Volver a todas las publicaciones
Publicado el · por Renaud Deraison

Ejecutar una VPN dentro de Bromure — y una introducción en lenguaje sencillo a Cloudflare WARP

Qué hace realmente una VPN, qué no hace, por qué ejecutar una por perfil dentro de Bromure cambia la historia del anonimato, y un recorrido por el funcionamiento interno de Cloudflare WARP.

El anonimato en línea no es una preocupación de hackers. Es lo que quieres cada vez que preferirías que tu supermercado, tu aseguradora, la escuela de tus hijos y seis redes publicitarias no sepan qué artículos leíste a la una de la madrugada.

La mayoría de la gente recurre a una VPN cuando viaja, cuando ve contenido en streaming o cuando compra algo que preferiría no ver retargeteado en un anuncio emergente la semana siguiente. Menos personas piensan en dónde se ejecuta la VPN — en el sistema operativo, en el router, o en algún lugar más interesante. La respuesta a esa última pregunta resulta importar mucho. Este artículo recorre lo que una VPN hace realmente, lo que no hace, por qué ejecutarla por perfil dentro de Bromure cambia las cuentas y —porque la gente no para de preguntarlo— qué es exactamente Cloudflare WARP.

Tu dirección IP es una etiqueta con tu nombre que no puedes quitarte.

Cada petición que tu computadora hace a cualquier servicio web contiene tu dirección IP. Tiene que ser así: la respuesta debe volver a algún sitio. El problema es que la misma IP, desde el mismo hogar, suele persistir durante días, semanas o meses, y eso es tiempo suficiente para que cada canal de análisis de internet la trate como un identificador estable —«la laptop de la mesa de la cocina»— y para unir, a través de sitios completamente no relacionados, un retrato de lo que hace en su tiempo libre la persona que está frente a esa laptop.

conexión doméstica203.0.113.45Sitio de noticiasvisitante 203.0.113.45Red socialvisitante 203.0.113.45Tienda en líneavisitante 203.0.113.45Foro médicovisitante 203.0.113.45Red publicitariavisitante 203.0.113.45Intermediario de datosvisitante 203.0.113.45El mismo número en cada línea. Enhorabuena — eres una clave en todas las bases de datos.
Una única dirección IP aparece en cada página que visitas, en cada sitio, durante semanas y meses. Eso es suficiente para que las redes publicitarias y los intermediarios de datos construyan un perfil detallado — sin cookies, sin necesidad de iniciar sesión. Tu etiqueta con nombre venía ya impresa.

Tu IP no es el único identificador en internet; las cookies y las cuentas en las que inicias sesión son identificadores más fuertes. Pero la IP es la que no puedes apagar. Puedes borrar las cookies, puedes negarte a iniciar sesión, y la IP sigue saliendo, la misma IP, en cada petición.

Ese es el problema que aborda una VPN.

Lo que una VPN hace realmente — y lo que no.

Una VPN —red privada virtual— redirige tu tráfico a través de un servidor intermedio, de modo que los sitios web que visitas ven la dirección IP de la VPN en lugar de la tuya. El tráfico entre tu dispositivo y la VPN está cifrado, y los sitios web que visitas ven la región geográfica desde la que la VPN decidió salir.

IP real203.0.113.45TÚNEL CIFRADOWireGuard / OpenVPN /IKEv2 · toda la carga útil opacaSalida VPNreescribe la IP de origen185.220.42.17Sitio webvevisitante 185.220.42.17El proveedor de VPN puede ver todo lo que vería el ISP. Estás confiando en la VPN en lugar de en el ISP — no estás añadiendo confianza, la estás trasladando.
Una VPN reescribe la dirección de retorno de tu tráfico de internet. Todos los sitios ven la IP de la VPN en lugar de la tuya. El tráfico entre tú y la VPN está cifrado; el tráfico entre la VPN y el sitio no lo está (aunque casi todo viene ya envuelto en TLS en la capa de aplicación).

Lo que te da una VPN:

Tu IP queda oculta para los sitios web

Los sitios ven la IP de la VPN. Sus socios publicitarios ven la IP de la VPN. Los intermediarios de datos que agregan visitas a lo largo de internet terminan agregándolas en torno a una salida compartida, no en torno a tu casa.

Tu tráfico queda oculto para tu ISP y tu red

La cafetería, el aeropuerto, el hotel y tu ISP ven todos un único flujo cifrado que va hacia la VPN. No pueden ver qué sitios estás visitando. Las consultas DNS también pasan por la VPN, así que ni siquiera pueden ver qué estabas buscando.

Puedes elegir una salida geográfica

La mayoría de las VPN comerciales te dejan elegir un país. Si un sitio solo está disponible en Japón, o si quieres ver los precios de compra que ve tu contraparte al otro lado del océano, una VPN es la respuesta fácil.

No te vuelves anónimo

Esta es la parte honesta. Una VPN oculta tu IP, no tu identidad. Si inicias sesión en las mismas cuentas en las que siempre inicias sesión, estás tan identificado como antes — solo que a través de otra IP. La huella digital del navegador, las cookies, las passkeys y el «iniciar sesión con Google» no se preocupan por las IP.

Por qué ejecutar una VPN dentro de Bromure es una mejor forma.

La mayoría de la gente ejecuta una VPN en el sistema operativo. Toda la máquina está con VPN activada o desactivada. El problema con eso es doble.

El primer problema es la resolución. Cuando la VPN está activada, cada aplicación —tu cliente de correo, tu Slack, las actualizaciones de la App Store, la sincronización de Dropbox— pasa por la VPN. Eso puede romper inicios de sesión («hemos detectado un acceso desde Alemania»), puede ralentizarlo todo y filtra el uso de la VPN a cualquier otro servicio con el que hables.

El segundo problema es la fuga. Cuando la VPN está desactivada, alguna otra aplicación que hace algo útil en segundo plano puede iluminar tu IP real en un sitio al que creías estar llegando de forma anónima. Una sola fuga de DNS, una sola fuga de WebRTC, y el sitio te correlaciona con la conexión real.

Bromure adopta un enfoque distinto: cada perfil es su propia máquina virtual, cada una con su propia configuración de red. Un perfil puede estar en WARP. Otro puede ir directo. Un tercero puede estar en una VPN comercial de pago con salida en Alemania. Un cuarto puede estar en Tor. Ninguno se ve entre sí. Y el sistema operativo anfitrión —tu IP real, tu conexión real— no tiene ninguna VPN activada, porque no la necesita.

Una laptop, una IP real — cuatro mundosANFITRIÓN · sin VPN, solo internetTrabajoapps corporativassin VPN(directo)Bancasolo finanzassin VPN(evitar alertas)Personalnoticias, redesCloudflare WARP(oculta la IP, gratis)Investigaciónenlaces puntualesVPN de pago · salida DE(geografía específica)Internetdirecto desde la IP del anfitriónCloudflare WARPIP de borde de CFVPN de pago · AlemaniaIP de salida en Frankfurt
En un sistema operativo tradicional, una VPN es un interruptor para toda la máquina. En Bromure, cada perfil es su propio mundo de red. El anfitrión tiene su internet normal; cada perfil puede enrutar su tráfico como tú quieras que se enrute — y esa elección no se escapa del perfil.

De esta forma se desprenden tres consecuencias silenciosas.

Sin correlación accidental. El perfil de trabajo y el perfil de investigación no comparten una IP de origen. Un sitio en el que iniciaste sesión desde «Personal» ve la salida de WARP; un sitio que abriste en «Investigación» ve una salida comercial alemana. No pueden vincular las dos sesiones desde la red.

Sin fugas entre perfiles. Una fuga de DNS, una fuga de WebRTC, una aplicación mal configurada — son locales a la VM. Una página que se porta mal en un perfil no puede descubrir la IP real del anfitrión, porque la IP real del anfitrión no está dentro del espacio de nombres de red de ese perfil. Está al otro lado del muro siguiente.

Las sesiones terminan, y con ellas terminan las rutas. Una sesión desechable que tenía WARP ejecutándose se destruye cuando cierras la ventana. La próxima vez que abras el mismo perfil, nada de la sesión anterior —cookies, cachés, claves de WireGuard, asignaciones de IP— sigue ahí. La VPN es tan efímera como lo era la ventana.

Una introducción a Cloudflare WARP.

WARP es el producto de consumo tipo VPN de Cloudflare. Es, de forma confusa, tanto un servicio gratuito que cualquiera puede usar como un producto de pago, y convive con toda una suite de productos empresariales que también llevan el nombre WARP (1.1.1.1 for Families, Zero Trust, Gateway). Esta sección habla de la versión gratuita y personal, que es por la que la gente pregunta.

Tu dispositivoPerfil de Bromurecliente WireGuardTÚNEL CIFRADOWireGuard (UDP 51820)o MASQUE (QUIC/HTTP3)BORDE DE CLOUDFLAREPoP más cercano300+ ciudades en todo el mundoDNS vía 1.1.1.1ve el tráfico descifradoInternetve la IP de origenuna IP de CloudflareSin selector de país. Geografía de salida = donde esté el PoP de Cloudflare más cercano a ti.
Lo que hace realmente WARP por debajo. Tu tráfico se cifra en un túnel WireGuard (o, en clientes más recientes, en un túnel MASQUE/QUIC), se termina en el borde de Cloudflare más cercano y sale desde la red de Cloudflare. Las consultas DNS pasan por 1.1.1.1 y se cifran por separado. No hay elección de país; la salida está donde esté el punto más cercano a ti en la red de Cloudflare.

Una historia muy breve: WARP nació como la parte de consumo del resolutor DNS 1.1.1.1 de Cloudflare, lanzado en 2019. La idea era sencilla — Cloudflare ya tenía una de las redes de borde más grandes del planeta para servir sitios web, así que terminar un túnel WireGuard en ese mismo borde era un salto adicional pequeño. El cliente original usaba la propia implementación de WireGuard en Rust de Cloudflare (BoringTun); los clientes más recientes han añadido MASQUE — un protocolo más nuevo de tipo VPN construido sobre HTTP/3 y QUIC, que es más difícil de bloquear en muchas redes hostiles.

Lo que te da WARP:

Gratis, sin cuenta para empezar

El nivel básico de WARP es gratis. Sin tarjeta de crédito, sin correo electrónico. Se genera un identificador de dispositivo localmente; puedes actualizar a la versión de pago más tarde si quieres, pero la experiencia inmediata es «instalar, conectar, listo».

Rápido, porque el borde de Cloudflare está en todas partes

Las VPN tradicionales hacen backhaul de tu tráfico a uno de unas pocas docenas de centros de datos y salen desde ahí. Cloudflare opera PoPs en más de 300 ciudades. El salto adicional que da tu tráfico suele ser diminuto, y para muchos usuarios WARP es medible más rápido que no tener VPN en absoluto, gracias al peering de tránsito de Cloudflare.

DNS cifrado

Por defecto, las consultas DNS dentro del túnel van a 1.1.1.1 sobre DoH o DoT. Tu ISP, la red de tu oficina y el router de la cafetería no pueden ver qué dominios estás buscando — que, en redes sin cifrar, de otro modo irían en texto plano.

Afirmaciones de privacidad que puedes leer de verdad

Cloudflare ha publicado repetidamente auditorías de privacidad de WARP (hechas por auditores externos — KPMG la más reciente) que afirman que las direcciones IP y el historial de navegación no se registran ni se usan para publicidad. La política no es infalible, pero es mejor que la de la mayoría de las VPN gratuitas y significativamente auditable.

Lo que WARP no es.

Es fácil sobreestimar lo que hace WARP. Algunas cosas que conviene tener en cuenta antes de tratarlo como una solución completa de privacidad.

No es una VPN geográfica

No puedes elegir «salir desde Japón» en WARP gratuito. El PoP de salida está determinado por dónde estás tú. Para desbloqueo geográfico sigues necesitando una VPN comercial con selector de país, o las variantes WARP+ que ofrecen control de región.

La confianza se traslada del ISP a Cloudflare

Tu tráfico solo está cifrado hasta el borde de Cloudflare. Después, Cloudflare lo enruta hacia el internet público. Cloudflare puede ver cada dominio al que te conectas, cada consulta DNS, cada byte sin cifrar (aunque la mayor parte va envuelta en TLS). Estás cambiando la visibilidad de tu ISP por la de Cloudflare — lo que es una mejora real si no confías en tu ISP, pero sigue siendo una única ancla de confianza bien conocida.

No detiene la huella digital

Una VPN oculta tu IP. No cambia tu cadena de user-agent, tu lista de fuentes instaladas, tu resolución de pantalla, tu huella de WebGL/canvas ni tu firma TLS. Un rastreador bien equipado te correlaciona igualmente entre distintas IP. Ocultar la IP sube el listón; no aplana el terreno.

Algunas redes bloquean WARP directamente

Las redes corporativas, algunos aeropuertos y ciertos países detectan y bloquean los endpoints estándar de WARP. MASQUE ayuda con esto, pero no es magia. Si WARP se niega a conectarse en una red determinada, eso normalmente no es un error — es la red diciendo que no.

Usar WARP dentro de un perfil de Bromure.

La parte mecánica es poca cosa. La configuración de WARP puede exportarse como un archivo de configuración de WireGuard desde la app 1.1.1.1 — el mismo tipo de archivo que entiende cualquier cliente WireGuard. Apuntas un perfil de Bromure a ese archivo, y todo lo que hace el perfil viaja a través de Cloudflare.

Como la configuración es por perfil, puedes mantener el perfil WARP para la lectura y navegación del día a día, mientras que tus perfiles de banca y de trabajo siguen en la conexión directa. Tu sistema operativo anfitrión, mientras tanto, no está ejecutando ninguna VPN — no lo necesita, porque nada en el anfitrión está tratando de anonimizar su tráfico. El anonimato vive exactamente donde quieres usarlo.

Una matriz corta de cuándo recurrir a qué:

Usa WARP cuando…

Quieres ocultar tu IP a la mayor parte de la web, estás en una red en la que no confías del todo, quieres DNS cifrado y preferirías no pagar ni registrarte en nada. Buena opción por defecto para el perfil que usas para lecturas al azar, investigación y compras ocasionales.

Usa una VPN comercial de pago cuando…

Necesitas una salida en un país específico, necesitas un proveedor que publique una política de privacidad más fuerte o que esté bajo una jurisdicción distinta a la de Cloudflare, o estás haciendo algo que podría provocar que una IP compartida te limite la tasa. Más lenta que WARP en la mayoría de los casos, pero con más control.

Usa Tor cuando…

Necesitas anonimato genuino frente a un adversario serio — un periodista consiguiendo una fuente, un activista en un país hostil, un investigador mirando la propia infraestructura de un adversario. Mucho más lento que WARP o una VPN; funciona con muchos menos sitios; pero el modelo de amenaza al que resiste es distinto.

No uses VPN cuando…

Estés iniciando sesión en tu banco, en tu médico o en los servicios de tu gobierno. Esos sitios están construidos para sospechar de IP inusuales, y una VPN a menudo dispara fricción adicional o bloqueos directos. Mantener un perfil limpio con «IP real» para esas sesiones no es paranoia; es comodidad.

Cierre.

No necesitas un modelo de amenaza que implique Estados-nación para querer controlar tu IP. Solo necesitas no querer que te etiqueten en cada página que lees, cada búsqueda que haces y cada producto que miraste una vez y del que inmediatamente te arrepentiste. Una VPN es la herramienta más común para eso; WARP es una buena opción gratuita por defecto para quien quiera lo básico sin una suscripción. Y Bromure, al poner cada perfil en su propio mundo de red, te deja combinar esas herramientas con la resolución que deberían haber tenido desde el principio: no por computadora, no por aplicación, sino por mundo.

Instala Bromure. Crea un perfil llamado «lectura». Apúntalo a WARP. Mira cómo se ve el resto de la web cuando ya no te reconoce.