La versión corta: desactiva el ID de publicidad (está activado de forma predeterminada y la mayoría de los usuarios nunca encuentra esa opción). Audita los permisos de las apps a través del Panel de privacidad. Configura un DNS privado (Android 9+ admite DNS-over-TLS de forma nativa). Revisa los controles de actividad de tu cuenta de Google. Ten en cuenta que Google Play Services es, en sí mismo, un canal de telemetría básico que no puedes desactivar completamente. Ten en cuenta también que la telemetría de los fabricantes de equipos (Samsung, Xiaomi, OnePlus, Huawei) añade otra capa encima. Para todo lo demás, necesitas un filtro a nivel de red — la misma conclusión que con iOS, pero la brecha en Android es mayor porque el sistema operativo da más acceso a las apps.
La diferencia estructural: Android no es iOS
Antes de hablar de configuraciones concretas, hay tres hechos estructurales que determinan cómo se ve realmente la privacidad en Android en 2026:
Android no tiene App Tracking Transparency. iOS obliga a las apps a pedir permiso antes de usar el identificador de publicidad del dispositivo; Android no lo hace. El ID de publicidad está activado por defecto y las apps lo usan libremente para el seguimiento entre aplicaciones. Puedes desactivarlo en Ajustes (lo veremos más adelante), pero el valor predeterminado es de participación activa, no de exclusión. Esta es la mayor brecha de política respecto a iOS. Nuestro análisis de lo que ATT no detiene en iOS sigue siendo totalmente aplicable — y el punto de partida es más bajo en Android porque no hay ATT desde el inicio.
Google Play Services se ejecuta por debajo de cada app. Gestiona las notificaciones push (FCM), los servicios de ubicación, el inicio de sesión con Google, los pagos, la Play Store, Encontrar mi dispositivo y otras ~40 funciones del sistema. También reporta telemetría de forma continua a Google. Puedes deshabilitar subsistemas individuales, pero no puedes deshabilitar Play Services completamente sin romper el ecosistema de apps de Android. Esto es por diseño y no va a cambiar.
Los fabricantes añaden su propia telemetría encima. Los teléfonos Samsung ejecutan Samsung Knox Analytics. Xiaomi ejecuta Xiaomi Cloud Sync. OnePlus ejecuta heytap. Huawei (en sus versiones sin Google Mobile Services) ejecuta Petal. Esto es independiente de la telemetría de Google y tiene sus propias opciones de exclusión (a menudo enterradas). En los dispositivos Pixel, la telemetría del fabricante es simplemente la de Google, ya que Google fabrica el Pixel.
Lo que esto significa en la práctica: el techo de privacidad de Android es más bajo que el de iOS, pero el suelo de lo que puedes controlar a través de la configuración es más amplio. Ambos pueden mejorarse significativamente con la configuración correcta — ninguno es "privado por defecto".
Los ajustes que realmente importan
En orden aproximado de impacto, estos son los interruptores que valen tu tiempo:
1. Elimina el ID de publicidad
Ajustes → Seguridad & privacidad → Privacidad → Anuncios → Eliminar ID de publicidad. Tócalo. Confirma. Este es el equivalente más cercano en Android al ATT de iOS y, con diferencia, el ajuste individual de mayor impacto. Tras eliminarlo, las apps que soliciten tu ID de publicidad recibirán una cadena de ceros. El ajuste requiere acción activa (tienes que encontrarlo); la mayoría de los usuarios no lo hace.
Ten en cuenta que eliminar el ID de publicidad no impide que las apps te rastreen por otros medios — fingerprinting de SDK integrado, vinculación mediante inicio de sesión con Google, identificadores de correo electrónico/teléfono con hash. Simplemente elimina el identificador único gestionado por Google. Las demás capas requieren filtrado a nivel de red, que cubrimos más adelante.
2. Configura un DNS privado
Ajustes → Red & internet → DNS privado. Android 9+ admite DNS-over-TLS de forma nativa. Configúralo en «Nombre de host del proveedor de DNS privado» e introduce un resolvedor que respete la privacidad, como dns.cloudflare.com o dns.adguard-dns.com. Esto evita que tu operador y cualquier red local vean qué nombres de host está resolviendo tu teléfono.
Esta es una de las funciones de privacidad genuinamente sólidas de Android — iOS no la expone con tanta claridad. También es un paso parcial. El DNS privado cifra tus consultas; no las filtra. Para el filtrado (bloqueo de anuncios, bloqueo de rastreadores, detección de phishing), necesitas un resolvedor con filtrado, que es lo que una herramienta como Casper proporciona a nivel de VPN.
3. Audita los permisos de apps a través del Panel de privacidad
Ajustes → Seguridad & privacidad → Privacidad → Panel de privacidad. Android 12+ muestra una cronología de 24 horas con qué apps accedieron a qué sensores (ubicación, micrófono, cámara). La mayoría de los usuarios tiene al menos entre 3 y 5 apps accediendo a cosas que desconocen.
Hallazgos comunes que vale la pena corregir:
- Apps de noticias con acceso constante a la ubicación (revócalo; no lo necesitan)
- Apps de meteorología con acceso a la ubicación «Siempre» (reduce a «Solo mientras se usa»)
- Apps sociales con acceso al micrófono sin grabación de voz activa (revócalo)
- Permiso de cámara concedido a apps que no deberían necesitarlo (revócalo)
- Acceso al calendario/contactos para apps que no necesitan leer ninguno de los dos
Android 13+ también añade el ajuste de revocación automática — las apps que no has abierto en meses pierden automáticamente sus permisos. Asegúrate de que esté activado para cada app.
4. Limita los controles de actividad de tu cuenta de Google
Ajustes → Google → Gestionar tu cuenta de Google → Datos & privacidad. Tres interruptores de alto impacto:
- Web & App Activity: activado por defecto. Guarda tu historial de búsquedas y actividad en los servicios de Google. Configura la eliminación automática cada 3 o 18 meses, o pausa completamente.
- Historial de ubicaciones: activado por defecto. Registra tu ubicación de forma continua mientras tienes sesión iniciada. Pausa o configura la eliminación automática.
- Historial de YouTube: ajuste independiente para el historial de vídeos vistos y búsquedas. Pausa si no quieres personalización.
Nota: pausar estos ajustes detiene la recopilación de datos futura. Los datos existentes se conservan a menos que también los elimines a través de la página «Mi actividad». La eliminación automática es el ajuste más limpio a largo plazo.
5. Desactiva los anuncios personalizados en tu cuenta de Google
Cuenta de Google → Datos & privacidad → Personalización de anuncios → Desactivar. Impide que Google use tu actividad para personalizar anuncios en YouTube, Búsqueda, Maps y sitios asociados. No reduce el volumen de anuncios — simplemente los desvincula de tu perfil.
6. Bloquea la pantalla correctamente
Ajustes → Seguridad & privacidad → Desbloqueo del dispositivo. Usa un PIN largo (8+ dígitos) o una contraseña, no solo una huella dactilar. El motivo: en fronteras de EE. UU. y en contextos de compulsión legal, los tribunales han mostrado mayor disposición a obligar al desbloqueo biométrico que al basado en conocimiento. La doctrina de la Quinta Enmienda no está definida pero apunta en esta dirección: huella/cara = algo que tienes, PIN = algo que sabes.
7. Audita y desactiva la telemetría específica del fabricante
Dependiendo del fabricante de tu teléfono:
- Samsung: Ajustes → Privacidad → Gestor de permisos. También: Ajustes → Pantalla de bloqueo → Servicio de personalización → Desactivar. También: Desactiva «Samsung Daily» / «Samsung Free» si están presentes.
- Xiaomi (MIUI / HyperOS): Ajustes → Protección de privacidad → Permisos especiales → Acceso a uso (auditar). También: Cuenta Mi → Privacidad → Programa de experiencia del usuario → Desactivar. También: desactiva «Recomendaciones» en las apps de MIUI (Música, Vídeo, etc.).
- OnePlus (OxygenOS): Ajustes → Sistema → Actualizador de apps del sistema → Desactivar. También: desactiva «Programa de experiencia del usuario» y «Mejora de la estabilidad del sistema» en Ajustes.
- Huawei: Ajustes de EMUI → Sistema & actualizaciones → Plan de mejora de la experiencia del usuario → Desactivar.
- Pixel: Ajustes → Sistema → Acerca del teléfono → Número de compilación (toca 7 veces para las opciones de desarrollador) → Opciones de desarrollador → desactiva «Uso y diagnósticos» si quieres detener la telemetría específica de Pixel.
8. Desactiva los informes de ubicación de «Encontrar mi dispositivo» si no lo usas
Ajustes → Google → Encontrar mi dispositivo. Útil para escenarios de dispositivo realmente perdido. Desactívalo si no lo usas. Ten en cuenta que la funcionalidad de red cambió en Android 14 para usar la red Encontrar mi dispositivo (similar al Buscar de Apple) — se activa mediante participación, pero vale la pena entender qué hace.
9. Audita las apps instaladas y elimina las que no uses
Cada app en tu teléfono tiene alguna superficie de ataque y alguna telemetría básica. La intervención de privacidad más efectiva que la mayoría de los usuarios omite: desinstala las apps que no has abierto en más de 90 días. La mitad de la batalla por la privacidad consiste en reducir el número de agentes que tienen acceso a tu dispositivo.
10. Usa el enrutamiento VPN por app (si usas una VPN)
Android — a diferencia de iOS — admite listas de permitidos/bloqueados de VPN por app. Puedes enrutar apps específicas a través de una VPN mientras dejas que otras usen la conexión local. Esto es genuinamente mejor que el modelo de todo-o-nada de iOS. Es útil para excluir apps bancarias que bloquean conexiones VPN, mientras mantienes la cobertura VPN general para todo lo demás.
Qué puede ver Google igualmente, sin importar qué ajustes actives
Incluso con cada ajuste bloqueado, la plataforma de Google tiene acceso a:
- Enrutamiento de notificaciones push. Todas las notificaciones push de Android transitan por Firebase Cloud Messaging (FCM). El contenido de la notificación está cifrado de extremo a extremo en algunas apps (Signal, Wire), pero los metadatos de enrutamiento son visibles.
- Actividad a nivel de cuenta para cualquier servicio al que inicies sesión con tu cuenta de Google. El historial de búsquedas se pausa con un interruptor; la actividad a nivel de cuenta no desaparece.
- Ubicación aproximada mediante triangulación de antenas de telefonía móvil y fingerprinting de BSSID WiFi. Independiente del GPS o los permisos de app. Se usa para los servicios de ubicación por crowdsourcing.
- Diagnósticos a nivel de dispositivo desde los dispositivos Pixel. Incluso con «Uso & diagnósticos» desactivado, los Pixel envían una telemetría básica para operaciones de garantía y seguridad.
- Señales de instalación de apps desde la Play Store. Google sabe qué apps tienes instaladas, cuándo las instalaste y con qué frecuencia las actualizas.
Nada de esto es malicioso; así es como funciona la plataforma. Pero significa que «desactivé todo en Ajustes» es una mejora significativa, no invisibilidad.
Qué pueden ver las apps igualmente, aunque los permisos estén limitados
Los controles de permisos de apps en Android 13+ son genuinamente buenos para las categorías que cubren (ubicación, micrófono, cámara, contactos, etc.). No cubren la superficie mayor: cualquier app que hayas ejecutado puede hacer conexiones de red, y esas conexiones pueden transportar datos que la app recopiló de cualquier lugar al que tenga acceso — sus propios datos, los sensores del dispositivo que has permitido, datos de fingerprinting que no requieren permisos (zona horaria, tamaño de pantalla, fuentes del sistema, patrones de ruido del sensor).
Los SDK integrados son la mayor filtración. El SDK de Facebook está en aproximadamente el 30 % de las apps de Android; incluso con todos los permisos denegados, esas apps siguen comunicándose con Meta con lo que el SDK fue diseñado para enviar. Mixpanel, Amplitude, AppsFlyer, Adjust, Branch — el mismo patrón. El sistema de permisos de Android nunca fue diseñado para bloquear esta capa.
Aquí es donde el filtrado a nivel de red da sus frutos — la misma lógica que cubrimos en el análisis en profundidad del filtrado DNS. Bloquea el destino del SDK a nivel de DNS y no importa qué datos haya recopilado el SDK, porque esos datos no pueden abandonar el dispositivo. El equipo de Casper construyó el bloqueo de rastreadores específicamente para esto — cubre decenas de miles de endpoints de rastreadores y redes publicitarias, incluidos los endpoints de telemetría de fabricantes (Samsung Knox, Xiaomi cloud, OnePlus heytap, etc.).
Sideloading: riesgo real, beneficio real
Android te permite instalar apps fuera de la Play Store — sideloading de APK, F-Droid, tiendas alternativas. El beneficio: acceso a apps que Google ha eliminado o nunca permitió, incluyendo algunas herramientas de privacidad legítimas. El coste: moderación de malware más débil que en Google Play. La mayor parte del malware de consumo en Android proviene de fuentes cargadas lateralmente.
Si haces sideloading:
- Solo desde fuentes en las que confíes (F-Droid, sitios web oficiales de desarrolladores, versiones de GitHub verificadas con checksums).
- Mantén Google Play Protect activado (Ajustes → Seguridad → Google Play Protect) — también analiza los APK cargados lateralmente.
- Ten en cuenta que una app maliciosa cargada lateralmente tiene el mismo modelo de permisos que una app de la Play Store; el mismo filtrado a nivel de red aplica.
El modelo de dos capas en Android
La misma conclusión a la que seguimos llegando:
- Ajustes a nivel del sistema operativo cubren lo que Google diseñó para cubrir — puertas de permisos, interruptor del ID de publicidad, controles de datos a nivel de cuenta. Dedica 20 minutos una vez para configurarlo correctamente.
- Filtrado a nivel de red (VPN con filtrado DNS) cubre lo que los ajustes del sistema operativo no cubren — telemetría de SDK integrado, redes publicitarias, destinos de phishing, telemetría de fabricantes. Aquí es donde vive el filtrado de Casper. La versión de Android tiene controles de anulación por app (más flexible que la implementación de iOS).
La combinación cubre la mayor parte de lo que representa la superficie de amenaza de Android en 2026. Cada capa por sí sola deja grandes brechas. Nuestra página de la plataforma Android detalla específicamente qué cubre Casper.
Qué cambia en 2026 y 2027
Privacy Sandbox en Android. El prolongado esfuerzo de Google por reemplazar el seguimiento del ID de publicidad entre apps con señales basadas en temas y procesadas en el dispositivo se está desplegando gradualmente. La Topics API y el SDK Runtime están en versión beta a partir de 2026. Si esto cambia materialmente el panorama de la privacidad depende de si las redes publicitarias lo adoptan realmente en lugar de seguir haciendo fingerprinting — las primeras señales son mixtas.
Expansión de la red Encontrar mi dispositivo. Android 14 amplió la red Encontrar mi dispositivo para funcionar de manera similar al Buscar de Apple — tu teléfono ayuda a localizar dispositivos perdidos cercanos mediante Bluetooth. Desactivada por defecto hasta que la actives, pero vale la pena entender qué hace.
Las leyes de privacidad estatales se extienden al móvil. La ley My Health My Data Act de Washington (en vigor desde 2024) y una ley similar de Nevada de 2024 tienen implicaciones para las apps de Android relacionadas con la salud (monitores de actividad física, apps de meditación, rastreadores de ciclo menstrual, etc.). Cabe esperar que más leyes estatales sigan este patrón.
Conclusión
La historia de privacidad de Android en 2026 es «los controles están ahí, pero están ocultos por defecto, y no cubren la parte más grande de la superficie». Los 20 minutos invertidos en Ajustes desactivando el ID de publicidad, auditando permisos, configurando el DNS privado y desactivando la telemetría del fabricante ofrecen más mejora de privacidad por minuto que cualquier otra cosa que puedas hacer. Después de eso, el filtrado a nivel de red es lo que cierra la brecha de SDK integrado y redes publicitarias que ningún sistema de permisos de apps aborda.
Si quieres que la capa de red se gestione por ti — incluidos los endpoints de telemetría específicos de fabricantes de Android — eso es lo que hace Casper's Cloak en Android. La página específica de Android explica la instalación y el enrutamiento por app; el bloqueo de rastreadores cubre específicamente la capa de SDK.