Durante años, WireGuard se ha convertido en el “motor” preferido de muchas VPN modernas por una mezcla difícil de igualar: diseño sencillo, buen rendimiento y una base criptográfica bien entendida por la comunidad. Pero, en el día a día, no todo depende del protocolo en sí. A menudo, la experiencia del usuario se decide en algo mucho menos glamuroso: la implementación concreta que empaqueta ese protocolo dentro de una app y lo hace funcionar sin sobresaltos en móviles, sobremesas y sistemas operativos muy distintos.
En ese terreno, Mullvad —un proveedor sueco conocido por su enfoque en privacidad y por publicar parte relevante de su tecnología— ha anunciado GotaTun: una nueva implementación de WireGuard escrita en Rust y publicada como software abierto. No es un “nuevo protocolo” ni una alternativa propietaria: es WireGuard, pero reescrito para ganar estabilidad, facilitar el mantenimiento y, sobre todo, eliminar un problema que les estaba pasando factura en Android.
Un cambio técnico con un motivo muy práctico: demasiados fallos en la vida real
El detonante no ha sido un capricho de ingeniería ni una moda del sector. Mullvad explica que, en Android, la mayor parte de los informes de fallos que recibían venían de wireguard-go, la implementación de WireGuard en espacio de usuario escrita en Go que durante mucho tiempo ha sido la opción de facto en muchas aplicaciones. En sus métricas internas, más del 85 % de los “crashes” reportados se atribuían a esa pieza.
Ese dato, por sí solo, ayuda a entender por qué la decisión se ha ejecutado primero en Android. En el ecosistema de Google Play, la telemetría de fallos está muy presente: si una biblioteca provoca cierres recurrentes, el impacto se nota rápido en métricas, reseñas y confianza del usuario. Mullvad afirma que, tras desplegar GotaTun a todos sus usuarios de Android con la versión 2025.10 de su app (a finales de noviembre), el indicador de “tasa de fallos percibidos por el usuario” cayó del 0,40 % al 0,01 %. Y añade un dato aún más contundente: hasta el momento no han atribuido ningún fallo a GotaTun.
Más allá de los números, la compañía asegura haber recibido comentarios positivos sobre velocidad y consumo de batería. En una VPN, donde el túnel se mantiene activo y procesa paquetes de manera constante, pequeñas mejoras en eficiencia pueden notarse en autonomía, calor y estabilidad general del dispositivo.
¿Qué es exactamente GotaTun y de dónde sale?
GotaTun nace como un fork de BoringTun, el proyecto que Cloudflare publicó en 2019 como implementación de WireGuard en Rust, pensada para ser portable y rápida. Mullvad no parte de cero: aprovecha un trabajo ya maduro y lo adapta a sus necesidades específicas, integrando funciones que en su producto son clave.
El nombre también tiene un guiño local: combina BoringTun con “Götatunneln”, un túnel real en Gotemburgo. Es una manera de subrayar que hablamos de infraestructura: algo que, si funciona bien, suele pasar desapercibido… hasta que deja de hacerlo.
Por qué Rust: menos fricción interna y más control sobre la estabilidad
La elección de Rust tiene un componente de seguridad y otro de operativa. Rust se ha ganado un lugar en proyectos sensibles porque reduce errores clásicos de memoria y facilita una concurrencia más segura. Pero, en este caso, Mullvad insiste en un problema muy concreto: la frontera entre lenguajes.
Según explican, gran parte de sus componentes de servicio están escritos en Rust, con la excepción de wireguard-go. Mantener esa pieza en Go les obligaba a cruzar un “puente” mediante FFI (interfaz de funciones extranjeras), algo que describen como inherentemente complejo y, en parte, inseguro. Además, Go funciona con su propio runtime, lo que puede complicar la observabilidad: si un componente se cuelga o falla, obtener trazas útiles y reconstruir qué pasó no siempre es trivial.
Traducido a términos cotidianos: cuando una app mezcla varios runtimes y el punto crítico del túnel VPN está en un lenguaje distinto, depurar problemas intermitentes puede convertirse en una pesadilla. Migrar la pieza central a Rust simplifica el mapa, reduce puntos opacos y acorta el camino entre un fallo y su solución.
Rendimiento y diseño: multihilo seguro y “zero-copy” como objetivo
Mullvad presenta GotaTun como una implementación “rápida, eficiente y fiable”, apoyándose en dos conceptos que, aunque suenen técnicos, tienen una lectura clara:
- Multihilo seguro: aprovechar varios núcleos del dispositivo sin introducir comportamientos erráticos por condiciones de carrera.
- Estrategias “zero-copy”: reducir copias innecesarias de memoria al mover paquetes, lo que suele traducirse en menos CPU, menos latencia y menor consumo.
En aplicaciones VPN, donde cada paquete cuenta, estas decisiones no son un detalle: son la diferencia entre una conexión fluida y una que se degrada con el tiempo, sobre todo en móviles.
DAITA y Multihop: privacidad “extra” sin cambiar el protocolo
Un punto importante del anuncio es que GotaTun llega con integración de funciones de privacidad que Mullvad ya venía impulsando, como DAITA (Defensa contra el análisis de tráfico guiado por Inteligencia Artificial) y Multihop.
- DAITA busca dificultar técnicas avanzadas de análisis de tráfico que intentan inferir patrones aunque el contenido vaya cifrado.
- Multihop enruta el tráfico a través de más de un servidor, separando “puntos de entrada” y “salida” para elevar la dificultad de correlacionar origen y destino.
En ambos casos, el matiz relevante es el mismo: no se “inventa” un protocolo nuevo. Se mantiene WireGuard, pero se refuerza la forma en la que la aplicación opera alrededor del túnel.
Lo que viene en 2026: auditoría externa y despliegue en el resto de plataformas
Mullvad plantea GotaTun como una transición progresiva. El primer gran paso —Android— ya está hecho. El plan para 2026 incluye:
- Una auditoría de seguridad externa a principios de año.
- Sustituir wireguard-go por GotaTun en el resto de plataformas, incluyendo escritorio e iOS.
- Más trabajo de optimización de rendimiento.
El mensaje de fondo es claro: el despliegue no se vende como una revolución inmediata, sino como una reingeniería del “corazón” de la VPN para ganar fiabilidad con el tiempo.
Preguntas frecuentes
¿Qué significa que GotaTun sea una implementación “en espacio de usuario” de WireGuard?
Significa que funciona como software normal (una app o servicio) en lugar de integrarse como módulo dentro del kernel del sistema operativo. Esto facilita el uso multiplataforma, aunque exige una ingeniería cuidadosa para mantener buen rendimiento y estabilidad.
¿GotaTun es un nuevo protocolo VPN o cambia cómo se conecta el usuario?
No. Mullvad insiste en que no es un protocolo distinto: sigue siendo WireGuard. Lo que cambia es el “motor” que lo ejecuta dentro de la app.
¿Por qué una diferencia pequeña de estabilidad importa tanto en una VPN móvil?
Porque el túnel está activo muchas horas, se enfrenta a redes cambiantes (WiFi/4G/5G) y procesa paquetes constantemente. Un fallo recurrente en ese componente se traduce en cierres, desconexiones, batería drenada o rendimiento irregular.
¿Cuándo llegará GotaTun a Windows, macOS o iOS?
Según el plan comunicado por Mullvad, el objetivo es llevarlo al resto de plataformas durante 2026, después de una auditoría externa y de completar el trabajo de adaptación.
