VPN IPsec en redes industriales: cómo funciona y comparación con OpenVPN y WireGuard
- Admin
- hace 6 días
- 13 min de lectura
IPsec, OpenVPN o WireGuard: la elección del protocolo VPN para redes industriales no es solo una comparación de rendimiento, sino una cuestión de topología, compatibilidad de dispositivos y complejidad operativa.
A medida que las redes industriales evolucionan de sistemas cerrados a infraestructuras interconectadas de forma remota, la VPN ha pasado de ser una función de seguridad de TI opcional a convertirse en una decisión arquitectónica fundamental en todo proyecto de implementación de routers industriales. El backhaul de SCADA, el mantenimiento remoto de PLC, la interconexión de subestaciones, las redes de terminales ATM: cada escenario requiere un canal de comunicación cifrado y autenticado entre sitios, dispositivos y personal de operaciones.
Sin embargo, elegir el protocolo equivocado tiene un costo considerable. Una configuración incorrecta de IPsec puede impedir que el túnel atraviese el NAT del operador; OpenVPN puede generar un cuello de botella en el throughput WAN en dispositivos de bajo consumo; WireGuard carece de soporte nativo en equipos OT antiguos. La elección del protocolo no es simplemente ordenar resultados de pruebas de rendimiento, sino un juicio integral basado en la topología de red, el ecosistema de dispositivos existente, los requisitos de cumplimiento normativo y la capacidad operativa del equipo.
Este artículo desglosa, a partir de escenarios reales de implementación con routers industriales, el funcionamiento, las diferencias clave y los límites de aplicabilidad de los tres protocolos, además de ofrecer recomendaciones de configuración organizadas por escenario, para ayudar a ingenieros de red y responsables de compras a encontrar rápidamente la solución que mejor se ajuste a las necesidades de su proyecto.
Índice
Por qué las redes industriales necesitan obligatoriamente una VPN
Al implementar routers industriales para SCADA, acceso remoto a PLC, subestaciones, plantas de tratamiento de agua, redes ATM o sistemas de videovigilancia, la elección del protocolo VPN afecta directamente la seguridad, la disponibilidad, los costos de mantenimiento y la capacidad de escalado a largo plazo. En estos entornos, la VPN no es una función de seguridad de TI opcional, sino parte integral de la arquitectura de comunicaciones industriales.
Las redes industriales modernas ya no son sistemas completamente aislados. Las implementaciones habituales incluyen terminales SCADA remotos que transmiten datos por backhaul 4G/5G, múltiples subestaciones que envían telemetría a un centro de control, sitios remotos que suben datos de calidad del agua a una plataforma en la nube, e ingenieros que diagnostican equipos a cientos de kilómetros de distancia desde su portátil. Cada conexión remota puede convertirse en un vector de ataque.
Las consecuencias de un incidente de seguridad en entornos OT suelen ser más graves que en una red de TI corporativa convencional. El acceso no autorizado a un sistema SCADA o a un PLC puede provocar daños en equipos, paradas de producción, riesgos de cumplimiento normativo e incluso incidentes de seguridad física, y no solo una fuga de datos. Por eso, la VPN es el mecanismo fundamental para cifrar y autenticar las comunicaciones entre sitios, dispositivos y personal de operaciones en redes industriales. Debe planificarse junto con la gestión de privilegios de cuenta, la exposición de puertos, las políticas de acceso remoto y el mantenimiento de firmware, no añadirse de forma improvisada una vez que el sistema ya está en producción. Para una visión completa de los riesgos de seguridad y las estrategias de mitigación en implementaciones de routers industriales, puede consultarse ¿Cuáles son los principales riesgos de la implementación de routers industriales y las estrategias de prevención? como material complementario.
Para los equipos de compras y los ingenieros de red, la pregunta real no es si usar una VPN, sino qué protocolo VPN industrial utilizar: IPsec, OpenVPN o WireGuard. La elección depende de la topología de red, el equipamiento existente, los requisitos normativos y la complejidad operativa que el equipo pueda asumir.
Conclusión rápida: qué protocolo elegir según el escenario
Para una decisión rápida, puede consultarse primero la siguiente tabla comparativa. En la selección real conviene considerar a la vez el tipo de protocolo, la topología de implementación, el método de acceso remoto y la configuración del router.
Criterio | IPsec | OpenVPN | WireGuard |
Mejor escenario | Interconexión de sitios fijos | Acceso remoto flexible | Implementación ligera de baja latencia |
Capacidad de throughput | Alta | Media | La más alta |
Complejidad de configuración | Alta | Media | Baja |
Compatibilidad con equipos OT tradicionales | La mejor | Buena | Limitada |
Soporte de aceleración por hardware | Sí | Parcial | Sí |
Atravesar NAT | Requiere NAT-T | Buena | Buena |
Aplicación industrial típica | Backhaul SCADA, redes ATM, servicios públicos | Mantenimiento remoto por ingenieros, conexiones temporales a sitios | Proyectos nuevos, gateways Linux, backhaul de videovigilancia |
Elegir IPsec: si se necesita un túnel site-to-site entre sitios fijos, si hay muchos equipos OT tradicionales en campo, o si la normativa del sector exige explícitamente IPsec.
Elegir OpenVPN: si la necesidad principal es que ingenieros y técnicos accedan de forma remota a equipos en campo, o si el firewall de la red upstream impone restricciones estrictas.
Elegir WireGuard: si la implementación se hace sobre gateways industriales Linux modernos, se requiere baja latencia y alto throughput, y no es necesaria la compatibilidad con hardware antiguo.
Configuraciones VPN recomendadas para routers industriales
El protocolo VPN no debe elegirse únicamente según resultados de pruebas de rendimiento, sino según la topología de red y el modelo operativo. El enrutamiento, el firewall, la gestión remota y la capacidad de conmutación por error también influyen directamente en la estabilidad a largo plazo de estas configuraciones.
Escenario industrial | Protocolo recomendado | Configuración recomendada | Razón de la adecuación |
Interconexión de sitios SCADA | IPsec | IKEv2 + ESP + modo túnel | Adecuado para conexiones de larga duración entre sitios fijos |
Mantenimiento remoto de PLC | OpenVPN | UDP preferido; TCP 443 si el firewall es estricto | Facilita el acceso de clientes de ingenieros |
Subestaciones/redes de servicios públicos | IPsec | IKEv2 + autenticación por certificado + NAT-T | Alta compatibilidad, facilita auditorías de cumplimiento |
Routers industriales 4G/5G | IPsec | IKEv2 + NAT-T sobre UDP 4500 | Adecuado para entornos CGNAT de operadores móviles |
Conexiones temporales a sitios | OpenVPN | Perfil VPN de un solo puerto | Implementación más rápida que un IPsec site-to-site completo |
Backhaul de videovigilancia | WireGuard | Túnel punto a punto en gateway Linux moderno | Baja latencia, alto throughput |
Redes IIoT multi-sitio modernas | WireGuard o IPsec | WireGuard para gateways modernos; IPsec si hay equipos antiguos mezclados | Equilibrio entre rendimiento y compatibilidad |
En términos generales, IPsec con IKEv2 es la opción de seguridad predeterminada para redes industriales fijas; OpenVPN es más adecuado para el acceso de mantenimiento remoto; WireGuard resulta idóneo para implementaciones de alto rendimiento con un ecosistema de dispositivos más reciente.
Cómo funciona IPsec en redes industriales
IPsec (Internet Protocol Security) es un conjunto de protocolos de seguridad que opera en la capa de red (capa 3). Puede autenticar y cifrar cada paquete IP de una sesión de comunicación, por lo que resulta prácticamente transparente para las aplicaciones industriales de capas superiores. Esto es importante en entornos OT, ya que muchas aplicaciones SCADA, de PLC o de protocolos industriales no se pueden modificar fácilmente.
IKEv1 frente a IKEv2
IPsec necesita un mecanismo de intercambio de claves para establecer el túnel. IKEv1 es el estándar más antiguo y todavía está presente en muchos routers y firewalls industriales tradicionales; IKEv2 establece el túnel más rápido, es más resistente a las interrupciones de red y facilita el manejo del atravesamiento de NAT. En proyectos nuevos, generalmente se recomienda priorizar IKEv2; IKEv1 solo debería mantenerse cuando sea imprescindible por compatibilidad con equipos antiguos.
Modo túnel frente a modo transporte
En implementaciones industriales se utiliza casi siempre el modo túnel. Este modo encapsula el paquete IP original completo dentro de un nuevo paquete IP, ocultando así las direcciones de origen y destino originales. Esto resulta especialmente crítico en una VPN site-to-site donde una subred privada accede a otra subred privada a través de Internet pública o de una red 4G/5G. El modo transporte solo cifra la carga útil y se utiliza principalmente en comunicaciones de host a host, siendo menos habitual en redes industriales.
AH frente a ESP
IPsec incluye dos tipos de protocolos de seguridad: AH (Authentication Header) y ESP (Encapsulating Security Payload). AH ofrece principalmente autenticación, sin cifrar la carga útil; ESP proporciona autenticación y cifrado simultáneamente. En entornos industriales donde se necesita proteger la confidencialidad de los datos operativos, las implementaciones reales utilizan casi siempre ESP.
Topologías industriales típicas
Hub-and-spoke: la sala de control central o el sistema SCADA en la nube actúa como hub IPsec, mientras subestaciones, estaciones de bombeo y equipos en campo actúan como spokes, y todos los sitios remotos reenvían el tráfico a través del nodo central.
Malla completa (full mesh): cada sitio establece un túnel IPsec directo con los demás, lo que aumenta la fiabilidad pero complica la gestión a gran escala.
Router a nube: el router industrial celular en campo establece un túnel IPsec directamente con el sistema SCADA en la nube o con el histórico de datos.
Cómo funciona OpenVPN y en qué escenarios aplicarlo
OpenVPN es una VPN basada en TLS/SSL que se ejecuta en espacio de usuario en lugar de en el núcleo del sistema operativo. Puede usar un único puerto TCP o UDP, o configurarse en el puerto 443 junto con el tráfico HTTPS, lo que facilita su paso por redes con restricciones de firewall estrictas.
Esta flexibilidad hace que OpenVPN sea muy adecuado para que ingenieros o técnicos accedan de forma remota a equipos en campo. Por ejemplo, cuando un ingeniero de mantenimiento necesita conectarse temporalmente a un PLC remoto para diagnóstico, el cliente OpenVPN puede establecer rápidamente un túnel cifrado hacia el router en campo. Este tipo de acceso remoto suele aparecer junto con la adquisición de datos en campo, la conversión de protocolos y la carga de datos.
El principal costo de OpenVPN es el rendimiento. Como suele ejecutarse en espacio de usuario, no puede aprovechar al máximo la aceleración de cifrado por hardware del router industrial, como sí hace IPsec. En routers embebidos de bajo consumo esto puede convertirse en un cuello de botella, aunque en equipos más nuevos con AES-NI o procesadores multinúcleo la diferencia se reduce.
Cómo funciona WireGuard y en qué escenarios aplicarlo
WireGuard es un protocolo VPN más reciente, integrado de forma nativa en el núcleo de Linux moderno. Su base de código es reducida, lo que facilita su auditoría y mantenimiento, y en muchas pruebas de rendimiento supera a IPsec y OpenVPN. WireGuard utiliza componentes criptográficos modernos como ChaCha20 y Curve25519, su modelo de conexión es más bien punto a punto y su configuración es más sencilla.
En entornos industriales, la principal limitación de WireGuard no es la seguridad, sino el soporte de dispositivos. Muchos routers industriales embebidos, RTU o sistemas propietarios ejecutan versiones de firmware antiguas que no necesariamente soportan WireGuard de forma nativa. Por eso resulta más adecuado para proyectos nuevos de routers industriales 5G, gateways Linux modernos, y escenarios con requisitos elevados de throughput y latencia.
Por ejemplo, la videovigilancia en alta definición genera una demanda de ancho de banda considerable. Cuando una fábrica inteligente transmite datos de múltiples cámaras por redes inalámbricas o celulares, la baja latencia y el bajo consumo de CPU de WireGuard pueden suponer una ventaja. Este tipo de escenario prioriza el alto ancho de banda, la baja latencia y un backhaul estable.
5 comparaciones clave en implementaciones industriales
1. Rendimiento bajo carga elevada. En hardware moderno, WireGuard suele ofrecer el mayor throughput y el menor consumo de CPU; IPsec con aceleración por hardware le sigue de cerca; OpenVPN suele ser más lento bajo cargas de cifrado elevadas. Sin embargo, para el sondeo SCADA habitual, los datos de sensores y la telemetría de bajo ancho de banda, la diferencia de rendimiento no siempre es el cuello de botella principal.
2. Compatibilidad con equipos OT tradicionales. IPsec es la opción más segura. Lleva años implementado en routers industriales, firewalls y RTU, con una compatibilidad claramente superior a la de WireGuard. El soporte de OpenVPN también es amplio, aunque no tan extendido como el de IPsec.
3. Firewall y atravesamiento de NAT. La ventaja de OpenVPN radica en la flexibilidad de puertos, especialmente al poder ejecutarse en TCP 443. IPsec, al implementarse detrás de NAT, normalmente requiere habilitar NAT Traversal, encapsulando el tráfico por UDP 4500. WireGuard usa UDP, con una adaptación a NAT relativamente sencilla, aunque en entornos con firewall estricto sigue siendo necesario abrir los puertos correspondientes.
4. Gestión de certificados y claves. IPsec con IKEv2 soporta una autenticación por certificados PKI madura, adecuada para entornos con requisitos de cumplimiento elevados. OpenVPN también utiliza un sistema de certificados, con un conjunto de herramientas maduro. WireGuard usa pares de claves pública/privada estáticas, con una configuración inicial sencilla, pero la rotación y revocación de claves a gran escala requiere una planificación específica.
5. Soporte de aceleración por hardware. Muchos routers industriales modernos integran AES-NI o coprocesadores de cifrado dedicados, que pueden mejorar notablemente el rendimiento de cifrado de IPsec. El ChaCha20 de WireGuard también tiene buen rendimiento en procesadores ARM modernos. OpenVPN, debido a su modelo en espacio de usuario, normalmente no aprovecha la aceleración por hardware tan bien como IPsec.
Casos de uso industriales reales
Redes de ATM y terminales financieras: IPsec
Los cajeros automáticos y terminales financieros requieren conexiones cifradas, siempre activas y auditables. IPsec site-to-site sobre 4G es una arquitectura habitual: cada router de terminal establece un túnel IPsec persistente con la red central del banco, y todo el tráfico de transacciones pasa por el canal cifrado. En este tipo de escenario de backhaul seguro entre terminales fijos y la red central, suele priorizarse la autenticación, la auditoría y la estabilidad del túnel. Para un esquema de implementación detallado, puede consultarse el caso de uso de routers celulares de Wavetel para redes de cajeros automáticos bancarios.
Monitoreo distribuido de calidad del agua: IPsec sobre 4G
Las plantas de tratamiento de agua, los puntos de monitoreo fluvial y los sensores de embalses suelen caracterizarse por bajo ancho de banda, múltiples nodos e implementación remota. IPsec sobre 4G/5G permite cifrar de forma transparente, en la capa IP, el backhaul de datos sin necesidad de modificar las aplicaciones de los sensores o PLC en campo. La arquitectura concreta de un sistema de monitoreo distribuido de calidad del agua ilustra cómo se materializa esta solución en un proyecto real.
Operación remota de SCADA: OpenVPN
Cuando un ingeniero de control necesita revisar alarmas de forma remota, acceder a un HMI o modificar la configuración de un PLC, OpenVPN suele resultar más conveniente. El ingeniero solo necesita conectarse según lo requiera mediante un cliente de software al router en campo, sin necesidad de mantener un túnel site-to-site permanente. La aplicación de routers industriales en sistemas SCADA recoge más detalles sobre este tipo de arquitectura de acceso remoto.
Backhaul de videovigilancia en fábricas inteligentes: WireGuard
Las cámaras IP de alta definición generan una presión considerable sobre el ancho de banda. Para proyectos nuevos de fábricas inteligentes que utilizan gateways industriales Linux modernos, WireGuard puede transportar el backhaul de video cifrado con un menor consumo de CPU, lo que resulta especialmente adecuado para escenarios de baja latencia y alto throughput.
Qué buscar al elegir un router industrial compatible con los tres protocolos VPN
El soporte de protocolos es solo el primer paso; un router VPN realmente adecuado para entornos industriales en campo también debe contar con hardware fiable, conmutación por error y capacidad de gestión remota.
Aceleración de cifrado por hardware: el AES-NI o los coprocesadores de cifrado dedicados evitan que el cifrado VPN se convierta en el cuello de botella del throughput WAN.
Soporte de IKEv2: las nuevas implementaciones deberían priorizar routers IPsec compatibles con IKEv2.
Doble SIM y conmutación celular por error: los túneles VPN 4G/5G necesitan reconectarse automáticamente tras un cambio de operador o de SIM.
Plataforma de gestión remota: en implementaciones a gran escala, se necesita poder distribuir configuraciones de forma centralizada, monitorear el estado de los túneles y ejecutar la rotación de claves. La plataforma de gestión remota Wavetel RMS soporta la gestión de plantillas VPN y el monitoreo masivo de túneles.
Flexibilidad de protocolo: que un mismo dispositivo soporte simultáneamente IPsec, OpenVPN y WireGuard permite usar perfiles VPN diferentes según el negocio. Los routers de Wavetel basados en WRTOS soportan estos tres protocolos, además de L2TP y PPTP, en el mismo hardware, e incluyen aceleración AES por hardware y conmutación por error con doble SIM.
Preguntas frecuentes
¿Se pueden ejecutar IPsec y OpenVPN simultáneamente en el mismo router?
Sí. Una práctica habitual es usar IPsec como túnel site-to-site permanente hacia el sistema SCADA central, mientras se habilita un servidor OpenVPN para el acceso remoto temporal de los ingenieros.
¿Es WireGuard lo suficientemente seguro para uso industrial?
WireGuard utiliza algoritmos criptográficos modernos y tiene una base de código reducida, lo que facilita su auditoría. El principal problema en el uso industrial no suele ser la seguridad, sino si el equipamiento y las plataformas de gestión existentes lo soportan.
¿Puede IPsec funcionar en redes celulares 4G/5G?
Sí. Dado que los operadores móviles suelen usar CGNAT, normalmente es necesario habilitar NAT-T en la implementación, de modo que el tráfico ESP de IPsec se encapsule mediante UDP 4500.
¿Cuál es la diferencia entre una VPN site-to-site y una VPN de acceso remoto?
Una VPN site-to-site conecta dos redes fijas, por ejemplo una subestación y un centro de control, y suele mantenerse conectada de forma permanente; una VPN de acceso remoto permite que un dispositivo personal se conecte según lo necesite a la red en campo, como el portátil de un ingeniero accediendo al PLC de una planta.
¿Los routers industriales 4G soportan VPN IPsec?
La mayoría de los routers industriales 4G/5G soportan IPsec, normalmente con opciones IKEv1/IKEv2. En implementaciones sobre redes celulares se recomienda habilitar NAT-T.
¿Es IPsec más adecuado que OpenVPN en redes SCADA?
Para conexiones SCADA site-to-site fijas y de larga duración, IPsec suele ser más adecuado, ya que opera en la capa de red, ofrece alta compatibilidad y facilita la aceleración por hardware. OpenVPN es más adecuado para el acceso remoto según demanda.
¿Cómo elegir un router VPN para el acceso remoto a PLC?
Debe elegirse un router industrial que soporte OpenVPN, IPsec, autenticación de usuarios, políticas de firewall, gestión remota y conmutación celular por error. Si el proyecto exige un alto rendimiento, el soporte de WireGuard también aporta valor. Las especificaciones del router industrial 5G WR677 pueden tomarse como referencia comparativa.
Referencias técnicas
IETF RFC 4301: Security Architecture for the Internet Protocol
IETF RFC 7296: Internet Key Exchange Protocol Version 2 (IKEv2)
IETF RFC 4303: IP Encapsulating Security Payload (ESP)
RFC 3948: UDP Encapsulation of IPsec ESP Packets
Documentación oficial de OpenVPN: OpenVPN Daemons Interface and Ports
Especificación oficial del protocolo y la criptografía de WireGuard
Conclusión
La elección del protocolo VPN industrial no consiste simplemente en comparar cuál es técnicamente más avanzado, sino en evaluar si se adapta a la topología del entorno, al equipamiento existente, a los requisitos normativos y al modelo operativo. IPsec sigue siendo el protocolo principal para la seguridad de redes industriales, por ser universal, maduro, altamente compatible, compatible con aceleración por hardware y adecuado para la interconexión de sitios fijos con requisitos normativos elevados. OpenVPN complementa los escenarios de acceso remoto y atravesamiento de firewalls. WireGuard, por su parte, representa la dirección de evolución hacia conexiones cifradas modernas y de bajo overhead, adecuadas para gateways Linux de nueva implementación y aplicaciones de alto rendimiento.
A nivel de dispositivo, el soporte simultáneo de IPsec, OpenVPN y WireGuard determina si un router puede cubrir distintos escenarios como SCADA, acceso remoto a PLC, videovigilancia, redes ATM, servicios públicos y redes industriales multi-sitio. La aceleración AES por hardware, la conmutación celular por error con doble SIM y la capacidad de gestión remota influyen, además, en la estabilidad de los túneles, la recuperación ante fallos y la eficiencia operativa a gran escala. Si desea conocer el modelo de router más adecuado para su proyecto, puede ponerse en contacto con el equipo de Wavetel o consultar el catálogo de productos de routers industriales.
Comentarios