WireGuard: configuración y conexión en 2026 — guía

Si le han proporcionado un archivo de configuración o un código QR de un servicio VPN y no sabe qué hacer con ello, ha llegado al lugar correcto. WireGuard: configuración y conexión en la práctica toma 5 minutos, si se conoce el orden de las acciones. Pero hay un matiz: en Rusia, los proveedores de WireGuard puro están cada vez más bloqueando a través de DPI, y simplemente importar el archivo de configuración puede resultar insuficiente. También hablaremos de esto.

Qué es WireGuard y qué se necesita para conectarse

WireGuard es un protocolo VPN, no una aplicación. Funciona a nivel del núcleo del sistema operativo, es muy rápido y compacto: todo el código cabe en aproximadamente 4,000 líneas frente a 400,000 de OpenVPN. Para su uso se necesitan dos cosas: el cliente oficial de WireGuard (se descarga gratis) y el archivo de configuración: un archivo .conf o un código QR que proporciona su proveedor de VPN o su propio servidor.

No hay cuentas, nombres de usuario ni contraseñas dentro del propio protocolo. La autenticación es solo a través de un par de claves: pública y privada. Esta es la principal razón por la que WireGuard es tan rápido y confiable.

Archivo de configuración (.conf) y código QR: de dónde obtenerlos

El archivo de configuración se obtiene del proveedor de VPN en el área personal. La mayoría de los servicios normales, incluido NvoVPN, lo proporcionan en dos formatos: texto .conf para computadoras y código QR para teléfonos. Si está levantando su propio servidor, el archivo de configuración se genera con el comandowg genkey y se configura manualmente.

El archivo .conf pesa unos pocos kilobytes y se puede abrir con cualquier editor de texto. Si lo pierde, solicite uno nuevo en el área personal. Algunos proveedores tienen archivos de configuración con un tiempo de validez limitado, así que si la conexión deja de funcionar repentinamente, verifique si ha expirado.

Qué hay dentro del archivo de configuración: PrivateKey, Endpoint, AllowedIPs, DNS

Abre el .conf y verás algo como esto:

[Interface]

PrivateKey — su clave personal, no se la muestre a nadie.Endpoint — dirección IP y puerto del servidor VPN.AllowedIPs = 0.0.0.0/0 significa "dirige todo el tráfico a través de VPN".DNS — servidor de nombres que se utilizará dentro del túnel.PersistentKeepalive = 25 — envío de paquetes cada 25 segundos para que NAT no rompa la conexión.

Cómo WireGuard se diferencia de OpenVPN e IKEv2 para eludir bloqueos

WireGuard funciona exclusivamente por UDP, lo que lo hace rápido, pero detectable por DPI. OpenVPN puede trabajar por TCP en el puerto 443 y disfrazarse como HTTPS; esto es peor en velocidad, pero mejor en eludir bloqueos. IKEv2 es rápido y funciona bien en móviles al cambiar de redes, pero también es reconocible.

Si tiene un proveedor normal sin filtrado agresivo, WireGuard será el más rápido. Si el proveedor bloquea UDP o hay filtros de Roskomnadzor, tendrá que usar AmneziaWG o cambiar a VLESS/XRay o Shadowsocks. Hablaremos de esto en detalle en la sección sobre eludir bloqueos.

Configuración de WireGuard en diferentes dispositivos: paso a paso

WireGuard: configuración y conexión en cada plataforma se ve un poco diferente, pero la lógica es la misma: instalar el cliente → importar el archivo de configuración → activar el túnel → verificar el handshake. Vamos por partes.

Android: importación por código QR y desde archivo

Instale la aplicación WireGuard desde Google Play (desarrollador: WireGuard LLC, versión vigente en 2026). Presione el botón azul "+" en la esquina inferior derecha.

• Código QR: seleccione "Escanear código QR", apunte la cámara: el túnel se añadirá automáticamente. Este es el método más rápido.
• Archivo .conf: seleccione "Importar desde archivo o archivo comprimido", busque el .conf descargado en el almacenamiento.

Después de la importación, presione el interruptor junto al nombre del túnel. Después de unos segundos, en el campo "Última conexión" debería aparecer la hora: esto significa que el handshake se realizó y el túnel está funcionando. En versiones antiguas de Android (antes de 8.0), el cliente oficial a veces se comporta de manera inestable: pruebe un cliente alternativo como TunSafe o actualice Android.

iPhone y iPad (iOS): instalación desde App Store y adición de túnel

App Store → busque "WireGuard" → instale la aplicación del WireGuard Development Team. Presione "Agregar túnel" en la esquina superior derecha.

Los métodos de adición son los mismos: "Crear desde QR" (el más conveniente) o "Crear desde archivo o archivo comprimido" si descargaste .conf. Después de agregar, el sistema pedirá permiso para crear la configuración de VPN: acepta. Activa el interruptor y observa el estado de la conexión.

Windows: instalación del cliente e importación de .conf

Descarga el instalador desde el sitio oficial wireguard.com: el archivo wireguard-installer.exe pesa alrededor de 10 MB. Instala, abre la aplicación. En la parte inferior izquierda, haz clic en "Agregar túnel" → "Importar túneles desde archivo" → selecciona tu .conf.

El túnel aparecerá en la lista de la izquierda. Haz clic en "Conectar". En la parte derecha de la pantalla verás el estado: Transfer, Endpoint, Last handshake. Si el handshake aparece, todo funciona. WireGuard en Windows también agrega un adaptador de red virtual: si algo no va bien, verifica que el firewall de Windows no lo esté bloqueando.

macOS: configuración a través de la App Store

En Mac hay dos opciones: la aplicación de la Mac App Store (WireGuard del WireGuard Development Team) o la instalación a través de Homebrew con el comandobrew install wireguard-toolspara la línea de comandos. La primera opción es más sencilla. Después de instalar desde la App Store, la lógica es la misma: abres la aplicación, haces clic en "+" → "Importar túneles desde archivo", seleccionas .conf, activas.

Routers (OpenWrt, Keenetic) y Smart TV / Apple TV

Para Smart TV, Apple TV y consolas de juegos no hay clientes nativos de WireGuard o están limitados. La solución más sensata es levantar WireGuard en el router, y entonces todos los dispositivos en la red automáticamente pasarán por VPN.

OpenWrt: WireGuard es compatible a partir de la versión 21.02. Instalas el paqueteluci-app-wireguarda través de LuCI o opkg, y escribes manualmente los parámetros del archivo de configuración. Es más complicado que en el teléfono, pero funciona de manera estable.

Keenetic: a partir del firmware 3.3 WireGuard está integrado. Vas a "Otras conexiones" → "WireGuard" → "Agregar conexión" e introduces los datos del archivo de configuración. Mucho más amigable que OpenWrt para el usuario común.

Un punto importante: si ya hay otro túnel VPN levantado en el router (por ejemplo, OpenVPN), WireGuard puede entrar en conflicto con la ruta. Desactiva el túnel anterior antes de la configuración.

Verificación de conexión y prueba de velocidad

El túnel está activado. Ahora necesitas asegurarte de que el tráfico realmente pase a través de VPN y no por fuera.

Cómo asegurarse de que el tráfico pase a través de VPN (verificación de IP y fugas de DNS)

Abre en el navegador 2ip.ru o ipleak.net. Allí te mostrarán tu dirección IP externa. Debe coincidir con el Endpoint del archivo de configuración (IP del servidor VPN), y no con tu dirección real del proveedor.

Allí también verifica el servidor DNS. Si en el archivo de configuración se indica DNS = 1.1.1.1, entonces en los resultados de la verificación debe aparecer Cloudflare, y no el DNS de tu proveedor. Si el DNS de tu proveedor sigue siendo visible, tienes una fuga de DNS. La causa suele ser un parámetro DNS incorrecto en el archivo de configuración o que el sistema utiliza DNS sobre HTTPS del navegador, eludiendo el túnel.

Dónde ver el último handshake y el volumen de tráfico

En la aplicación WireGuard (en cualquier plataforma) en los detalles del túnel hay un campo "Último establecimiento de conexión" (Last handshake). Si allí el tiempo se actualiza cada 2-3 minutos, el túnel está activo. Si el handshake muestra "Nunca" o el tiempo es mayor a 5 minutos atrás, algo no está bien.

También observa los contadores de Transfer: "Recibido" y "Enviado" deben aumentar a medida que usas Internet. Si "Enviado" aumenta, pero "Recibido" no, los datos están saliendo al servidor, pero las respuestas no regresan. Esta es una imagen clásica en caso de bloqueo de UDP.

Cómo medir correctamente la velocidad antes y después de la conexión

La metodología es simple: haz 3 mediciones en speedtest.net o fast.com sin VPN en diferentes momentos del día, anota el promedio. Luego haz lo mismo con WireGuard activado a través del servidor más cercano geográficamente.

WireGuard generalmente pierde un 10-20% de la velocidad base bajo carga debido al cifrado, lo cual es mucho mejor que OpenVPN (donde las pérdidas a menudo son del 30-50%). Pero la velocidad real depende de la carga del servidor y de la ruta hasta él a través de la red de tu proveedor. Una medición no es un indicador. Tres mediciones en diferentes momentos ya permiten sacar conclusiones.

Evasión de bloqueos y DPI: cuando WireGuard puro no es suficiente

Aquí es donde la mayoría de las guías terminan, y los problemas solo comienzan.

Por qué los proveedores y Roskomnadzor ralentizan y cortan WireGuard

WireGuard utiliza UDP y tiene una firma característica en los primeros paquetes de handshake. Los sistemas DPI (Deep Packet Inspection), que están en la mayoría de los grandes proveedores rusos y se implementan por requisitos de TSPU (medios técnicos para contrarrestar amenazas), pueden reconocer esta firma.

Resultado: el proveedor no bloquea WireGuard directamente (eso es evidente), sino que simplemente ralentiza el tráfico UDP en puertos conocidos o introduce throttling para direcciones IP específicas. La conexión existe, el handshake pasa, pero la velocidad cae a 1-5 Mbps en lugar de los normales 50-100. Esto es especialmente notable por la noche en horas pico.

AmneziaWG: ofuscación de WireGuard contra DPI

AmneziaWG es un fork de WireGuard con una capa adicional de ofuscación. Enmascara el handshake de tal manera que DPI no puede identificar de manera inequívoca el tráfico como WireGuard. Desarrollo del equipo ruso Amnezia, código abierto.

Los clientes de AmneziaWG están disponibles para Android, iOS, Windows, macOS y Linux. La configuración es similar a la de WireGuard normal, pero con parámetros adicionales Jc, Jmin, Jmax, S1, S2, H1–H4: los valores son establecidos por el proveedor. Desventaja: el cliente normal de WireGuard no entenderá tal configuración, se necesita específicamente el cliente de AmneziaWG.

En la práctica, AmneziaWG funciona bien contra DPI suave. Contra bloqueos duros, como los de algunos operadores de telefonía móvil, puede no ayudar.

Alternativas para bloqueos duros: VLESS/XRay, Shadowsocks

Si el proveedor bloquea completamente UDP o AmneziaWG no ayuda, se necesitan protocolos que se enmascaren como tráfico HTTPS normal.

VLESS/XRay con XTLS-Reality — para hoy, la opción más estable para Rusia. El tráfico se ve como una conexión TLS con un sitio real. DPI no lo distingue de un navegador normal. Requiere su propio servidor o proveedor que soporte este protocolo.

Shadowsocks — más fácil de configurar, ha sido probado durante mucho tiempo, hay clientes en todas las plataformas. Se disfraza peor como tráfico legítimo que XTLS-Reality, pero mejor que WireGuard puro.

Wi-Fi corporativo o de hotel que corta puertos no estándar — ahí ayuda cambiar el puerto de WireGuard a 443 o 80. Pero si UDP está completamente bloqueado — solo protocolos TCP arriba.

Acceso a YouTube, Instagram, Facebook, X (Twitter), así como protección de Telegram y WhatsApp

El escenario legal de uso de VPN — acceder a plataformas bloqueadas en Rusia: Instagram (Meta), Facebook (Meta), Twitter/X, parcialmente TikTok, así como usar YouTube sin ralentizaciones. Telegram en Rusia ha sido oficialmente desbloqueado desde 2020, pero el tráfico a algunos servidores se ralentiza periódicamente.

Para estas tareas, WireGuard funciona excelente en condiciones normales. Si ese es su objetivo y el proveedor no bloquea UDP — configure AllowedIPs = 0.0.0.0/0 (todo el tráfico a través de VPN) y especifique un servidor en una jurisdicción neutral. Si DPI interfiere — AmneziaWG o VLESS.

NvoVPN soporta varios protocolos a elegir — incluyendo WireGuard y alternativas — lo cual es conveniente si necesita cambiar según el proveedor específico. Pero lo principal: tener un protocolo de respaldo a mano en caso de que el principal comience a ser bloqueado.

Errores frecuentes de conexión y cómo solucionarlos

Analizamos por síntomas — sin rodeos.

El túnel está activo, pero no hay internet (sin handshake)

Si el campo "Última conexión" muestra "Nunca" — el túnel no está establecido. Razones:

• Endpoint incorrecto. Verifique la dirección IP y el puerto. Intente hacer ping a la IP desde la línea de comandos.
• El proveedor bloquea UDP en este puerto. Intente otro puerto (si el servicio ofrece alternativas) o otro servidor.
• Doble NAT / CGNAT. Algunos operadores móviles utilizan CGNAT, lo que provoca que se pierdan paquetes de WireGuard. La solución es PersistentKeepalive = 25 en la configuración o cambiar de operador/red.
• El plazo de validez de la configuración ha expirado. Ingrese a su cuenta en el proveedor y vuelva a emitir la configuración.

Se conecta, pero los sitios no se abren (problema de DNS)

Hay handshake, Transfer aumenta, pero el navegador muestra "No se puede encontrar el servidor". Este es un problema de DNS.

Verifique el parámetro DNS en la configuración — debe haber un servidor funcional: 1.1.1.1 (Cloudflare), 8.8.8.8 (Google) o el DNS de su proveedor de VPN. Un campo DNS vacío o una dirección incorrecta — el navegador no puede resolver dominios.

Otra razón: AllowedIPs no incluye tráfico al servidor DNS. Si utiliza split-tunneling (AllowedIPs no es 0.0.0.0/0), asegúrese de que el servidor DNS esté en las subredes permitidas. Lo más fácil es poner 0.0.0.0/0 y enviar todo el tráfico a través de VPN.

La conexión se corta constantemente o funciona de manera inestable

En redes móviles, esto ocurre al cambiar entre Wi-Fi y datos móviles o entre torres. WireGuard por defecto no envía paquetes keepalive, y las tablas NAT del lado del operador se vuelven obsoletas.

Agregue en la sección [Peer] la líneaPersistentKeepalive = 25 — esto hará que el cliente envíe paquetes cada 25 segundos, manteniendo la conexión activa. Afecta mínimamente la batería. Si la configuración vino del proveedor sin esta línea — agréguela manualmente en cualquier editor de texto antes de importar.

También verifique la estabilidad del servidor mismo — si el proveedor tiene problemas con el hardware o el canal, ningún keepalive ayudará.

Error de importación de configuración y claves incorrectas

Al importar .conf, la aplicación se queja del formato — significa que el archivo está dañado. Causas comunes: copió la configuración a través del portapapeles y perdió un símbolo, el archivo se guardó en codificación UTF-16 en lugar de UTF-8, o espacios en las claves.

PrivateKey y PublicKey en WireGuard son cadenas base64 de exactamente 44 caracteres, que terminan en "=". Si la clave es más corta o contiene un espacio — es incorrecta. Solicite una nueva configuración al proveedor. No intente editar las claves manualmente — un símbolo incorrecto y el túnel no se levantará.