Cómo configurar una VPN WireGuard en un VPS

Por qué ejecutar tu propia VPN WireGuard

Una VPN comercial te pide que confíes en una empresa que no puedes auditar. Les pagas, enrutas todo tu tráfico a través de sus servidores y te fías de su palabra cuando dicen que no guardan registros. Una VPN autoalojada invierte esa ecuación: alquilas un servidor, instalas la VPN tú mismo y la única parte que puede ver tu tráfico eres tú. No hay ningún proveedor intermediario que pueda registrarlo, venderlo o entregarlo ante un requerimiento legal.

WireGuard es lo que hace esto viable. Es un protocolo VPN moderno: pequeño, rápido y simple, con apenas unos pocos miles de líneas de código en lugar de los cientos de miles que tienen los stacks más antiguos, lo que lo hace fácil de auditar y difícil de configurar mal. En un VPS modesto saturará la conexión con un uso de CPU mínimo. Combinado con un VPS offshore sin KYC, un túnel WireGuard autoalojado te ofrece un punto de salida privado que no le pertenece a nadie más que a ti — y esta guía lo construye desde cero.

Lo que necesitas

La configuración completa requiere un servidor y unos quince minutos:

• Un VPS. Incluso el plan más básico es suficiente: WireGuard es extremadamente liviano. Elige la jurisdicción desde la que quieres que parezca originarse tu tráfico. Un VPS de ServPrivacy desde $7.50/mes con acceso root completo es más que suficiente.
• Una instalación Linux limpia. Cualquier versión reciente de Debian o Ubuntu funciona bien; los comandos de esta guía asumen una de ellas. En otras distribuciones solo cambia el paso de instalación del paquete.
• Acceso root o sudo y unos minutos en la línea de comandos.

No necesitas un dominio, un panel de control ni ningún software VPN de terceros. WireGuard viene integrado en el propio kernel de Linux moderno.

Paso 1 — Instalar WireGuard en el servidor

Conéctate a tu VPS por SSH e instala las herramientas de WireGuard. En Debian o Ubuntu basta con un solo comando: apt update && apt install -y wireguard. El módulo del kernel ya está presente en cualquier kernel moderno, por lo que esto solo instala las herramientas de espacio de usuario — wg y wg-quick — que usarás para gestionar los túneles.

Con eso termina la instalación. No hay ningún demonio adicional que configurar, ninguna cuenta que crear y nada extra que mantener parcheado más allá de las actualizaciones normales del sistema.

Paso 2 — Generar claves y escribir la configuración del servidor

WireGuard autentica a los peers mediante criptografía de clave pública, por lo que el primer paso es generar un par de claves para el servidor. Genera uno con wg genkey | tee server_private.key | wg pubkey > server_public.key. La clave privada permanece en el servidor y nunca se comparte; la clave pública se entregará a cada cliente.

A continuación, crea la configuración del túnel en /etc/wireguard/wg0.conf. La sección del servidor define el rango de direcciones privadas del túnel, el puerto en el que WireGuard escucha (51820 por defecto) y la clave privada del servidor. Cada dispositivo que conectes posteriormente se añade como un bloque [Peer] que contiene la clave pública de ese cliente y su dirección dentro del túnel. Mantén el archivo legible solo por root, ya que contiene la clave privada del servidor.

La configuración es deliberadamente breve. Un archivo de configuración del servidor funcional tiene bien menos de veinte líneas, lo que en parte explica por qué WireGuard es tan difícil de configurar de forma peligrosamente errónea.

Paso 3 — Activar el reenvío de paquetes y abrir el puerto

Para que la VPN enrute tu tráfico hacia internet, el servidor debe reenviar paquetes. Activa el reenvío IP estableciendo net.ipv4.ip_forward=1 en /etc/sysctl.conf y aplicándolo con sysctl -p. La configuración del túnel también necesita una regla de firewall que enmascare el tráfico saliente para que salga con la dirección propia del servidor; esto se añade típicamente como una línea PostUp en wg0.conf para que se aplique automáticamente al iniciar el túnel.

Luego asegúrate de que el puerto de WireGuard sea accesible. Si el VPS tiene un firewall activo, permite UDP en el puerto elegido (51820 por defecto). WireGuard usa exclusivamente UDP y — algo útil para la privacidad — no responde en absoluto a paquetes no solicitados, por lo que un escaneo de puertos ni siquiera puede confirmar que el servicio esté activo.

Levanta el túnel con wg-quick up wg0 y habilítalo al arranque con systemctl enable [redacted-user]@[redacted-host]. El lado del servidor ya está operativo.

Paso 4 — Añadir un cliente y conectarse

Cada dispositivo que use la VPN — un portátil, un teléfono — necesita su propio par de claves y un pequeño archivo de configuración. Genera un par de claves para el cliente exactamente como lo hiciste para el servidor, luego escribe una configuración de cliente que contenga la clave privada del cliente, su dirección en el túnel, la clave pública del servidor, la IP pública y el puerto del servidor como Endpoint, y un AllowedIPs de [redacted-ip]/0 para que todo el tráfico se enrute a través del túnel.

Añade el bloque [Peer] correspondiente — con la clave pública del cliente — a wg0.conf en el servidor y recárgalo. En el cliente, instala la aplicación WireGuard (existe para todas las plataformas de escritorio y móviles), importa la configuración — la mayoría de las apps aceptan un código QR, la opción más cómoda para el móvil — y activa el túnel. En un segundo, el tráfico de tu dispositivo estará saliendo a través de tu VPS. Confírmalo comprobando tu IP pública: ahora debería ser la del servidor.

Paso 5 — Reforzar la seguridad y mantener el servidor

Un túnel funcional cubre la mayor parte del trabajo; unos últimos ajustes lo hacen sólido:

• Refuerza el acceso SSH. Usa autenticación por clave, desactiva la autenticación por contraseña y considera mover SSH fuera del puerto 22. La VPN es tan privada como el servidor en el que corre.
• Mantén el sistema actualizado. WireGuard en sí requiere poca atención, pero el sistema operativo subyacente debe recibir actualizaciones de seguridad — activa las actualizaciones desatendidas.
• Un par de claves por dispositivo. Nunca compartas una misma configuración de cliente entre varios dispositivos. Si pierdes uno, solo tienes que eliminar su bloque peer sin necesidad de regenerar todo.
• Configura el DNS en el cliente. Apunta el cliente a un resolver respetuoso con la privacidad para que las consultas DNS también viajen a través del túnel en lugar de filtrarse a la red local.
• Confía en los valores predeterminados de registro. WireGuard no almacena nada sobre el tráfico que transporta; sencillamente no hay nada registrado sobre lo que pasa por él, así que no hay nada adicional que desactivar.

Con este mantenimiento, el servidor requiere casi ninguna atención continua: WireGuard se acerca al modelo de «configurar y olvidar».

Cuándo una VPN autoalojada es la elección correcta

Una VPN WireGuard autoalojada es la opción adecuada cuando quieres un punto de salida privado que responda únicamente ante ti: para proteger tu conexión en redes no confiables, para mantener tu navegación alejada de tu ISP o para aparecer desde la jurisdicción que elijas. Al ser tu servidor, no hay ninguna IP compartida con miles de desconocidos ni ninguna política de registros de un proveedor que tengas que aceptar por fe.

Conviene ser claro sobre lo que no hace: una VPN con un solo servidor te da privacidad frente a tu ISP y frente a los sitios que visitas, pero el proveedor del VPS podría en principio observar el tráfico en el punto de salida. Por eso la elección del proveedor importa tanto: un VPS offshore sin KYC ni registros significa que el propio punto de salida está en manos de un proveedor que no recopiló ninguna identidad y no guarda ningún registro. WireGuard autoalojado más el VPS adecuado es, para la mayoría de las personas, la solución de privacidad más honesta disponible: sin necesidad de confiar en nadie más allá de la infraestructura que tú controlas.