Volver al blog
Guías·15 min de lectura

La mejor forma de proteger la privacidad del iPhone en 2026 — los ajustes y herramientas que realmente importan

No todos los ajustes de privacidad del iPhone son iguales. Algunos reducen significativamente lo que las empresas saben sobre ti; otros son teatro de seguridad que suena bien pero en la práctica cambia muy poco. Aquí tienes todos los ajustes de privacidad de iOS clasificados por impacto real: lo que hace cada uno a nivel técnico, lo que no hace, y las herramientas que cubren los vacíos que Apple dejó abiertos.

Por Casper's Cloak Security Team

El resumen corto: las tres acciones de privacidad de mayor impacto en el iPhone en 2026 son (1) denegar las solicitudes de App Tracking Transparency a nivel global, (2) revisar los permisos de ubicación por aplicación y bajarlos de "Siempre" a "Al usar la app" o "Nunca", y (3) añadir bloqueo de rastreadores a nivel de red para capturar la recopilación de datos que ocurre independientemente de lo que actives en Ajustes. Todo lo demás —Private Relay, Protección de privacidad en Mail, Modo de aislamiento— importa para modelos de amenaza específicos, pero marca menos diferencia para el usuario medio que esos tres. A continuación: la clasificación completa con datos.

Funciones de privacidad del iPhone clasificadas por impacto real

Función de privacidadQué bloqueaQué no bloqueaCalificación de impactoEsfuerzo
App Tracking TransparencySeguimiento IDFA entre appsHuella digital, seguimiento del lado del servidor, recopilación de datos propiosAltoUn toque por solicitud
Servicios de localización (por app)Acceso de ubicación precisa/continua por apps que no lo necesitanGeolocalización por IP, triangulación de torres de telefoníaAltoRevisión de 5 minutos
Bloqueo de rastreadores a nivel de redConsultas DNS a decenas de miles de endpoints de rastreadores conocidos en todas las appsSeguimiento de primer partido (same-domain), analíticas del lado del servidorAltoInstalar app, tocar conectar
Protección de privacidad en MailPíxeles de seguimiento de apertura de email, ubicación por IP en el correoSeguimiento de clics en enlaces, análisis del contenido del correo por el remitenteMedioUn interruptor
iCloud Private RelayExposición de la dirección IP en SafariSeguimiento en apps (fuera de Safari), huella digital de redes publicitarias, seguimiento de sesión iniciadaMedioUn interruptor (requiere iCloud+)
Modo de aislamientoSuperficies de exploits zero-day (JIT, vistas previas de enlaces, USB desconocido)Seguimiento estándar, anuncios, intermediarios de datos — es una función de seguridad, no de privacidadAlto (para personas objetivo) / Bajo (para la mayoría)Un interruptor, compromisos significativos de usabilidad

Veamos cada uno en detalle: qué hace a nivel técnico, quién se beneficia más y dónde están los vacíos.

App Tracking Transparency: el interruptor individual de mayor impacto

Cuando Apple lanzó App Tracking Transparency (ATT) en iOS 14.5, dio a cada usuario del iPhone una sencilla pregunta: «¿Permitir que [App] rastree tu actividad en las apps y sitios web de otras empresas?» Tocar «Pedir a la app que no rastree» revoca el acceso de la app a tu IDFA —el Identificador para Anunciantes— que es el mecanismo principal que usan las redes publicitarias para seguirte de una app a otra. Antes de ATT, Facebook, Google y cientos de redes publicitarias más pequeñas podían vincular tu actividad en una app de compras con tu navegación por Instagram y tu historial web, construyendo un perfil unificado en cada app que usas.

Por qué importa: ATT no acabó del todo con el seguimiento entre apps —ya llegaremos a eso—, pero sí hizo un daño significativo al modelo anterior. Meta atribuyó públicamente un impacto anual en ingresos de 10 000 millones de dólares a ATT. El motivo: sin el IDFA, la atribución determinista entre apps (saber que la misma persona que vio un anuncio en Instagram compró un producto en otra app) se volvió mucho más difícil. Las redes publicitarias perdieron el identificador limpio y persistente que hacía funcionar todo el sistema.

Lo que no hace: ATT no impide que las apps realicen conexiones de red a servidores de seguimiento. El SDK de Facebook, Adjust, AppsFlyer y Branch siguen enviando solicitudes de red cuando abres una app — simplemente no pueden incluir el IDFA. Lo que sí pueden incluir: datos de huella digital del dispositivo (resolución de pantalla, versión del sistema operativo, idioma, zona horaria, operador, fuentes instaladas, almacenamiento disponible). Estos datos, combinados con la dirección IP y señales de comportamiento, son suficientes para identificación probabilística por huella digital que reidentifica a la mayoría de usuarios con una precisión del 70-90 % según la sofisticación del modelo. El Privacy Sandbox de Google en Android aborda esto con la Topics API, pero en iOS el vacío de la huella digital permanece abierto — la única defensa de Apple es el proceso de revisión de la App Store, que detecta algunas implementaciones de huella digital pero no todas.

Cómo maximizarlo: ve a Ajustes > Privacidad y seguridad > Seguimiento. Puedes desactivar «Permitir que las apps soliciten rastrear» (lo que deniega automáticamente todas las solicitudes en silencio — las apps ni siquiera llegan a mostrar el aviso) o dejarlo activado y denegar cada solicitud individualmente. En cualquier caso, el resultado técnico es el mismo: tu IDFA se pone a cero para esas apps. Recomendamos desactivarlo globalmente, salvo que quieras evaluar activamente el aviso de cada app. Los datos por app que Apple muestra en el Informe de privacidad de apps (Ajustes > Privacidad y seguridad > Informe de privacidad de apps) te permiten verificar a qué dominios siguen conectándose las apps incluso tras denegar el seguimiento, que es donde el bloqueo de rastreadores a nivel de red retoma el testigo.

Servicios de localización: el permiso que la mayoría deja demasiado abierto

Los datos de ubicación son el tipo de dato más valioso del ecosistema de publicidad móvil. Un historial de los lugares a los que vas —qué tiendas, qué barrios, qué consultas médicas, qué lugares de culto— construye un perfil más predictivo del comportamiento de compra que tu historial de navegación. Los intermediarios de datos compran y venden datos de ubicación agregados de las apps, y esos datos se han utilizado para fines que van desde la publicidad segmentada hasta acciones de la FTC contra intermediarios que venden datos de ubicación sensibles.

La revisión por app: ve a Ajustes > Privacidad y seguridad > Servicios de localización. Cada app de tu teléfono aparece listada con su permiso de ubicación actual. Las opciones son: Nunca, Preguntar la próxima vez o al compartir, Al usar la app, y Siempre. El paso crítico es revisar qué apps tienen «Siempre» — esto significa que la app puede acceder a tus coordenadas GPS incluso cuando no la estás usando. Las apps de clima, los rastreadores de actividad física y las apps de redes sociales suelen solicitar acceso «Siempre»; muy pocas lo necesitan realmente.

Ubicación precisa frente a aproximada: a partir de iOS 14, Apple añadió un interruptor de «Ubicación precisa» para cada app. Cuando la ubicación precisa está desactivada, la app recibe solo tu ubicación aproximada (un círculo de aproximadamente 26 km²). Esto es suficiente para previsiones meteorológicas y contenido regional, pero no para el seguimiento de visitas a establecimientos ni para la elaboración de perfiles de comportamiento. Para la mayoría de las apps —compras, noticias, redes sociales, juegos— no hay razón para conceder ubicación precisa. Resérvala para navegación, transporte compartido y buscar el teléfono.

El vacío: incluso con Servicios de localización en «Nunca» para todas las apps, tu ubicación aproximada sigue siendo determinable a través de tu dirección IP (precisa a nivel de ciudad/código postal) y los datos de las torres de telefonía (que tu operador siempre tiene). Servicios de localización controla la precisión a nivel GPS; no te hace invisible frente a la geolocalización por IP. Para esa capa, necesitas una VPN o proxy que enmascare tu dirección IP real — que es parte de lo que Casper's Cloak proporciona a nivel de red.

Configuración recomendada: pon cada app en «Al usar la app» o «Nunca», salvo que tengas una razón específica para «Siempre» (por ejemplo, una app de seguimiento familiar que necesita actualizaciones continuas en segundo plano). Desactiva la ubicación precisa para todo excepto mapas y transporte compartido. Revisa esta lista cada pocos meses — las apps que instales más adelante pedirán nuevos permisos, y es fácil tocar «Permitir» sin pensar.

iCloud Private Relay: buena ingeniería de privacidad con limitaciones reales

Private Relay, disponible para suscriptores de iCloud+ (desde 0,99 €/mes), enruta tu navegación en Safari a través de un sistema de retransmisión de doble salto. El primer salto (Apple) conoce tu dirección IP pero no el sitio web que visitas. El segundo salto (una CDN de terceros, actualmente Cloudflare y otros socios) conoce el sitio web pero no tu dirección IP. Ningún salto ve ambos datos. Esto es arquitectónicamente similar al sistema de retransmisión de Tor, pero optimizado para la velocidad — Private Relay añade solo una latencia mínima porque Apple controla la infraestructura y las asociaciones con CDN.

Lo que protege realmente: tu dirección IP real queda oculta para los sitios web que visitas en Safari. Esto evita el seguimiento por IP y la geolocalización por IP por parte de esos sitios. También cifra tus consultas DNS para que tu ISP no pueda ver qué sitios web estás resolviendo — una mejora real de privacidad dado que los ISP en EE. UU. tienen permiso legal para vender datos de navegación.

Lo que no protege: Private Relay solo se aplica a Safari y a las consultas DNS. Todas las demás apps de tu teléfono —Chrome, Firefox, Instagram, TikTok, clientes de correo, juegos— eluden por completo Private Relay. Tu dirección IP es visible para cada servidor al que se conecta cada app que no sea Safari. Private Relay tampoco bloquea anuncios ni rastreadores — anonimiza tu dirección IP, pero los scripts de seguimiento siguen ejecutándose, los píxeles de seguimiento siguen cargando y los datos de huella digital siguen recopilandose. Si has iniciado sesión en un sitio web (Google, Facebook, Amazon), saben exactamente quién eres independientemente de cuál sea tu dirección IP.

La excepción empresarial: los empleadores y los centros educativos pueden desactivar Private Relay mediante perfiles MDM (Mobile Device Management). Si tu iPhone está gestionado por tu empleador, es posible que Private Relay no esté disponible aunque pagues por iCloud+. En determinados países (China, Bielorrusia, Colombia, Egipto, Kazajistán, Arabia Saudí, Sudáfrica, Turkmenistán, Uganda, Filipinas) Private Relay está desactivado por completo debido a requisitos normativos. Comprueba Ajustes > tu nombre > iCloud > Private Relay para verificar que está realmente activo en tu dispositivo.

La evaluación honesta: Private Relay es una buena función que mejora genuinamente la privacidad de navegación en Safari. Pero presentarlo como una protección integral de la privacidad del iPhone — como hacen muchos artículos — es engañoso. Safari representa una fracción de la actividad de red de la mayoría de las personas. Las otras apps de tu teléfono realizan muchas más conexiones de red, envían muchos más datos a muchos más servidores, y ninguno de ese tráfico pasa por Private Relay. Para privacidad IP a nivel de sistema y bloqueo de rastreadores, necesitas algo que opere a nivel de red en todas las apps — que es lo que proporciona un filtro basado en VPN como Casper's Cloak en iOS.

Protección de privacidad en Mail: subestimada en lo que hace

La Protección de privacidad en Mail (MPP), habilitada en Ajustes > Mail > Protección de privacidad, precarga todo el contenido remoto de los correos a través de los servidores proxy de Apple cuando llega el mensaje — independientemente de si lo abres. Esto inutiliza los píxeles de seguimiento de email (las imágenes invisibles de 1x1 que informan a los remitentes de cuándo abriste su correo, desde qué dirección IP lo abriste y qué dispositivo usaste). Con MPP activado, todos los correos aparecen como «abiertos» desde los servidores de Apple, lo que hace inútil el seguimiento de tasas de apertura.

Por qué importa más de lo que crees: el seguimiento de aperturas de email es un componente central de la automatización de marketing, la puntuación de leads y las herramientas de prospección comercial. Las empresas usan los datos de apertura para saber cuándo estás en línea, en qué zona horaria estás, cuán comprometido estás con sus comunicaciones y si deben intensificar su contacto. Reclutadores, comerciales e incluso contactos personales usan a veces píxeles de seguimiento (a través de herramientas como Superhuman, HubSpot o Mailtrack) para saber cuándo has leído su mensaje. MPP rompe todo esto.

La limitación: MPP solo funciona en la app Mail de Apple. Si usas Gmail, Outlook, Spark o cualquier cliente de correo de terceros, MPP no se aplica. Gmail tiene su propio sistema de proxy de imágenes que derrota parcialmente el seguimiento, pero es menos completo que el enfoque de Apple. MPP tampoco evita el seguimiento de clics en enlaces — cuando tocas un enlace en un correo, el remitente sabe que hiciste clic porque el enlace suele pasar por su rastreador de redirección. La única defensa contra el seguimiento de enlaces es no hacer clic o eliminar los parámetros de seguimiento de la URL antes de navegar.

Acción recomendada: si usas Apple Mail, activa la Protección de privacidad en Mail — no tiene ningún inconveniente. Si usas un cliente de correo de terceros, considera cambiar a Apple Mail por el beneficio de privacidad, o como mínimo asegúrate de que tu cliente bloquee la carga de imágenes remotas por defecto y solo las cargue cuando decidas explícitamente hacerlo.

Modo de aislamiento: seguridad potente, pero probablemente no para ti

El Modo de aislamiento, introducido en iOS 16, es la respuesta de Apple al spyware mercenario como Pegasus del Grupo NSO. Reduce drásticamente la superficie de ataque del iPhone al deshabilitar funciones que los exploits sofisticados suelen atacar: la compilación JIT de JavaScript en Safari está bloqueada, la mayoría de los tipos de archivos adjuntos en Mensajes están bloqueados, las llamadas FaceTime entrantes de contactos desconocidos están bloqueadas, las conexiones por cable a ordenadores están bloqueadas cuando el teléfono está bloqueado, no se pueden instalar perfiles de configuración y los álbumes compartidos se eliminan de Fotos. Apple lo describe explícitamente como diseñado para «usuarios que se enfrentan a amenazas graves y selectivas contra su seguridad digital».

Quién debería usarlo: periodistas que cubren regímenes autoritarios, activistas de derechos humanos, disidentes políticos, ejecutivos de empresas que manejan negociaciones geopolíticas sensibles, funcionarios gubernamentales en cargos de alto riesgo, y cualquier persona que tenga razones para creer que es objetivo de vigilancia patrocinada por estados. Estas personas se enfrentan a amenazas que justifican las significativas concesiones de usabilidad.

Quién no debería usarlo: todos los demás. El Modo de aislamiento rompe suficiente funcionalidad normal — las páginas web se renderizan incorrectamente sin JIT, los archivos adjuntos en mensajes no funcionan, FaceTime no es fiable — como para que la fricción diaria supere el beneficio de seguridad para cualquiera que no se enfrente a ataques dirigidos. Es una función de seguridad, no de privacidad. No bloquea rastreadores, no oculta tu dirección IP, no impide que las redes publicitarias te perfilen. Previene los exploits zero-day que podrían comprometer tu dispositivo — lo cual es crítico para las personas objetivo e irrelevante para el otro 99,9 % de los usuarios de iPhone.

Si decides activarlo: Ajustes > Privacidad y seguridad > Modo de aislamiento. Pruébalo durante un día antes de comprometerte. Si las páginas web que usas se rompen (habitual, especialmente en aplicaciones web complejas), o si necesitas recibir documentos adjuntos en Mensajes con regularidad, la concesión probablemente no valga la pena para tu modelo de amenaza. Para los casos de uso específicos para los que fue diseñado, es genuinamente excelente — el equipo de ingeniería de seguridad de Apple lo construyó como una medida de refuerzo que eleva significativamente el coste de atacar un iPhone.

Protección a nivel de red: la capa que Apple no proporciona

Todas las funciones de privacidad anteriores operan dentro del marco de Apple — ellos controlan qué datos comparte el sistema operativo con las apps y qué comparte Safari con los sitios web. Pero no abordan las conexiones de red salientes que las apps realizan por cuenta propia. Cuando abres un juego gratuito, puede realizar más de 20 conexiones de red en los primeros 5 segundos — al SDK de Facebook, a Firebase Analytics de Google, a AppsFlyer, a ironSource, a Unity Ads, y más. Cada conexión envía datos del dispositivo (versión del SO, tamaño de pantalla, operador, idioma, zona horaria, almacenamiento disponible, nivel de batería) que contribuyen a tu huella digital del dispositivo. ATT eliminó el IDFA de estas llamadas, pero las llamadas en sí siguen produciéndose, y los datos de huella digital siguen fluyendo.

Lo que hace el bloqueo a nivel de red: un filtro basado en DNS o en VPN intercepta estas conexiones antes de que se establezcan. Cuando el SDK de Facebook intenta resolver graph.facebook.com, el filtro devuelve una respuesta nula — la conexión nunca se abre y ningún dato sale de tu dispositivo. Esto funciona para cada app de tu teléfono, no solo para Safari, y captura el seguimiento que ATT y Private Relay no abordan. El bloqueo de rastreadores de Casper cubre decenas de miles de endpoints de rastreadores conocidos en todas las principales redes publicitarias, plataformas de atribución y SDKs de analíticas.

La combinación que funciona: las funciones integradas de Apple (ATT, revisión de Servicios de localización, Private Relay, Protección de privacidad en Mail) se encargan de la capa de identidad y permisos. El bloqueo a nivel de red se encarga de la capa de flujo de datos. Juntas, abordan tanto el seguimiento de «¿quién eres?» (IDFA, sesiones con sesión iniciada) como el de «¿adónde vas?» (conexiones SDK salientes, balizas de analíticas, solicitudes de anuncios). Ninguna capa por sí sola es suficiente. Las funciones integradas dejan intactas las conexiones de rastreadores salientes; el bloqueo de red por sí solo no aborda los permisos e identificadores que controla el sistema operativo. La combinación es lo que realmente proporciona una cobertura integral.

Cómo conseguirlo: instala una app de filtrado basada en VPN (Casper's Cloak, AdGuard para iOS o configura NextDNS). El enfoque VPN proporciona tanto bloqueo de rastreadores como cifrado WiFi; el DNS sin VPN proporciona bloqueo de rastreadores sin usar el slot de VPN. Ambos funcionan para el caso de uso de privacidad. La diferencia clave está en si también quieres la capa de cifrado de red para la protección en WiFi públicas. Consulta nuestra página de protección frente a amenazas para ver el desglose completo de lo que Casper bloquea a nivel de red.

La configuración completa de privacidad del iPhone: paso a paso

Aquí tienes la configuración completa, en orden de prioridad. Cada paso lleva 1-3 minutos. La configuración completa requiere menos de 20 minutos y cambia significativamente tu postura de privacidad.

  1. Denegar todas las solicitudes de App Tracking Transparency. Ajustes > Privacidad y seguridad > Seguimiento > desactiva «Permitir que las apps soliciten rastrear». Esto pone a cero tu IDFA para todas las apps, presentes y futuras. El interruptor individual de mayor impacto del teléfono.
  2. Revisa Servicios de localización. Ajustes > Privacidad y seguridad > Servicios de localización. Toca cada app. Ponlo todo en «Al usar la app» o «Nunca». Desactiva Ubicación precisa para todo lo que no sea mapas o transporte compartido. Esta revisión de 5 minutos elimina el tipo de dato más valioso que recopilan las apps.
  3. Activa la Protección de privacidad en Mail. Ajustes > Mail > Protección de privacidad > activa Proteger actividad en Mail. Si usas Apple Mail, esto acaba con el seguimiento de aperturas de email sin ningún inconveniente.
  4. Activa Private Relay (si tienes iCloud+). Ajustes > tu nombre > iCloud > Private Relay > actívalo. Esto anonimiza tu IP en Safari. Alcance limitado, pero gratuito con tu suscripción de iCloud existente.
  5. Instala el bloqueo de rastreadores a nivel de red. Descarga Casper's Cloak desde la App Store, completa la configuración y activa el perfil VPN. Esto bloquea las conexiones de rastreadores salientes desde cada app — la capa que los ajustes de Apple no cubren.
  6. Revisa los permisos restantes. Ajustes > Privacidad y seguridad — comprueba Micrófono, Cámara, Contactos, Fotos, Bluetooth para cada app. Revoca todo lo que no tenga sentido. Una app de compras no necesita tu micrófono. Un juego no necesita tus contactos.
  7. Activa las actualizaciones automáticas. Ajustes > General > Actualización de software > Actualizaciones automáticas — actívalo todo. Las funciones de privacidad solo funcionan cuando el sistema operativo está actualizado; los parches de seguridad cierran las vulnerabilidades que eluden todo lo anterior.

De qué no protege esta configuración

La honestidad importa. Incluso con todos los ajustes anteriores configurados y el bloqueo a nivel de red activo, persiste cierto seguimiento.

Recopilación de datos de primer partido: cuando usas Google Search con tu cuenta de Google iniciada, Google registra tus búsquedas. Cuando navegas por Amazon con sesión iniciada, Amazon registra tu navegación. Cuando desplazas el feed de Instagram, Meta registra tu interacción. Ninguna herramienta del lado del cliente puede evitar esto porque la recopilación de datos ocurre del lado del servidor dentro del servicio que estás usando activamente. La única defensa es usar el servicio menos, usarlo sin sesión iniciada o usar alternativas que recopilen menos datos.

Seguimiento del lado del servidor: la Conversions API de Meta, el etiquetado del lado del servidor de Google y tecnologías similares trasladan la infraestructura de seguimiento del cliente (tu dispositivo) al servidor (el backend del sitio web). Cuando un sitio web envía tu evento de compra a Meta desde su servidor, no hay ninguna consulta DNS desde tu dispositivo que bloquear — los datos fluyen entre dos servidores que no controlas. Esta es la respuesta de la industria del seguimiento al bloqueo del lado del cliente, y está creciendo.

Seguimiento entre dispositivos mediante identidad de sesión iniciada: si usas Chrome en tu Mac con sesión iniciada en Google, Safari en tu iPhone con sesión iniciada en Google, y Gmail en ambos — Google puede vincular tu actividad entre dispositivos a través de tu identidad de cuenta. Ningún nivel de ajustes de privacidad del dispositivo cambia esto porque el vínculo ocurre a través de tu autenticación, no de la huella digital de tu dispositivo.

El enfoque realista: el objetivo no es volverse invisible — eso no es alcanzable en un smartphone de consumo conectado a servicios comerciales. El objetivo es reducir la recopilación de datos innecesaria al mínimo requerido por los servicios que realmente usas. La configuración anterior elimina la gran mayoría del seguimiento pasivo y en segundo plano que ocurre sin tu conocimiento ni consentimiento. Lo que queda es el seguimiento inherente a los servicios que decides usar activamente — y eso es una concesión consciente, no involuntaria.

Conclusión

Los ajustes de privacidad del iPhone no son todos igual de importantes. Los tres que marcan la diferencia más medible son: denegar las solicitudes de ATT (elimina el identificador principal de seguimiento entre apps), revisar los permisos de ubicación (corta el acceso al tipo de dato más valioso) y añadir bloqueo de rastreadores a nivel de red (detiene las conexiones salientes que los ajustes de Apple no abordan). Todo lo demás — Private Relay, Protección de privacidad en Mail, Modo de aislamiento — es valioso para casos de uso específicos, pero secundario respecto a esos tres.

La configuración lleva 20 minutos. La mejora de privacidad es sustancial y medible — usa el Informe de privacidad de apps para ver la diferencia antes y después en cuántos dominios de seguimiento contactan tus apps. Los vacíos restantes (recopilación de datos de primer partido, seguimiento del lado del servidor, vinculación de identidad con sesión iniciada) son estructurales al uso de servicios de internet comerciales y requieren cambios de comportamiento, no de ajustes, para abordarse. Céntrate en lo que puedes controlar con ajustes y herramientas, sé consciente de lo que no puedes, y toma decisiones informadas sobre el resto.

Revisado por Casper's Cloak Security Team · Última actualización

Completa la configuración de privacidad de tu iPhone con protección a nivel de red

Los ajustes de privacidad integrados de Apple se encargan de la capa de permisos. Casper's Cloak se encarga de la capa de red — bloqueando las conexiones de rastreadores salientes de cada app, cifrando tu tráfico en cualquier red y marcando dominios de phishing antes de que se carguen.