Protocolo VPN diseñado por Jason A. Donenfeld, integrado en el kernel Linux desde la versión 5.6 (29 de marzo de 2020) y en Windows como adaptador nativo desde 2021. Aproximadamente 4.000 líneas de código frente a las más de 100.000 de OpenVPN.
El cambio respecto a OpenVPN e IPsec
WireGuard parte de una idea contraria al diseño tradicional de VPN: en lugar de soportar decenas de algoritmos negociables en handshake, fija una suite criptográfica única (ChaCha20 para cifrado, Curve25519 para intercambio de claves, BLAKE2s para hashing, Poly1305 para autenticación). La consecuencia práctica es un código auditable en pocas tardes y un rendimiento que en pruebas independientes ronda 2-3× el de OpenVPN sobre la misma máquina.
Para el administrador, la configuración se reduce a una clave pública y una privada por dispositivo, una IP de túnel y la lista de redes permitidas. No hay PKI que mantener, no hay revocaciones de certificado, no hay TUN/TAP a montar a mano.
Modelos de despliegue habituales
El patrón “road warrior” (cada empleado con un perfil que entra al servidor central) es el más extendido, pero WireGuard se presta especialmente bien a topologías en estrella entre sedes con IP pública dinámica gracias a su mecanismo de roaming: el túnel sobrevive a cambios de red (4G→WiFi→fibra) sin reconectar manualmente. Para acceso de administración a servidores, lo habitual es exponer únicamente el puerto UDP de WireGuard en el firewall y dejar SSH escuchando solo en la IP de túnel: SSH desaparece de internet sin perder funcionalidad para el equipo.
Cómo lo aplicamos en SMedialab
Lo configuramos por defecto para acceder a la administración del NUC de producción y a los paneles internos (Uptime Kuma, dashboards) — cada miembro del equipo tiene su perfil con acceso solo a las rutas que necesita, y los TPV de clientes llevan un perfil aparte que solo permite tráfico hacia el ERP y nada más. Donde NO lo recomendamos es para usuarios finales de un cliente que solo quieren entrar a la web pública: una VPN de empleado para visitar una landing es overkill y un soporte que se vuelve inviable.
Casos típicos en nuestros clientes
Una asesoría con varios despachos en distintas islas conectaba a su Dolibarr a través de IP pública abierta — solución que cada año generaba intentos de fuerza bruta y un puerto MySQL expuesto. Migramos a WireGuard con un perfil por empleado: el ERP solo escucha ahora en la IP de túnel y los logs de fallos de autenticación pasaron a cero. Para un grupo hostelero con tres TPV en bares distintos, WireGuard es lo que mantiene los TPV sincronizando ventas con la central sin abrir un solo puerto en sus routers de fibra.
¿Tienes paneles o ERPs accesibles por IP pública que querrías cerrar? Lo evaluamos en alojamiento web gestionado.
