DPI moderna. Shadowsocks-2022 añadió mejoras de cifrado de flujo que cierran algunas clases de detección, pero no aborda por sí solo los ataques de huellas de protocolo. Es razonable como una opción dentro de una implementación de Hiddify, menos razonable como herramienta independiente en 2026.
Outline: regiones más sencillas
Outline es el envoltorio de Jigsaw alrededor de Shadowsocks con una interfaz de administración amigable. En 2026 pasó a la Outline Foundation como un proyecto independiente. Outline es una opción razonable para usuarios en entornos donde la censura es menos agresiva, donde la ofuscación simple de clase Shadowsocks todavía funciona y donde quien implementa no es técnico y quiere una experiencia empaquetada. Hiddify abarca más terreno en la mayoría de los entornos.
Comparación lado a lado
| Herramienta | Ideal para | Instalación | Rendimiento | Cruce de firewall | Requisito mínimo de VPS | Modelo de confianza |
|---|---|---|---|---|---|---|
| WireGuard | Nodo de salida personal | Bajo | ~210 Mbps con túnel, ~8 Gbps con kernel bare-metal | Solo UDP; bloqueado por algunas redes | 12 MB RAM | Autoalojado; tú controlas todas las claves |
| WireGuard Easy | Personal, se prefiere interfaz web | Bajo | Igual que WireGuard | Solo UDP | 512 MB RAM | Autoalojado |
| OpenVPN AS | Redes con UDP bloqueado | Medio | ~110 Mbps con túnel | TCP 443 parece HTTPS | 1 GB RAM | Autoalojado; 2 conexiones gratuitas |
| Pritunl | Panel OpenVPN/WG para equipos pequeños | Medio | Comparable al protocolo subyacente | UDP o TCP | 2 GB RAM | Autoalojado; sin tarifas por usuario |
| Tailscale | La mayoría de los equipos | Muy baja | P2P directo cerca de la velocidad de línea; DERP limitado a 5 Mbps | Cruce de NAT automático | Ninguno requerido (plano de control alojado) | Plano de control alojado |
| Headscale | Equipos que necesitan un plano de control autoalojado | Medio | Igual que Tailscale | Cruce de NAT automático | 1 GB RAM | Totalmente autoalojado |
| Netmaker | Malla de equipo, sin límite de DERP | Medio | Rendimiento de clase WireGuard | Cruce de NAT mediante retransmisores autoalojados | 1 GB RAM | Totalmente autoalojado |
| Hiddify Manager | Anticensura, regiones restrictivas | Medio (interfaz web) | Depende del protocolo | Evasión de DPI mediante REALITY, Hysteria2, etc. | 1 GB RAM | Autoalojado |
Elige primero el caso de uso
La decisión está por encima de la herramienta.
- Implementa WireGuard cuando tu caso de uso es la privacidad personal como tu propio nodo de salida.
- Usa Tailscale si tu caso de uso es conectar las máquinas de un equipo, a menos que controlar el plano de control forme parte de tu modelo de amenazas, en cuyo caso opta por Headscale o Netmaker.
Las herramientas no son intercambiables; el modo de fallo de usar una para otro caso de uso es real.
Sea cual sea el camino que se aplique, la parte difícil de la implementación y el mantenimiento sigue ahí. El marketplace de Cloudzy tiene implementaciones de un clic para todas las herramientas cubiertas arriba. La parte difícil es hacer coincidir la herramienta con el modelo de amenazas. Esa parte está por encima de cualquier botón de implementación.
Preguntas frecuentes
¿Debería usar WireGuard u OpenVPN para mi VPN autoalojada?
WireGuard para casi todos los casos. Es más rápido, tiene menor latencia, viene incluido en el kernel de Linux y es mucho más sencillo de configurar. Usa OpenVPN solo cuando necesites atravesar firewalls que bloquean UDP (configurado en el puerto TCP 443) o cuando necesites un amplio soporte para clientes heredados al que WireGuard todavía no apunta.
¿Tailscale es realmente autoalojado?
No. El plano de datos de Tailscale es peer-to-peer, pero el plano de control (distribución de claves, coordinación de identidad) está alojado por Tailscale. Para muchos equipos, el plano de control alojado de Tailscale es aceptable; la cuestión es si tu modelo de amenazas lo trata como una dependencia que puedes aceptar.
¿Cuál es el tamaño mínimo de VPS para ejecutar una VPN autoalojada?
512 MB of RAM and one virtual CPU is enough for personal WireGuard or OpenVPN. For team mesh controllers like Headscale or Netmaker, 1 GB of RAM is comfortable. For anti-censorship multi-user setups like Hiddify, 1 to 2 GB of RAM handles a small group of users. None of these workloads need a CPU-optimised plan.
¿Puedo ejecutar WireGuard si el ISP de mi hogar usa CGNAT?
No como un servidor al que inicies conexiones desde fuera. Carrier-Grade NAT impide por completo las conexiones entrantes a tu IP doméstica. Dos caminos para sortear esto: alquilar un VPS pequeño como retransmisor accesible públicamente, con tu dispositivo doméstico conectándose hacia él de forma saliente; o usar Tailscale o Headscale, que gestionan el cruce de NAT mediante hole-punching de forma automática. Ambos funcionan; el enfoque del VPS te da una IP estable, el enfoque de Tailscale te da una malla.