Ir al contenido principal

El sistema operativo de escritorio más privado en 2026 — Windows, macOS, Linux

Comparativa de privacidad entre Windows 11, macOS, Ubuntu, Fedora, Mint, Qubes y Tails — telemetría, cifrado y cuál elegir.

Última actualización: 22 de abril de 2026

Resumen

  • Para la mayoría de usuarios, el ranking de privacidad es: **Tails > Qubes OS > Linux Mint / Fedora / Ubuntu > macOS > Windows 11**.
  • **Windows 11** tiene las opciones predeterminadas más agresivas: cuenta de Microsoft obligatoria, telemetría inevitable y Copilot+Recall toma capturas de pantalla en hardware compatible. Se puede endurecer, pero hay que luchar contra los valores predeterminados.
  • **macOS Sequoia** es el sistema operativo comercial más privado: gran seguridad en el dispositivo, iCloud cifrado opcional (Protección Avanzada de Datos), pero es código cerrado, por lo que no se puede verificar qué hace realmente.
  • **Linux de escritorio** (Ubuntu, Fedora, Mint) es código abierto, sin cuenta obligatoria y sin telemetría preocupante tras pequeños ajustes. Mint tiene los valores predeterminados más privados de los tres.
  • **Qubes OS** es la mejor opción para usuarios con amenazas graves que quieren seguridad mediante compartimentación. **Tails** es la referencia para sesiones temporales, amnésicas y enrutadas a través de Tor — no es para uso diario.

La respuesta breve

Si la privacidad es la prioridad máxima y estás dispuesto a cambiar hábitos:

  • Modelo de amenazas extremo (periodista que protege fuentes, activista en un estado hostil, investigador de seguridad): Qubes OS para uso diario + Tails en un USB separado para sesiones puntuales de alto riesgo.
  • Orientado a la privacidad pero práctico (quieres un ordenador de aspecto normal que no envíe datos a casa): Linux Mint — ecosistema de software compatible con Ubuntu, sin las incorporaciones de Canonical, con opciones predeterminadas conservadoras.
  • Mejor sistema operativo comercial para la privacidad: macOS Sequoia con la Protección Avanzada de Datos activada. Se aplica la advertencia de código cerrado, pero los valores predeterminados son mejores que los de Windows y la seguridad del dispositivo es excelente.
  • Tienes que usar Windows por trabajo: Windows 11 Pro (no Home) con Directiva de grupo, BitLocker, Firefox y un proceso de endurecimiento serio. Es posible tener un Windows 11 razonablemente privado — solo necesitas dedicar un fin de semana a configurarlo, y vuelve a su estado original con cada actualización importante.

Todo lo que viene a continuación es el detalle detrás de este ranking — qué hace cada sistema operativo de forma predeterminada, qué se puede cambiar y qué no.

Windows 11 — la línea base anti-privacidad

Windows 11 es la peor de las opciones convencionales, no porque sea malicioso, sino porque el modelo de negocio de Microsoft trata el sistema operativo como un producto de datos. Detalles:

Requisito de cuenta. Windows 11 Home exige una cuenta de Microsoft durante la configuración. Los métodos alternativos para usar cuenta local (el comando OOBE\BYPASSNRO, el truco de no@thankyou.com) siguen siendo parcheados en las actualizaciones acumulativas. Windows 11 Pro todavía permite cuentas locales durante la configuración si seleccionas la ruta de «unión a dominio».

Telemetría. Dos niveles: «Datos de diagnóstico necesarios» (siempre activos, no se pueden deshabilitar mediante la interfaz de Configuración — la Directiva de grupo permite restringirlos, pero algunas señales siguen fluyendo) y «Datos de diagnóstico opcionales» (telemetría completa a nivel de navegación que puedes desactivar, pero que está ACTIVADA de forma predeterminada). Microsoft publica un diccionario de datos, lo cual es más de lo que hacen la mayoría de los proveedores de sistemas operativos, pero la línea base es «Microsoft sabe lo que estás haciendo».

Copilot + Recall. Recall (en PCs Copilot+ con NPU) toma capturas de pantalla cada pocos segundos, las procesa con OCR y construye un índice de búsqueda local. Tras el escándalo de seguridad de junio de 2024, Microsoft lo hizo opcional, cifró la base de datos y exigió autenticación con Windows Hello para consultarlo. La capacidad subyacente sigue integrada en el sistema operativo. Cada actualización importante reabre la pregunta «¿sigue siendo Recall realmente opcional?». Copilot en sí envía consultas a Azure OpenAI a menos que deshabilites explícitamente la función.

Valores predeterminados de OneDrive. Las instalaciones nuevas redirigen silenciosamente las carpetas Documentos, Imágenes y Escritorio a %OneDrive%\ y comienzan a sincronizarlas. Millones de usuarios tienen sus archivos personales en la nube de Microsoft sin haber tomado una decisión consciente de subirlos.

Edge + Bing. El navegador predeterminado envía consultas a Bing. Edge tiene funciones de privacidad útiles (bloqueo de rastreadores, InPrivate), pero su comportamiento predeterminado incluye el envío de URL al SmartScreen de Defender de Microsoft.

Qué puedes hacer. Windows 11 es el sistema operativo más «endurecible» precisamente porque hay mucho que desactivar:

  • Instala con una cuenta local (Pro o un ajuste de registro en Home)
  • Ejecuta O&O ShutUp10++ — una lista seleccionada de más de 100 opciones de privacidad con valores predeterminados «recomendados». Aplica cambios en la Directiva de grupo y el registro que sobreviven a las actualizaciones.
  • Deshabilita la configuración de OneDrive durante la instalación y elimínalo por completo si no lo usas
  • Reemplaza Edge con Firefox o Brave; cambia la búsqueda predeterminada a DuckDuckGo, Kagi o Startpage
  • Desinstala Cortana, Teams Consumer y las aplicaciones de Xbox si no las usas
  • BitLocker (solo Pro) o VeraCrypt (Home) para cifrado de disco completo
  • Directiva de grupo: Configuración del equipo → Plantillas administrativas → Componentes de Windows → Recopilación de datos

Tras este proceso, Windows 11 puede configurarse para ser aproximadamente tan privado como Ubuntu sin modificar. El coste continuo es revisar la configuración después de cada Actualización de características (20H2, 22H2, 23H2, 24H2 han reintroducido algunos comportamientos).

macOS Sequoia 15 — el mejor sistema operativo comercial para la privacidad

macOS Sequoia es dramáticamente mejor que Windows 11 de forma predeterminada, pero «mejor que Microsoft» no es lo mismo que «privado».

La telemetría de Apple — Análisis, Análisis del dispositivo y Análisis de iCloud — está desactivada de forma predeterminada en una instalación nueva en la UE (RGPD) y activada de forma predeterminada en EE. UU. (puedes deshabilitarla en Ajustes → Privacidad y Seguridad → Análisis y mejoras). Apple publica su política de privacidad y hace afirmaciones específicas sobre el procesamiento en el dispositivo, pero no puedes verificar estas afirmaciones de forma independiente porque el sistema operativo es código cerrado.

Valores predeterminados de iCloud. Fotos, Contactos, Calendario y iCloud Drive se sincronizan de forma predeterminada si inicias sesión con un Apple ID. Mensajes en iCloud está desactivado a menos que lo habilites. La Protección Avanzada de Datos (iCloud cifrado de extremo a extremo para la mayoría de las categorías — Fotos, Notas, Drive, copias de seguridad) es opcional y requiere iOS 16.2+ / macOS 13+ en todos tus dispositivos. Apple la minimiza activamente durante la configuración porque habilitarla significa que Apple no puede recuperar tus datos si pierdes el acceso.

Siri + Spotlight. Las consultas se envían a Apple para su resolución. Apple afirma que están anonimizadas y no vinculadas a tu Apple ID. Puedes deshabilitar «Sugerencias de búsqueda de Apple» en Safari para evitar que lo que escribes en la barra de URL llegue a los servidores de Apple.

Apple Intelligence (añadido en 2024). Principalmente en el dispositivo para los modelos más pequeños, pero algunas consultas se envían a la infraestructura de «Private Cloud Compute» de Apple. PCC utiliza hardware certificado y binarios publicados — una arquitectura de privacidad genuinamente novedosa. Es opcional en la UE y también en el resto del mundo desde macOS 15.

Gatekeeper + firma de código. Cada aplicación que ejecutas pasa una verificación de firma frente al servicio de notaría de Apple. Las aplicaciones que se ejecutan por primera vez envían información al servidor con el hash del ID del desarrollador — Apple puede (en teoría) registrar qué ejecuta cada Mac y cuándo. Es una función de seguridad (detecta aplicaciones conocidas como maliciosas) con costes para la privacidad. sudo spctl --master-disable desactiva la verificación de firmas, pero no se recomienda.

Puntos fuertes.

  • Apple Silicon + Secure Enclave = seguridad sólida del dispositivo, desbloqueo biométrico vinculado al hardware
  • Las aplicaciones de la App Store tienen etiquetas de privacidad (autodeclaradas por el desarrollador, pero siguen proporcionando información)
  • El modelo de permisos es estricto — las aplicaciones deben solicitar acceso a contactos, calendario, cámara, micrófono y ubicación
  • FileVault (cifrado de disco completo) es trivial de activar y usa el Secure Enclave
  • Sin antivirus obligatorio que envíe datos a servidores externos

Puntos débiles.

  • Código cerrado — las afirmaciones de privacidad son palabra de Apple
  • Las opciones de rechazo de iCloud están dispersas en distintos paneles de Ajustes
  • La configuración de la Protección Avanzada de Datos genera fricciones (Apple dificulta activamente su habilitación)
  • Dependencia del hardware — si te preocupa suficientemente la privacidad como para verificarla, probablemente quieras usar Linux que puedas auditar

Configuración práctica. Instalación nueva → rechaza los análisis opcionales → activa FileVault → activa la Protección Avanzada de Datos si todos tus dispositivos la admiten → instala Firefox → no inicies sesión en iCloud hasta que hayas decidido exactamente qué categorías sincronizar.

Ubuntu 24.04 LTS — el Linux popular

Ubuntu es la distribución Linux más utilizada en escritorios y una base razonable de privacidad. Canonical tiene un historial mixto en este tema.

La «Amazon lens» de 2013. Durante un breve período, la búsqueda del Dash de Ubuntu Unity enviaba consultas a Amazon para mostrar «lentes» de resultados de compras. Esto desencadenó una crisis de confianza que duró años en la comunidad. La función se eliminó en la versión 16.04 y Canonical no la ha repetido. Vale la pena saberlo porque explica cómo se sienten los usuarios de Linux veteranos con respecto a Ubuntu.

Telemetría actual.

  • Ubuntu Report — un resumen anónimo y único de hardware/software enviado durante la instalación. Opcional; aparece el aviso antes de ejecutarse.
  • Apport — informes de fallos. Desactivado de forma predeterminada en las versiones; puedes activarlo por cada fallo.
  • Livepatch — parches en caliente del kernel. Opcional; requiere una suscripción a Ubuntu Advantage.
  • PopCon — concurso de popularidad de paquetes. Desactivado de forma predeterminada.
  • Telemetría de Snap — la tienda Snap de Canonical recopila recuentos de instalaciones y actualizaciones. Menos invasivo que la telemetría del navegador, pero sigue siendo una llamada a Canonical por cada instalación de snap.

Pantallas de notificación de ubuntu-advantage-tools. Las versiones recientes de Ubuntu añadieron avisos «motd» al usar SSH o abrir un terminal, que anuncian Ubuntu Pro. Molesto, pero no es un problema de privacidad (sin datos salientes). Se elimina o silencia en la versión 24.04 estableciendo ENABLED=0 en /etc/default/ubuntu-advantage-tools.

Snap vs apt. Ubuntu 22.04+ incluye Firefox como paquete snap. La tienda snap se comunica con los servidores de Canonical; los paquetes apt tradicionales se comunican con el espejo que hayas configurado. Si el enrutamiento «todo a través de Canonical» te molesta, cambia al paquete apt de Firefox desde ppa:mozillateam/ppa o instala Firefox directamente desde flatpak.

Puntos fuertes. Código abierto, auditable, gran selección de paquetes, excelente soporte de hardware, Wayland por defecto desde la versión 22.04+, GNOME 46 con valores predeterminados de privacidad razonables.

Puntos débiles. Los intereses comerciales de Canonical a veces apuntan hacia los datos de los usuarios; la telemetría de Snap es inevitable si usas snaps; los avisos de marca «Ubuntu Advantage» son visibles.

Configuración práctica. Instalación nueva → rechaza Ubuntu Report → deshabilita Apport → deshabilita PopCon → reemplaza Firefox de Snap con Firefox de apt o Flatpak → activa LUKS durante la instalación → Firefox con uBlock Origin.

Fedora 41 — el Linux upstream-first

Fedora es la distribución comunitaria de Red Hat (IBM), utilizada como upstream para RHEL. En cuanto a privacidad, es similar a Ubuntu con algunas diferencias.

Sin equivalente a Canonical. Red Hat / IBM no anuncian una suscripción «Advantage» a los usuarios de escritorio; las licencias empresariales están en RHEL, no en Fedora. Sin pantallas de notificación, sin avisos de actualización forzados.

Telemetría predeterminada. Mínima. Fedora Report (un censo de hardware) se está introduciendo en la versión 42 — debate comunitario en curso, el estado actual es opcional. ABRT (informes de fallos) es opcional; recibirás una notificación cuando se produzca un fallo y puedes decidir si enviarlo.

SELinux en modo enforcing por defecto. Esta es una función de seguridad, no de privacidad per se — contiene los exploits a nivel de proceso para que una aplicación comprometida no pueda leer todo en tu sistema. Ubuntu usa AppArmor para el mismo propósito, pero con una postura predeterminada más permisiva. SELinux es más estricto.

Flatpak + dnf. Los gestores de paquetes de Fedora. Los flatpaks de Flathub se comunican con la CDN de Flathub (no es una señal de telemetría, solo una descarga); dnf se comunica con los espejos de Fedora.

Wayland primero. Cada variante de escritorio (GNOME, KDE, XFCE, etc.) incluye Wayland como sesión predeterminada, que ofrece mejor aislamiento entre aplicaciones GUI que X11 (las aplicaciones no pueden hacerse capturas de pantalla ni capturar pulsaciones de teclado entre sí).

Puntos fuertes. Sin patrones comerciales al estilo Canonical, SELinux en modo enforcing, seguimiento upstream rápido (kernel/Mesa/GNOME son todos más recientes que en Ubuntu).

Puntos débiles. Estar en la vanguardia puede significar «algo se rompió por una regresión de controladores»; ciclo de soporte de 13 meses por versión frente a los 5 años de Ubuntu LTS.

Configuración práctica. Instalación nueva → rechaza los informes de fallos (recibirás un aviso la primera vez que se produzca uno) → activa LUKS durante la instalación → Firefox está preinstalado y no como flatpak en Fedora Workstation.

Linux Mint 22 — el Linux más privado por defecto

Linux Mint es la versión «desbloqueada» de Ubuntu que lleva mucho tiempo en desarrollo. Toman Ubuntu LTS upstream, eliminan las incorporaciones de Canonical, reemplazan el escritorio con Cinnamon (o Xfce / MATE) y lo distribuyen. Lo que obtienes:

Sin Snap por defecto. Mint elimina explícitamente snap y bloquea apt para que no instale el demonio de snap. Firefox se instala como un paquete apt normal desde el PPA de Mozilla. Sin pantallas de notificación.

Sin Ubuntu Report, sin ubuntu-advantage-tools. Mint deshabilita o desinstala las partes comerciales de Canonical.

Sin telemetría. El propio Mint no envía datos a servidores externos. Los informes de fallos están desactivados. El gestor de actualizaciones se comunica con el espejo de Mint para las actualizaciones — tráfico estándar del gestor de paquetes — pero no informa sobre el uso.

Alternativa LMDE. Si quieres una versión de Mint sin Canonical, LMDE (Linux Mint Debian Edition) usa Debian Stable como base. Experiencia de escritorio idéntica, diferente upstream.

Cinnamon. Una bifurcación de GNOME que prioriza un escritorio tradicional similar a Windows. Menos «moderno» que GNOME, menos orientado al teclado que KDE, pero accesible para usuarios que vienen de Windows.

Puntos fuertes. Los valores predeterminados de privacidad más conservadores de cualquier distribución convencional. Gran comunidad. Estable. Buen soporte de hardware gracias a la base de Ubuntu.

Puntos débiles. Más lento en adoptar nueva tecnología (Wayland todavía es opcional en Mint 22, con X11 como predeterminado). Cinnamon tiene menos colaboradores que GNOME o KDE. El upstream de Ubuntu significa que heredas los errores de Ubuntu, pero no su telemetría.

Configuración práctica. Instalación nueva → activa LUKS durante la instalación → actualiza → instala Firefox (ya está incluido) + uBlock Origin → eso es todo. Mint es la distribución donde «instalar y usar» te da una postura de privacidad razonable sin trabajo adicional.

Qubes OS 4.2 — la compartimentación como modelo de amenazas

Qubes está en su propia categoría. En lugar de intentar hacer un sistema operativo más privado, Qubes asume que cualquier sistema único será comprometido y aísla el radio de explosión utilizando virtualización.

Cómo funciona. Qubes se ejecuta en bare metal mediante el hipervisor Xen. Cada «VM» (llamada qube en su terminología) ejecuta un espacio de usuario Linux desechable — normalmente plantillas de Fedora o Debian. Cuando haces clic en un adjunto de correo electrónico, se abre en una DisposableVM que se destruye al cerrarla. La banca se realiza en su propia AppVM con acceso a red solo a tu banco. La navegación por enlaces aleatorios ocurre en un qube Whonix-Workstation que enruta a través de Tor.

El coste en usabilidad. Copiar y pegar entre qubes requiere un atajo de teclado explícito (Ctrl+Shift+V) que confirma la transferencia. Los archivos movidos entre qubes pasan por un cuadro de diálogo FileCopy dedicado. Se pierde el supuesto de «todo funciona en el mismo escritorio» de un sistema operativo normal — pero se ganan verdaderas barreras de seguridad.

Propiedades de seguridad.

  • Un exploit en el navegador del qube de trabajo no puede acceder a los archivos del qube personal.
  • Un lector de PDF comprometido no puede exfiltrar tu cartera de criptomonedas.
  • Un USB conectado se monta en un qube sys-usb dedicado — si contiene malware, afecta a la VM desechable, no a dom0 (el dominio de control de confianza).
  • dom0 no tiene acceso a Internet en absoluto; literalmente no se puede ejecutar un navegador en dom0.

Requisitos de hardware. Mínimo 16 GB de RAM (Qubes recomienda 16 GB), 32 GB en la práctica. SSD rápido (NVMe preferido). CPUs Intel con VT-x + VT-d; hay portátiles específicos en la lista de compatibilidad de hardware (Thinkpads más nuevos, Framework, System76 Oryx Pro).

Integración de Tor a través de Whonix. De serie, Qubes incluye plantillas Whonix — una configuración de dos VMs donde una hace el enrutamiento Tor y la otra ejecuta el navegador, sin forma de que el navegador conozca la IP real aunque sea completamente explotado. La mejor arquitectura Tor por debajo de Tails.

Puntos fuertes. Modelo de seguridad de referencia para usuarios con amenazas graves. Código abierto. Snowden y periodistas de alto perfil lo usan públicamente.

Puntos débiles. Curva de aprendizaje pronunciada (2-4 semanas para sentirse cómodo). Requisitos de hardware elevados. Soporte de hardware limitado — listas de portátiles específicos en lugar de «la mayoría del hardware moderno». Sin software comercial; solo aplicaciones Linux.

Configuración práctica. La propia guía de instalación de Qubes es excelente. Reserva un fin de semana para la primera instalación y aprender el modelo de qubes. Combínalo con un portátil compatible (consulta su lista HCL — no compres hardware aleatorio).

Tails 6.x — sesiones amnésicas en USB

Tails (The Amnesic Incognito Live System) es un sistema operativo en vivo basado en Debian que arranca desde un USB y olvida todo al apagarse. Cada conexión saliente se fuerza a través de Tor — si un error en una aplicación intenta hacer una conexión directa, falla en lugar de producir una fuga.

Cómo se usa. Arranca una máquina de destino desde un USB de Tails. Úsalo. Reinicia. El disco duro de la máquina nunca se toca (a menos que optes explícitamente por ello). No queda ningún rastro de la sesión en ningún lugar excepto en la memoria humana.

Almacenamiento persistente. Opcional, en el mismo USB, cifrado con LUKS. Permite conservar una carpeta específica, la configuración de puentes Tor y una pequeña lista de aplicaciones entre reinicios. Todo lo demás permanece amnésico.

Enrutamiento Tor. Todo el tráfico. Sin «túnel dividido», sin «exención basada en dominios». Las aplicaciones que no pueden usar Tor simplemente no pueden conectarse. Esto es estricto y ocasionalmente molesto (algunas videoconferencias no funcionan, la mayoría de los sitios bancarios bloquean las salidas de Tor), pero es la propiedad de seguridad.

Puntos fuertes. Amnésico por diseño — un USB extraviado no filtra tu sesión. Tor por defecto — sin posibilidad de filtrar accidentalmente tu IP real. Superficie de ataque pequeña — pila de software mínima. Bien mantenido por una organización sin fines de lucro.

Puntos débiles. No es para uso diario. Arrancar desde USB es más lento. La selección de software es intencionalmente limitada. La latencia de Tor interrumpe muchos servicios comerciales. Sin estado del sistema persistente entre reinicios a menos que optes por ello.

Ideal para.

  • Cruzar fronteras (reinicia en el sistema operativo normal antes de la aduana)
  • Reunirse con fuentes periodísticas
  • Investigar un tema sensible que no debe mezclarse con tu identidad cotidiana
  • Cualquier sesión donde «lo que estás haciendo ahora no debe vincularse a quién eres el resto del tiempo»

Configuración práctica. Descarga Tails desde tails.net, verifica la firma (fundamental), flashea a un USB de ≥ 8 GB, arranca la máquina de destino desde él (puede requerir ajuste en BIOS/UEFI). Establece una contraseña de administrador si necesitas ejecutar comandos sudo durante la sesión.

Tabla comparativa

Sistema operativo Telemetría (predeterminada) Cuenta requerida Código abierto Cifrado de disco por defecto Valores predeterminados en la nube Puntuación de privacidad
Windows 11 Home Siempre activa + solo opción de rechazo Sí (Microsoft) No A veces (Cifrado de dispositivo automático) OneDrive activado ★☆☆☆☆
Windows 11 Pro Reducible mediante Directiva de grupo No (opción de unión a dominio) No Sí (BitLocker) OneDrive activado ★★☆☆☆
macOS Sequoia Opcional en la UE, activada por defecto en EE. UU. Recomendada (Apple ID) No No (el usuario debe activar FileVault) iCloud activado para Fotos ★★★☆☆
Ubuntu 24.04 Solo opcional en la instalación No Opcional en la instalación Ninguno (telemetría de snap) ★★★★☆
Fedora 41 Informes de fallos opcionales No Opcional en la instalación Ninguno ★★★★☆
Linux Mint 22 Ninguna No Opcional en la instalación Ninguno ★★★★★
Qubes OS 4.2 Ninguna No Sí (LUKS obligatorio) Ninguno ★★★★★
Tails 6.x Ninguna No Volumen persistente opcional Ninguno (enrutado por Tor) ★★★★★

(Las estrellas son una puntuación compuesta aproximada de «carga de telemetría + penalización por código cerrado + cifrado de disco por defecto + dependencia de la nube». No es lo único que importa — un Windows 11 Pro endurecido puede ser más privado que una instalación descuidada de Ubuntu).

Nuestra recomendación por caso de uso

1. Consumidor preocupado por la privacidad que también necesita software convencional (Adobe, juegos, Office, Zoom, etc.). Windows 11 Pro con BitLocker + O&O ShutUp10++ + Firefox + cuenta local. O arranque dual con Windows para las aplicaciones que lo requieran y Linux Mint para todo lo demás.

2. Trabajador del conocimiento, desarrollador, estudiante, escritor. Linux Mint con LUKS + Firefox + uBlock Origin. El noventa por ciento de los flujos de trabajo de Windows/macOS se trasladan limpiamente a Mint. LibreOffice para la mayoría de los documentos, OnlyOffice si necesitas mejor compatibilidad con Microsoft Office.

3. Creador de contenido / diseñador que usa Adobe Creative Cloud. macOS Sequoia con FileVault + Protección Avanzada de Datos + Firefox. El soporte de Adobe es real en macOS; es complicado en Linux (Wine/Bottles funciona para algunas aplicaciones, no todas). El rendimiento de Apple Silicon en trabajo de vídeo es genuinamente el mejor de las tres opciones comerciales.

4. Periodista / activista / investigador que maneja material sensible. Qubes OS en hardware compatible para el trabajo diario + Tails en un USB para sesiones puntuales de alto riesgo. Usa dispositivos físicos separados para la «identidad pública» frente a la «identidad de trabajo sensible» si es posible.

5. Sesión puntual de alto riesgo (cruzar una frontera, reunirse con una fuente, investigar un tema). Tails en un USB, arrancado en una máquina limpia, apagado después. No reutilices el USB en diferentes escenarios de riesgo sin borrar el volumen persistente.

6. Persona mayor aprendiendo a usar un ordenador. ChromeOS en un Chromebook por simplicidad, O Linux Mint Cinnamon si hay algún familiar que pueda hacer la configuración inicial. Evita Windows 11 Home — la configuración de la cuenta de Microsoft por sí sola es confusa y el trabajo de limpieza no vale la pena para un usuario ligero.

Lo que nosotros usamos realmente

Para ser transparentes: el equipo de ipdrop.io usa una combinación — macOS para contenido/diseño/trabajo diario, Linux Mint en una máquina separada para desarrollo/trabajo sensible, y un USB de Tails en un cajón que se usa unas 3-4 veces al año. Qubes lo respetamos pero no lo usamos a diario — la fricción es real y nuestro modelo de amenazas no lo requiere.

Lo que elijas, el movimiento de privacidad más importante no es el sistema operativo — es activar el cifrado de disco completo, usar un gestor de contraseñas y no mezclar identidades sensibles en tu navegador cotidiano. La elección del sistema operativo es el marco; los hábitos son el cuadro.

Relacionados

Cómo endurecer cualquier sistema operativo de escritorio para la privacidad

Una lista de comprobación independiente de la plataforma que cubre las mejoras de privacidad con mejor relación esfuerzo-beneficio, independientemente del sistema operativo que uses. La mayoría llevan menos de una hora.

  1. Activa el cifrado de disco completo:BitLocker (Windows 11 Pro — no Home), FileVault (macOS Ajustes del Sistema → Privacidad y Seguridad → FileVault) o LUKS durante la instalación de Linux. Sin cifrado de disco completo, un portátil perdido es una fuga de privacidad. Usa una frase de contraseña de 18+ caracteres aleatorios (no una contraseña que recuerdes — guárdala en tu gestor de contraseñas y la clave de recuperación impresa en una caja fuerte física).
  2. Desactiva la telemetría que no necesitas:Windows 11 → Configuración → Privacidad y Seguridad → desactiva todos los interruptores que no necesites activamente; ejecuta O&O ShutUp10++ para ajustes más profundos mediante Directiva de grupo. macOS → Ajustes → Privacidad y Seguridad → Análisis y mejoras → desactiva todo el uso compartido. Ubuntu/Fedora → rechaza durante el instalador (casillas «Ayudar a mejorar...») y desactiva los informes de fallos. Linux Mint → nada que desactivar, pero vuelve a verificar tras las actualizaciones principales.
  3. Cambia tu navegador predeterminado a Firefox o Brave, no a Chrome/Edge/Safari:Chrome envía cada URL a Google para Safe Browsing de forma predeterminada (existe la opción de rechazarlo). Edge lo envía a Microsoft. Safari es menos problemático pero sigue siendo centrado en Apple. Firefox con el modo estricto y un bloqueador de anuncios (uBlock Origin) es el mejor equilibrio entre privacidad y compatibilidad. Brave tiene opciones predeterminadas más estrictas, pero el sistema de recompensas por anuncios incomoda a algunos. Instala el navegador PRIMERO en un nuevo sistema operativo antes de iniciar sesión en cualquier cosa.
  4. Usa un gestor de contraseñas con cifrado de extremo a extremo:Proton Pass o Bitwarden — ambos son código abierto y cifrados de extremo a extremo. Activa 2FA en el propio gestor de contraseñas. Nunca reutilices contraseñas. Consulta nuestra comparativa de Proton Pass vs Bitwarden para saber cuál elegir.
  5. Añade una VPN para redes no confiables (y considera tenerla siempre activa):Tu ISP / cafetería / aeropuerto / red del empleador puede ver cada dominio al que te conectas. Una VPN (Proton VPN o Mullvad, no las gratuitas) cifra el tráfico hasta el servidor VPN y sustituye a tu ISP por un intermediario de confianza. Para privacidad específicamente — no solo para desbloquear contenido geográfico — considera dejarla activa incluso en casa.
  6. Configura una copia de seguridad cifrada en la nube o deja de sincronizar carpetas sensibles en la nube:Si usas Windows 11, OneDrive está activo de forma predeterminada y analiza cada archivo que depositas en tu carpeta Documentos. macOS hace algo similar con iCloud Drive a menos que lo desactives. Opciones, ordenadas por privacidad — (a) copia de seguridad local en un disco externo cifrado únicamente, (b) Proton Drive con su cifrado de acceso cero, (c) Bitwarden Send o Magic Wormhole para transferencias cifradas ocasionales. Desactiva la sincronización en la nube predeterminada para cualquier carpeta que contenga documentos financieros, médicos o de identidad.
  7. Audita las extensiones del navegador y las aplicaciones instaladas cada trimestre:Las extensiones son una vía clásica de exfiltración — el mismo permiso que permite a un bloqueador de anuncios leer cada página también permite que una extensión comprometida haga lo mismo. Cada 90 días, revisa tres cosas — extensiones del navegador instaladas (elimina cualquiera que no hayas usado en 30 días), aplicaciones instaladas (desinstala todo lo que no reconozcas) y tu lista de aplicaciones conectadas con «Iniciar sesión con Google / Facebook / Apple» (revoca las obsoletas).
  8. Haz que los servicios de ubicación sean opcionales por aplicación:En cada sistema operativo, ve a Configuración → Privacidad → Servicios de ubicación y establece el valor predeterminado en «Denegar» para las aplicaciones a menos que lo necesites activamente (p. ej. Mapas, Tiempo). Un navegador no debería necesitar la ubicación a menos que hayas hecho clic en un aviso de «permitir» en un sitio específico. macOS y Linux lo hacen bien; Windows 11 requiere más configuración deliberada porque muchas aplicaciones integradas tienen el valor predeterminado «Permitir».
  9. Para máxima privacidad, separa las identidades en máquinas separadas:El mejor movimiento de higiene de privacidad es dejar de mezclar una identidad personal con una identidad laboral/profesional en el mismo dispositivo y perfil del navegador. O bien usa perfiles de navegador separados con aislamiento agresivo de cookies, o mejor aún — un segundo dispositivo físico (un portátil antiguo con Linux Mint cuesta entre 100 y 200 € de segunda mano) para investigación sensible, banca y periodismo. Qubes OS hace esto a nivel del sistema operativo con máquinas virtuales Xen, pero incluso «dos portátiles» te da el 90% del resultado.

Preguntas Frecuentes

Artículos relacionados

¿Qué es una VPN?

Proton Pass vs Bitwarden