La guía completa de privacidad de red en macOS

Tu Mac le habla a internet cientos de veces antes de que termines tu primer café. Comprobaciones de actualizaciones de software, sincronizaciones iCloud, pings de índice de Spotlight, prefetches de Safari, esa única app que instalaste en 2021 que sigue llamando a casa cada lanzamiento. La privacidad de red en macOS no trata de irse a oscuras, trata de saber qué está saliendo, por qué, y si te sientes cómodo con ello. Esta guía es la versión de extremo a extremo: DNS, telemetría, permisos de apps, y la pila monitor-vs-firewall que te permite verificar realmente que los cambios se mantienen.

Es una lectura larga porque no hay un solo interruptor. La privacidad de red en macOS es un sistema, y las partes solo tienen sentido juntas.

Qué cubre realmente la privacidad de red en macOS

Cuatro capas, de fuera adentro:

1. DNS — cada conexión empieza con una búsqueda de nombre. Quien sea que ejecute tu resolver ve un log de cada dominio que visitas.
2. Transporte — TLS cifra el contenido pero filtra la Indicación de Nombre de Servidor (SNI) y el destino IP. Encrypted Client Hello (ECH) cierra parte de esa brecha.
3. Telemetría a nivel de app — las apps envían analítica, informes de fallos y pings de funciones. Algunos son necesarios, la mayoría son opcionales.
4. Telemetría a nivel de sistema — los propios informes de diagnóstico y uso de Apple, más publicidad personalizada opt-in en la App Store.

Una pila de privacidad cubre las cuatro. Sáltate cualquier capa y estás confiando en otra persona para hacer lo correcto.

Capa 1: DNS — cifrarlo, y elegir quién ve

Por defecto, macOS usa cualquier servidor DNS que tu router te dé vía DHCP. En Wi-Fi de casa, eso suele ser tu ISP. En una red de cafetería, es quien sea que ejecute el router del café. Se sabe que los ISPs monetizan los logs de consultas DNS. Se sabe que las cafeterías malconfiguran las cosas.

Cambia a DNS cifrado

macOS soporta DNS over HTTPS (DoH) y DNS over TLS (DoT) vía perfiles de configuración. Tres resolvers que vale la pena considerar:

• Cloudflare 1.1.1.1 — rápido, política pública de no-log, bien auditado. Endpoint DoH: https://cloudflare-dns.com/dns-query.
• Quad9 9.9.9.9 — sin ánimo de lucro con sede en Suiza, bloquea dominios maliciosos conocidos por defecto. Endpoint DoH: https://dns.quad9.net/dns-query.
• NextDNS — filtrado configurable por perfil con logs que tú controlas (o desactivas).

La instalación más limpia es un perfil .mobileconfig desde el sitio del resolver. Descarga, doble clic, instala en Ajustes del Sistema → General → VPN y Gestión de Dispositivos → Perfiles. Reinicia los navegadores para que adopten el nuevo resolver.

Verifica que funciona en https://1.1.1.1/help (para Cloudflare): te dirá si estás en DoH/DoT o DNS plano.

Cuidado con los fallbacks

Si tu endpoint de DNS cifrado es inalcanzable, macOS puede caer al DNS del sistema, que cae al resolver del router. Algunos clientes VPN también sobrescriben el DNS sin decírtelo. Comprueba periódicamente.

Capa 2: Transporte — qué oculta TLS y qué no

TLS 1.3 oculta el cuerpo de cada petición HTTPS. No oculta, por defecto:

• La dirección IP a la que conectaste — cualquiera observando el enlace ve 1.2.3.4:443.
• El nombre de host en SNI — la parte sin cifrar del handshake TLS nombra al servidor con el que hablas.
• Patrones de tiempo — cuánto tiempo, con qué frecuencia, qué tamaño.

Encrypted Client Hello (ECH) cifra SNI cuando tanto cliente como servidor lo soportan. Los sitios fronted por Cloudflare ya lo hacen; la mayoría aún no. Safari y Chrome soportan ECH en macOS cuando el servidor coopera.

Toma práctica: TLS es genial para contenido. Los metadatos siguen filtrándose. La única manera de enmascarar la IP es una VPN o Tor, y esos mueven la confianza a quien sea que ejecute la salida. Elige a alguien con quien estés cómodo confiando.

Capa 3: Telemetría a nivel de app — encuéntrala, decide

La mayoría de las apps envían analítica. Algunas te dejan apagarla. El flujo honesto es:

1. Mira qué se conecta. Un monitor de red te muestra qué apps están activas y cuánto envían. ova se sienta en la barra de menú, muestrea aproximadamente a 1 Hz y muestra tasa por app más historial.
2. Cruza referencias de hostnames. Little Snitch (o LuLu, o Radio Silence) muestra el dominio de destino por conexión. Un monitor te dice "X está hablando", una herramienta clase firewall te dice "X está hablando con telemetry.example.com".
3. Apaga donde puedas. La mayoría de las apps tienen una opción "compartir datos de uso" o "enviar informes de fallos" en preferencias. Apagarla rara vez rompe nada.
4. Verifica que el conmutador funcionó. Este es el paso que la gente se salta. Apaga, reinicia la app, observa el tráfico saliente. Si aún lo ves, tienes una señal real.

Infractores comunes que vale la pena revisar

• Microsoft Office — envía datos de diagnóstico por defecto. Desactiva en Word → Preferencias → Privacidad.
• Adobe Creative Cloud — corre Core Sync, CCXProcess y compañía en segundo plano. La mayoría son opcionales. El propio agente Cloud no, si usas apps Creative Cloud.
• Spotify — eventos de analítica. Conmutadores limitados, pero el volumen de datos es pequeño.
• Slack — pesado por diseño (websockets, presencia). No es telemetría, así es como funciona.
• Apps utility aleatorias del Mac App Store — sorprendentemente parlanchinas. Un monitor te ayuda a detectar las que no vale la pena mantener instaladas.

Capa 4: A nivel de sistema — Apple, y el propio SO

Apple es más protectora de la privacidad que la mayoría, pero macOS aún por defecto envía algunos datos. Tres lugares para revisar:

Ajustes del Sistema → Privacidad y Seguridad → Analítica y Mejoras

• Compartir Analítica del Mac — desactivado por defecto para la mayoría de los usuarios; verifica.
• Mejorar Siri y Dictado — puedes desactivar esto sin perder Siri.
• Compartir con Desarrolladores de Apps — envía datos de fallos (anonimizados) a desarrolladores de terceros.

Ajustes del Sistema → Privacidad y Seguridad → Publicidad de Apple

• Anuncios Personalizados — desactívalo. Los anuncios de App Store siguen apareciendo, solo sin segmentar.

Ajustes del Sistema → Privacidad y Seguridad → Servicios de Localización → Servicios del Sistema

Muchos servicios del sistema aquí. La mayoría están bien. Los que vale la pena escrutar:

• Ubicaciones Significativas — visible, eliminable.
• Analítica de iPhone si tu teléfono está emparejado.
• Enrutamiento y Tráfico — envía ubicación anonimizada para datos de tráfico.

Conmutadores relacionados con red

• Ajustes del Sistema → Wi-Fi → Detalles → Limitar Rastreo de Direcciones IP — usa técnicas estilo iCloud Private Relay en redes soportadas.
• iCloud Private Relay (parte de Mac de una suscripción iCloud+) — proxia Safari y algo de tráfico del sistema a través de dos relés, ocultando la IP de los sitios y el DNS de Apple.

La pila monitor-vs-firewall

Aquí es donde la mayoría de las guías de privacidad se confunden. Necesitas ambos, y hacen trabajos distintos.

Un monitor

Lee contadores del kernel, te muestra qué está pasando. No bloquea, no avisa, no se interpone. ova está en esta categoría: unos 3 MB, sin extensiones de kernel, sin filtro de red, sin avisos de permiso tras la instalación. Es solo lectura.

Un firewall

Inspecciona conexiones, aplica reglas, bloquea o permite. Little Snitch es el firewall canónico de Mac. LuLu es la opción gratuita. El Firewall de Aplicaciones de macOS (integrado) solo maneja entradas, no salidas, así que no está en la misma categoría.

Por qué quieres ambos

Un firewall aplica política. Un monitor la verifica. Cuando le dices a Little Snitch "bloquea Adobe de contactar *.adobe.io", confías en que la regla se dispare. Un monitor confirma: si pones un bloqueo y el tráfico por app cae a cero, el bloqueo funcionó. Si no, tienes una regla mal configurada.

Ejecútalos lado a lado. El coste combinado en CPU y memoria es despreciable comparado con una pestaña de Chrome.

Añade un monitor silencioso a tu pila de privacidad

ova lee contadores del kernel y muestra ancho de banda por app: local, sin telemetría, ~3 MB.

Descargar para macOS

Permisos de apps: la capa de privacidad que la mayoría olvida

La privacidad de red no es solo sobre bytes. macOS regula una larga lista de permisos por app: Localización, Contactos, Calendarios, Recordatorios, Fotos, Cámara, Micrófono, Grabación de Pantalla, Monitorización de Entrada, Acceso al Disco Completo, Archivos y Carpetas, Accesibilidad, Automatización, Bluetooth, Red Local.

Dos de esos tienen implicaciones directas de privacidad de red:

• Red Local — concedido, una app puede escanear tu LAN y descubrir otros dispositivos. Útil para receptores AirPlay y apps de impresora. Sospechoso para la mayoría.
• Bluetooth — concedido, una app puede hablar con dispositivos cercanos, lo que a veces significa rastrear proximidad.

Audita Ajustes del Sistema → Privacidad y Seguridad una vez al año. Revoca permisos para apps que ya no reconozcas. El SO volverá a pedir aviso la próxima vez que la app realmente necesite acceso.

Una auditoría práctica de 30 minutos

Bloquea media hora. Café. Sin reuniones.

1. Cambia el DNS a Cloudflare 1.1.1.1 o Quad9 vía un perfil .mobileconfig. Verifica con https://1.1.1.1/help.
2. Audita Privacidad y Seguridad en Ajustes del Sistema. Desactiva el compartir analítica. Revisa Servicios de Localización → Servicios del Sistema. Revoca Red Local para apps que no la necesitan.
3. Instala ova y un firewall (trial de Little Snitch, o LuLu). Déjalos correr mientras trabajas normalmente durante una hora.
4. Revisa la lista por app. Cualquier cosa hablando que te sorprenda, búscala. Algunas apps las mantendrás, algunas las desinstalarás, algunas las silenciarás vía reglas de firewall.
5. Documenta tu línea base. Toma una captura de la lista por app durante un momento tranquilo. El próximo mes, compara.

Esta es una configuración de 30 minutos. No la repetirás. La revisión mensual son cinco minutos.

Mitos comunes

"VPN = privacidad"

Una VPN mueve tu confianza de tu ISP al proveedor de VPN. Si la VPN registra y el ISP no, estás peor. Elige un proveedor con afirmaciones de no-log auditadas.

"El modo incógnito me oculta"

El modo incógnito en navegadores impide el historial local. Tu red ve las mismas consultas DNS y conexiones.

"Apple no ve nada"

Apple ve a lo que has consentido (analítica, muestras de Siri, contenido iCloud si no está cifrado de extremo a extremo) más algunas huellas a nivel de sistema (device check, beacons MDM, notificaciones push). Es menos que la mayoría de las empresas, pero no es cero.

Qué significa "100% local" para herramientas en las que confías tu privacidad

Cualquier herramienta que instales para privacidad debería ser ella misma privada. Específicamente:

• Sin cuenta — no deberías necesitar iniciar sesión para usar una herramienta de privacidad.
• Sin sincronización en la nube — los datos viven en tu disco, no en el suyo.
• Sin telemetría — una app de privacidad llamando a casa es su propia contradicción.
• Firmada y notarizada — el proceso de desarrollador de Apple es una señal real. Salta los binarios sin firmar a menos que hayas leído el código personalmente.

ova marca las cuatro. El historial de ancho de banda está en tu disco, la app no tiene panel remoto, y no hay flujo de cuenta en absoluto.

Para terminar

La privacidad de red en macOS son cuatro capas —DNS, transporte, telemetría de app, telemetría del sistema— más el hábito de auditoría que las mantiene honestas. Cifra tu DNS, poda tus permisos, ejecuta un monitor junto a un firewall, y recomprueba mensualmente. Ninguna de las piezas es difícil. El truco es tenerlas todas en su sitio a la vez, porque saltarse una capa hace las demás menos útiles.

Pasa los 30 minutos esta semana. La mayoría se sorprende silenciosamente por lo que su Mac estaba haciendo mientras pensaban que estaba inactiva.