¿Es IKEv2 lo mismo que IPsec?

No: IKEv2 es el protocolo de intercambio de claves; IPsec es el protocolo que cifra y autentica paquetes utilizando las claves negociadas por IKEv2. Casi siempre corren juntos. Cuando alguien dice 'IKEv2 VPN', se refiere a IKEv2 haciendo el protocolo de enlace e IPsec haciendo el cifrado de datos real.

¿Por qué IKEv2 es tan popular en iPhone y Mac?

Tres razones. En primer lugar, es el único protocolo para el que Apple ofrece soporte nativo, por lo que funciona sin aplicaciones de terceros. En segundo lugar, MOBIKE (la extensión IKEv2 Mobility and Multihoming) permite que un túnel sobreviva a los cambios de red: su VPN se vuelve a conectar sin problemas cuando pasa de Wi-Fi a celular. En tercer lugar, la implementación del kernel consume muy poca batería en comparación con alternativas de espacio de usuario como OpenVPN.

¿Puede IKEv2 funcionar a través de firewalls?

Sí, en la mayoría de los casos. IKEv2 utiliza los puertos UDP 500 y 4500. El puerto 500 es el estándar; 4500 se utiliza automáticamente cuando se detecta NAT a través de NAT-Traversal. Si una red bloquea todo UDP, IKEv2 no funcionará; ese es el escenario donde gana OpenVPN-TCP/443 porque puede disfrazarse de HTTPS.

Las configuraciones IKEv2 modernas (AES-256-GCM, Curve25519 o grandes grupos Diffie-Hellman, autenticación basada en certificados, EAP para usuarios) son seguras. La investigación de Logjam en 2015 mostró que las configuraciones más antiguas que usaban el grupo 2 Diffie-Hellman de 1024 bits estaban al alcance de los atacantes a nivel estatal, pero las implementaciones modernas evitan ese grupo por completo. Evite claves previamente compartidas con baja entropía; utilice certificados en su lugar.

¿Es IKEv2 más rápido que WireGuard?

Generalmente no. WireGuard suele ser más rápido en el mismo hardware debido a su pila criptográfica más pequeña y moderna. IKEv2 cierra la brecha en servidores de alta gama con aceleración de hardware AES-NI. Para los usuarios de dispositivos móviles donde la batería y el roaming son más importantes que el rendimiento máximo, la extensión MOBIKE de IKEv2 y su eficiencia a nivel de kernel lo convierten en la mejor opción.

IKEv2 explicado: el protocolo VPN que tu iPhone ya habla

IKEv2 es el protocolo VPN que viene integrado en iOS, macOS, Windows y la mayoría de los firewalls empresariales. Es la "VPN nativa" predeterminada en todas partes (no se necesita ninguna aplicación de terceros) y el estándar de oro para configuraciones de VPN móviles siempre activas. Esta es la explicación técnica: cómo funciona, por qué brilla en los dispositivos móviles, dónde todavía pierde frente a WireGuard y cuándo elegirlo.

El cuerpo completo del artículo se proporciona en inglés a continuación.

Qué es IKEv2

Internet Key Exchange versión 2 (IKEv2) es el protocolo utilizado para negociar las claves de cifrado para un túnel IPsec. Los dos van juntos: cuando alguien dice "IKEv2 VPN", se refiere a IKEv2 manejando el protocolo de enlace y el intercambio de claves, con IPsec realizando el cifrado de paquetes en la parte superior.

El protocolo IKE original enviado en noviembre de 1998 (RFC 2407–2409). IKEv2 surgió como una reescritura importante en diciembre de 2005 (RFC 4306) y fue elevado al estado completo de Estándar de Internet en octubre de 2014 con RFC 7296. Ha sido un estándar estable y bien comprendido desde entonces. Problemas:

Pesadilla de interoperabilidad. Ocho mecanismos diferentes de intercambio inicial (modo principal, modo agresivo, con/sin PFS, certificado vs PSK, etc.). Los proveedores implementaron diferentes subconjuntos de manera inconsistente. Conectar Cisco a Juniper a Fortinet requería rutinariamente ingenieros que pudieran leer capturas de paquetes.
Tarquitectura de dos fases. Fase 1 configuró el canal seguro; La fase 2 negoció la SA actual. Más de seis viajes de ida y vuelta antes de que pudieran fluir los datos del usuario. Lento.
Caos de detección de pares muertos. Cada proveedor implementó los latidos de manera diferente. Los puntos finales con configuraciones técnicamente correctas fallarían silenciosamente al detectar la muerte del túnel y simplemente dejarían de pasar el tráfico.

Lo que IKEv2 solucionó

Intercambio único de cuatro mensajes. Ambos pares se autentican y acuerdan una SA secundaria en una ronda de cuatro mensajes. ~2 viajes de ida y vuelta de un extremo a otro. Inicio más rápido, menos cuerda con la que ahorcarse.

Números de secuencia y confiabilidad. Los paquetes IKEv2 están numerados explícitamente. El protocolo maneja la retransmisión, la detección de duplicados y la recuperación de errores de manera determinista. El comportamiento de IKEv1 cuando se caían los paquetes era "esperar lo mejor".

NAT-Traversal integrado. IKEv2 detecta automáticamente NAT en cada extremo y cambia a encapsulación UDP en el puerto 4500 de forma transparente. IKEv1 necesitaba NAT-T como una extensión opcional que los proveedores implementaban esporádicamente.

Resistencia DoS incorporada. Antes de realizar el costoso cálculo Diffie-Hellman, IKEv2 puede requerir que el solicitante envíe una cookie sin estado. Un atacante no puede agotar la CPU del servidor rociando paquetes iniciales falsificados.

Autenticación EAP. El soporte nativo para el protocolo de autenticación extensible significa que IKEv2 puede integrarse con LDAP, RADIUS, tarjetas inteligentes y flujos modernos de nombre de usuario/contraseña. A las empresas les encanta esto.

MOBIKE: la superpotencia de VPN móvil

RFC 4555 (MOBIKE: IKEv2 Mobility and Multihoming) es la característica excelente para los usuarios móviles. Con MOBIKE, un túnel IKEv2 sigue al dispositivo a través de las redes . Caminar desde el Wi-Fi de su oficina hasta la zona muerta celular del ascensor y hasta el Wi-Fi del vestíbulo no interrumpe la VPN: el túnel simplemente actualiza la IP externa y mantiene viva la sesión interna.

Esta es la razón por la que todas las principales plataformas de administración de dispositivos móviles (Apple Business Manager, Microsoft Intune, JAMF, Workspace ONE) utilizan IKEv2 para perfiles VPN siempre activos. Inserta el perfil una vez, el dispositivo maneja cada transición de red sin problemas y el usuario nunca ve una desconexión. ChaCha20-Poly1305 (moderno); Variantes AES-CBC (compatibilidad heredada).

Hashing: SHA-256, SHA-384, SHA-512.

Diffie–Hellman: Curve25519 (grupo 31), NIST P-256/384/521, grupos modulares 2048–8192.

Authentication: certificados PSK, RSA/ECDSA/EdDSA X.509, métodos EAP.

Las implementaciones modernas utilizan AES-256-GCM con Curve25519 ECDH y autenticación de certificados. Evite las claves precompartidas para cualquier cosa que no sea estrictamente interna: son vulnerables a ataques de diccionario fuera de línea si la entropía es baja. VPN que utilizan esos grupos. Aproximadamente el 66% de los servidores VPN medidos utilizaban el grupo 2 en ese momento.

La mitigación es sencilla: utilice un grupo más grande. Las implementaciones modernas de IKEv2 utilizan de forma predeterminada el grupo 14 (2048 bits) como mínimo o grupos de curva elíptica (Curve25519, P-256) que no son vulnerables a los mismos ataques previos al cálculo. Si está configurando un servidor IKEv2 hoy, el grupo 31 (Curve25519) es el valor predeterminado correcto.

Dónde se envía IKEv2 de forma nativa

iOS/iPadOS/macOS: el cliente VPN nativo habla IKEv2/IPsec de forma inmediata. Configurar a través del perfil (archivo .mobileconfig). El modo siempre activo administrado por MDM funciona perfectamente.
Windows 7+: IKEv2 compatible de forma nativa como "VPN Reconnect"/Agil VPN. Windows 10/11 incluye criptografía moderna de forma predeterminada.
Android: cliente IKEv2 nativo agregado en Android 12. Las versiones anteriores usan la aplicación strongSwan para conexiones IKEv2, que es excelente pero de terceros.
Linux / BSD: strongSwan, Libreswan y OpenBSD iked son las principales implementaciones. Todo mantenido activamente.

IKEv2 vs WireGuard vs OpenVPN

vs WireGuard: WireGuard es más pequeño, más rápido y tiene una prueba de seguridad formal. IKEv2 está preinstalado universalmente y tiene la superpotencia de roaming móvil MOBIKE. Para dispositivos móviles siempre activos, IKEv2 sigue ganando. Para un rendimiento sin procesar más rápido, gana WireGuard.
vs OpenVPN: IKEv2 se ejecuta en el kernel y es más rápido. OpenVPN-TCP/443 puede disfrazarse de HTTPS y pasar el DPI. Para redes restrictivas, OpenVPN. Para todo lo demás, IKEv2 es más rápido y liviano.
vs L2TP/IPsec: L2TP/IPsec agrega una capa de túnel innecesaria. Todos los clientes de sistemas operativos modernos hablan IKEv2/IPsec, lo cual es estrictamente mejor.

Cuándo elegir IKEv2 en 2026

Estás configurando una VPN siempre activa en una flota de iPhones/iPads/Mac a través de MDM. IKEv2 es el único valor predeterminado sensato.
Está creando una VPN de acceso remoto para una empresa y desea soporte de cliente nativo sin distribuir aplicaciones de terceros.
Quiere el menor consumo de batería en el móvil durante el uso intensivo de VPN. La implementación del kernel de IKEv2 es difícil de superar.
Estás haciendo una VPN de sitio a sitio entre dos firewalls que hablan IKEv2 limpiamente (casi todos lo hacen).

Cuándo elegir otra cosa: elige WireGuard para mayor velocidad en una conexión residencial normal, u OpenVPN-TCP/443 para redes restrictivas. Ejecute nuestra prueba de fugas después de cualquier cambio de configuración para confirmar que el túnel está haciendo su trabajo.

Preguntas frecuentes

¿Es IKEv2 lo mismo que IPsec?: No: IKEv2 es el protocolo de intercambio de claves; IPsec es el protocolo que cifra y autentica paquetes utilizando las claves negociadas por IKEv2. Casi siempre corren juntos. Cuando alguien dice 'IKEv2 VPN', se refiere a IKEv2 haciendo el protocolo de enlace e IPsec haciendo el cifrado de datos real.
¿Por qué IKEv2 es tan popular en iPhone y Mac?: Tres razones. En primer lugar, es el único protocolo para el que Apple ofrece soporte nativo, por lo que funciona sin aplicaciones de terceros. En segundo lugar, MOBIKE (la extensión IKEv2 Mobility and Multihoming) permite que un túnel sobreviva a los cambios de red: su VPN se vuelve a conectar sin problemas cuando pasa de Wi-Fi a celular. En tercer lugar, la implementación del kernel consume muy poca batería en comparación con alternativas de espacio de usuario como OpenVPN.
¿Puede IKEv2 funcionar a través de firewalls?: Sí, en la mayoría de los casos. IKEv2 utiliza los puertos UDP 500 y 4500. El puerto 500 es el estándar; 4500 se utiliza automáticamente cuando se detecta NAT a través de NAT-Traversal. Si una red bloquea todo UDP, IKEv2 no funcionará; ese es el escenario donde gana OpenVPN-TCP/443 porque puede disfrazarse de HTTPS.
¿Es seguro IKEv2?: Las configuraciones IKEv2 modernas (AES-256-GCM, Curve25519 o grandes grupos Diffie-Hellman, autenticación basada en certificados, EAP para usuarios) son seguras. La investigación de Logjam en 2015 mostró que las configuraciones más antiguas que usaban el grupo 2 Diffie-Hellman de 1024 bits estaban al alcance de los atacantes a nivel estatal, pero las implementaciones modernas evitan ese grupo por completo. Evite claves previamente compartidas con baja entropía; utilice certificados en su lugar.
¿Es IKEv2 más rápido que WireGuard?: Generalmente no. WireGuard suele ser más rápido en el mismo hardware debido a su pila criptográfica más pequeña y moderna. IKEv2 cierra la brecha en servidores de alta gama con aceleración de hardware AES-NI. Para los usuarios de dispositivos móviles donde la batería y el roaming son más importantes que el rendimiento máximo, la extensión MOBIKE de IKEv2 y su eficiencia a nivel de kernel lo convierten en la mejor opción.