IPsec: definición y funcionamiento del protocolo de seguridad IP

IPsec: descubre qué es, cómo funciona y cómo protege las comunicaciones IP mediante autenticación y cifrado, garantizando redes y VPNs seguras.

Autor: Leandro Alegsa

01-04-2026 20:09

La seguridad del protocolo de Internet (IPsec) es una forma de hacer más seguras y privadas las comunicaciones por Internet.

IPsec es un conjunto de protocolos para asegurar las comunicaciones del Protocolo de Internet (IP) autenticando (y opcionalmente cifrando) cada paquete IP de un flujo de datos. IPsec también incluye protocolos para establecer la autenticación mutua entre los agentes al inicio de la sesión y la negociación de las claves criptográficas que se utilizarán durante la sesión. IPsec puede utilizarse para proteger los flujos de datos entre un par de hosts (por ejemplo, usuarios de ordenadores o servidores), entre un par de pasarelas de seguridad (por ejemplo, routers o cortafuegos), o entre una pasarela de seguridad y un host. RFC 2406

IPsec es una solución de seguridad de extremo a extremo y opera en la capa de Internet del conjunto de protocolos de Internet, comparable a la capa 3 del modelo OSI. Otros protocolos de seguridad de Internet de uso generalizado, como SSL, TLS y SSH, operan en las capas superiores de estos modelos. Esto hace que IPsec sea más flexible, ya que puede utilizarse para proteger todos los protocolos de nivel superior, porque no es necesario diseñar las aplicaciones para que utilicen IPsec, mientras que el uso de TLS/SSL u otros protocolos de capa superior debe estar incorporado en la aplicación.

El término "IPsec" está oficialmente definido por el Grupo de Trabajo de Ingeniería de Internet (IETF). Esta definición incluye la forma de escribir en mayúsculas el término; a menudo se escribe incorrectamente IPSec.

Componentes y protocolos principales

IPsec no es un solo protocolo, sino una colección de mecanismos que trabajan juntos. Los componentes más importantes son:

Encapsulating Security Payload (ESP): proporciona confidencialidad (cifrado), además de autenticación de origen de datos e integridad opcionales. ESP suele ser el elemento más usado para proteger el contenido de paquetes.
Authentication Header (AH): ofrece autenticación de origen e integridad de los paquetes IP, y protección contra la repetición, pero no cifra los datos. AH ha cedido protagonismo frente a ESP porque no funciona bien con NAT.
Security Associations (SA): una SA describe los parámetros de seguridad (algoritmos, claves, modo, duración) que aplican a un flujo de tráfico. Una comunicación IPsec normalmente usa una o varias SAs unidireccionales por dirección de tráfico.
Internet Key Exchange (IKE): protocolo para negociar SAs y claves de forma automática y segura entre los pares. Existen dos versiones: IKEv1 (RFC 2409) e IKEv2 (RFC 7296), siendo IKEv2 la recomendada actualmente por su simplicidad y robustez.

Modos de funcionamiento

IPsec puede operar en dos modos principales:

Modo transporte: protege solo la carga útil del paquete IP original (los datos), dejando las cabeceras IP intactas. Es útil para comunicaciones host-a-host.
Modo túnel: encapsula el paquete IP original completo dentro de un nuevo paquete IP que incluye una nueva cabecera. Es el modo habitual para VPNs entre pasarelas (site-to-site) o para accesos remotos, porque permite ocultar las direcciones internas y enrutar tráfico entre redes.

Algoritmos y métodos criptográficos

IPsec admite múltiples algoritmos para cifrado, integridad y autenticación. Entre los más usados:

Cifrado: AES (modo CBC o GCM) es el estándar moderno; 3DES se usó históricamente pero está en desuso.
Integridad y autenticación: HMAC con SHA-2 (por ejemplo SHA-256) es habitual; SHA-1 aparece en implementaciones antiguas.
Intercambio de claves: IKE emplea algoritmos de intercambio (Diffie-Hellman) y certificados X.509 o claves precompartidas (PSK) para autenticar a los pares.

Casos de uso comunes

VPN site-to-site: conectar redes de oficinas remotas mediante túneles IPsec entre pasarelas.
Acceso remoto: usuarios remotos establecen túneles hacia la red corporativa para acceder a recursos internos.
Protección host-a-host: asegurar comunicaciones entre servidores o entre clientes y servidores sin modificar aplicaciones.
Encapsulamiento y segmentación: integrar redes heterogéneas y proteger segmentos sensibles de tráfico.

Interoperabilidad y consideraciones prácticas

Al desplegar IPsec conviene tener en cuenta:

NAT Traversal (NAT‑T): muchos dispositivos de red realizan NAT. IPsec (especialmente AH) no es compatible con NAT sin mecanismos adicionales. NAT-T encapsula ESP en UDP para permitir el paso por NAT.
Rendimiento: cifrar y autenticar paquetes consume CPU. Es habitual delegar IPsec en hardware o usar aceleración (AES-NI) en CPUs modernas para mantener rendimiento.
Reconfiguración y rekeying: las SAs tienen tiempo de vida; IKE renegocia claves periódicamente para mantener seguridad. Planificar ventanas de rekeying y tolerancia a fallos es importante.
Compatibilidad: distintas implementaciones (routers, firewalls, sistemas operativos) soportan conjuntos diferentes de algoritmos y opciones. Comprobar parámetros (modos, DH groups, algoritmos) es clave para lograr interoperabilidad.

Ventajas y limitaciones

Ventajas:

Protección a nivel de red que no requiere cambios en las aplicaciones.
Flexibilidad para proteger tráfico entre hosts, redes o puertas de enlace.
Amplio soporte en equipos de red y sistemas operativos.

Limitaciones:

Complejidad de configuración e interoperabilidad si no se estandarizan parámetros.
Problemas históricos con NAT (resueltos en gran parte por NAT‑T).
Impacto en rendimiento si no se dispone de aceleración o hardware adecuado.

Buenas prácticas

Usar IKEv2 siempre que sea posible (mejor seguridad y manejo de movilidad).
Preferir algoritmos modernos: AES-GCM para cifrado autenticado y SHA-2 para integridad.
Evitar claves precompartidas débiles; usar certificados y PKI para entornos empresariales cuando proceda.
Monitorizar y renovar certificados y claves antes de su vencimiento.
Probar interoperabilidad y comportamientos ante NAT durante la validación de la configuración.

Referencias y normas

IPsec está definido por el IETF y documentado en varios RFC. Entre ellos se encuentran RFC 2406 (ESP) y especificaciones relacionadas con el protocolo IKE (por ejemplo RFC 2409 para IKEv1 y RFC 7296 para IKEv2). Para una implementación segura, consulte las guías y recomendaciones más recientes del IETF y de su proveedor de equipos.

Páginas relacionadas

Red privada virtual

Preguntas y respuestas

P: ¿Qué es la seguridad del protocolo de Internet (IPsec)?

R: IPsec es una forma de hacer que las comunicaciones por Internet sean más seguras y privadas autenticando y, opcionalmente, cifrando cada paquete IP de un flujo de datos.

P: ¿Cómo funciona IPsec?

R: IPsec incluye protocolos para establecer la autenticación mutua entre agentes al inicio de la sesión, negociar las claves criptográficas que se utilizarán durante la sesión y proteger los flujos de datos entre dos hosts o pasarelas de seguridad. Funciona en la capa de Internet del conjunto de protocolos de Internet, comparable a la capa 3 del modelo OSI.

P: ¿Cuáles son otros protocolos de seguridad de Internet populares?

R: Otros protocolos de seguridad de Internet populares son SSL, TLS y SSH, que funcionan en las capas superiores de estos modelos.

P: ¿Cómo hace esto que IPsec sea más flexible?

R: Esto hace que IPsec sea más flexible, ya que puede utilizarse para proteger todos los protocolos de nivel superior, puesto que las aplicaciones no necesitan diseñarse específicamente para utilizarlo, a diferencia de TLS/SSL u otros protocolos de capa superior que deben incorporarse a una aplicación.

P: ¿Quién define lo que significa "IPsec"?

R: El término "IPsec" lo define oficialmente el Grupo de Trabajo de Ingeniería de Internet (IETF).
P: ¿Existe una ortografía incorrecta para "IPsec"? R: Sí, a menudo se escribe incorrectamente como IPSec.

Buscar dentro de la enciclopedia