Volver al blog
Privacidad en iOS·10 min de lectura

Qué cubre realmente iCloud Private Relay de Apple — y qué no

Apple incluye una función de privacidad que parece una VPN, actúa como una VPN y a veces se presenta como una VPN, pero no lo es. iCloud Private Relay es una protección más limitada y específica de lo que la mayoría de los usuarios supone. Aquí te explicamos exactamente qué hace, qué no hace y dónde está la brecha.

Por Casper's Cloak Security Team

La versión corta: iCloud Private Relay es un proxy cifrado de doble salto exclusivo para Safari, disponible para los suscriptores de iCloud+. Oculta tu dirección IP a los sitios web que visitas en Safari y a tu proveedor de internet (ISP). No cubre Chrome, Firefox, Brave, Edge ni ningún otro navegador. No cubre ninguna app que no sea un navegador: Instagram, TikTok, la app de YouTube, apps de noticias, apps de smart TV, juegos, tu cliente de correo. No bloquea anuncios ni rastreadores, no detecta phishing y no te protege en redes WiFi públicas hostiles contra ataques de intermediario sobre TLS. Es una protección significativa dentro de su alcance limitado, y ese alcance es mucho más estrecho de lo que su nombre sugiere.

Cómo funciona realmente Private Relay

El mecanismo es la parte más ingeniosa — y vale la pena entenderlo porque explica tanto las fortalezas como los límites.

Cuando visitas un sitio en Safari con Private Relay activado, la solicitud pasa por dos retransmisores separados:

  1. El primer retransmisor (operado por Apple) ve tu dirección IP y el destino cifrado. Sabe quién eres (por la IP) pero no adónde vas (el destino está cifrado con la clave del segundo retransmisor).
  2. El segundo retransmisor (operado por un tercero — Cloudflare, Fastly o Akamai bajo contrato con Apple) ve el destino y lo descifra, pero solo sabe que la conexión proviene de «un usuario de Apple Private Relay» — no de qué usuario específico.
  3. El sitio de destino ve una dirección IP genérica de un grupo regional (que coincide aproximadamente con tu ubicación real para la localización de contenido, pero no con tu dirección de casa específica).

Esta arquitectura de conocimiento dividido es genuinamente elegante — ninguno de los dos retransmisores por sí solo puede correlacionar tu identidad con tus destinos. Es una mejora real respecto a una VPN tradicional, donde el proveedor VPN ve ambos extremos y hay que confiar en que no registre los datos.

Pero toda la arquitectura está atada a la pila de red de Safari. Las demás apps no la utilizan.

Qué cubre realmente Private Relay

En concreto:

  • La navegación web en Safari. Todos los sitios que cargas en Safari, en cualquier dispositivo iCloud+ (iPhone, iPad, Mac), se enrutan a través del retransmisor.
  • iCloud Mail en la app de Correo. Las solicitudes de rastreadores de correo electrónico activadas por correos promocionales se enrutan a través del retransmisor (esto es adicional a Mail Privacy Protection, que es una función de Apple independiente).
  • El tráfico no cifrado (HTTP, no HTTPS) de otras apps. La mayoría de las apps modernas usan HTTPS, por lo que esta categoría es pequeña en la práctica. Pero si una app realiza una solicitud HTTP, ese tráfico sí se enruta a través del retransmisor.
  • Las consultas DNS de Safari. Las búsquedas de nombres de host pasan por el retransmisor para que tu ISP no pueda ver qué sitios estás visitando.

Eso es todo. Lo que aparece a continuación no está cubierto.

Qué NO cubre Private Relay

Otros navegadores

Chrome, Firefox, Brave, Edge, Arc, Vivaldi, DuckDuckGo Browser, Opera — todo navegador que no sea Safari funciona a través de tu conexión de red normal, visible para el ISP y con tu IP expuesta. La arquitectura de Private Relay está integrada en la capa de red WebKit de Safari y no está disponible para otras apps. Si tu navegador predeterminado es Chrome (predeterminado para la mayoría de los usuarios que no usan Safari), no obtienes la protección de Private Relay en él.

Apps que no son navegadores (el problema principal)

Esta es la brecha que la mayoría de los usuarios no saben que existe. Todas las apps de tu teléfono que están fuera de Safari funcionan a través de tu conexión de red normal. Instagram, TikTok, Twitter/X, la app de YouTube, apps de noticias, widgets del tiempo, juegos, tu cliente de correo, apps bancarias, apps compañeras de smart TV, Slack, Discord, Signal — ninguna de ellas recibe la protección de Private Relay.

Por qué importa esto: la mayoría de las amenazas a la privacidad del consumidor hoy en día no están en el navegador. Son los SDK integrados en apps que no son navegadores (Facebook SDK, Mixpanel, Amplitude, Segment, AppsFlyer) que envían telemetría de comportamiento a sus servidores. Apps que leen huellas digitales del dispositivo. Apps que se comunican con redes publicitarias. Private Relay no cubre nada de esto porque nada de ello ocurre en Safari. Nuestro análisis detallado de lo que iOS App Tracking Transparency no detiene cubre específicamente la capa de rastreo por SDK.

Protección frente a amenazas

Private Relay no bloquea anuncios, en ningún lugar. Safari tiene extensiones de bloqueo de contenido independientes (1Blocker, AdGuard for Safari, entre otras) que bloquean anuncios en Safari. El papel de Private Relay es anonimizar tu IP y DNS — no filtrar contenido. Incluso en Safari, los anuncios siguen cargando (solo desde un punto de acceso anonimizado).

Bloqueo de rastreadores

La misma respuesta. Private Relay no se niega a resolver nombres de host de rastreadores ni bloquea conexiones de rastreadores — simplemente los enruta a través del retransmisor de forma anónima. El rastreador sigue pudiendo activarse y recopilar datos; simplemente no puede vincular esos datos a tu dirección IP específica. La Prevención Inteligente de Rastreo (ITP) integrada en Safari hace cierto bloqueo de rastreadores a nivel de cookies, pero es independiente de Private Relay y tampoco se aplica fuera de Safari.

Detección de phishing

Private Relay no evalúa los destinos en busca de riesgos de phishing o malware. Safari tiene una función independiente de «Aviso de sitio web fraudulento» (basada en Google Safe Browsing), pero solo dentro de Safari y solo para sitios conocidos como maliciosos — los dominios de phishing de día cero pasan sin problema. Los enlaces de phishing abiertos desde Mensajes, Correo, apps de correo de terceros o cualquier app de mensajería se abren en una vista web que puede o no tener comprobaciones de Safe Browsing, y definitivamente no recibe ninguna protección relacionada con Private Relay. Nuestro análisis de campañas de phishing cubre la realidad del phishing por SMS.

Protección frente a WiFi público hostil (en parte)

En una red WiFi hostil de una cafetería u hotel, Private Relay sí cifra el tráfico de Safari frente al operador de la red local — no pueden ver qué sitios estás visitando en Safari. Pero:

  • Las demás apps de tu teléfono (que siguen usando el WiFi local sin el retransmisor) están completamente expuestas.
  • El operador de la red local aún puede ver que estás usando Private Relay (ven el tráfico dirigido a los endpoints del retransmisor de Apple, solo que no los destinos detrás de él).
  • Los flujos de portal cautivo siguen exponiendo tu IP real antes de que Private Relay entre en acción.
  • Algunas redes hostiles bloquean los endpoints de Private Relay y fuerzan el tráfico a través de sus propios proxies de registro — Private Relay pasa entonces a modo no cifrado a menos que el usuario lo note.

Cambio geográfico de IP para streaming

Private Relay te proporciona una IP de un grupo regional que coincide aproximadamente con tu ubicación real — por diseño, para preservar la compatibilidad de contenido regional. No es una herramienta para eludir restricciones de streaming. Si quieres ver Netflix del Reino Unido desde EE. UU., Private Relay no es el producto adecuado; NordVPN, ExpressVPN o similares son la opción correcta. El diseño de Private Relay evita explícitamente la carrera armamentística de evasión de streaming.

Cuándo importa Private Relay y vale la pena mantenerlo activado

Nada de lo anterior es una crítica — es simplemente una aclaración del alcance. Private Relay hace lo que dice que hace, y dentro de ese alcance funciona bastante bien. Casos en los que es la protección adecuada:

  • Tu navegación en Safari no debería ser observable por tu ISP. Private Relay lo consigue de forma elegante.
  • No quieres que los sitios web identifiquen tu IP residencial específica. La IP del grupo regional es mucho más difícil de usar para vincular sesiones entre sí que una IP residencial estática.
  • Quieres una mejora de privacidad sin tener que elegir un proveedor de VPN en el que confiar. La arquitectura de retransmisor dividido significa que ni siquiera Apple puede ver ambos extremos de tu navegación. Es una mejora real de confianza respecto a elegir una VPN.
  • Quieres que funcione sin ninguna configuración. Private Relay está activado por defecto para los suscriptores de iCloud+; no tienes que acordarte de activarlo ni prestarle atención.

Para estos casos, déjalo activado. No hay ningún inconveniente en tenerlo funcionando.

Qué necesitas más allá de Private Relay

Para el resto de la superficie de amenazas a la privacidad del consumidor — apps que no son Safari, bloqueo de anuncios, bloqueo de rastreadores, detección de phishing, protección completa del dispositivo en redes hostiles — necesitas algo en la capa de red en lugar de la capa del navegador. El enfoque adecuado es una VPN con filtrado DNS que cubra todas las apps del dispositivo, junto con Private Relay para Safari.

Importantemente, ambos coexisten perfectamente en iOS. iOS permite un perfil VPN activo a la vez (Casper u otro) y Private Relay simultáneamente — Private Relay sigue gestionando el tráfico de Safari a través de los retransmisores de Apple mientras el perfil VPN gestiona todo lo demás. Es el mismo patrón que ha funcionado durante años con las VPN corporativas: Safari-con-Private-Relay convive perfectamente junto a otras-apps-con-VPN.

Lo que esto significa en términos concretos: Private Relay cubre Safari, y nuestra protección frente a amenazas, el bloqueo de rastreadores y la protección de amenazas con IA cubren todas las apps fuera de Safari. El par te protege en el ~95% de la superficie de amenazas del consumidor; cualquiera de los dos por sí solo deja brechas significativas. Nuestra página de la plataforma iOS explica qué captura cada capa que la otra no capta.

Una nota sobre la arquitectura de privacidad más amplia de Apple

Apple ha lanzado varias funciones de privacidad independientes que a menudo se confunden entre sí:

  • iCloud Private Relay — anonimización de IP/DNS exclusiva para Safari (el tema de este artículo)
  • App Tracking Transparency (ATT) — la solicitud «Pedir a la app que no rastree», que bloquea un identificador específico (IDFA) pero deja abiertas la toma de huellas digitales y el rastreo a nivel de SDK. Análisis detallado aquí.
  • Mail Privacy Protection (MPP) — obtiene los píxeles de seguimiento de correo electrónico a través de los proxies de Apple independientemente de si abriste el correo, inutilizando la mayoría del rastreo de tasas de apertura. Solo se aplica a Apple Mail, no a Gmail/Outlook/Spark.
  • Hide My Email — genera alias de correo electrónico por servicio. Disponible para los suscriptores de iCloud+.
  • Etiquetas de privacidad de apps — autodeclaradas en el App Store, útiles como señal pero sin aplicación.
  • Intelligent Tracking Prevention (ITP) — bloqueo de rastreadores a nivel de cookies en Safari. Independiente de Private Relay.
  • App sandboxing — las apps no pueden leer datos de otras sin permiso. Es una arquitectura de plataforma, no una función.

Cada una hace algo específico y de alcance limitado. Ninguna es un filtro a nivel de red que cubra todas las apps del dispositivo. Esa es la brecha que Casper llena.

Cómo comprobar si Private Relay está activado

Muchos usuarios tienen iCloud+ pero nunca han activado realmente Private Relay. Para verificarlo:

  • iOS / iPadOS: Ajustes → [Tu nombre] → iCloud → Private Relay. Actívalo si no lo está ya.
  • macOS: Configuración del Sistema → [Tu nombre] → iCloud → Private Relay.
  • Si no tienes iCloud+, la opción no es visible. iCloud+ comienza al mismo precio que el nivel de almacenamiento iCloud de 50 GB.

Un detalle importante: algunas redes de operadores y corporativas solicitan a Apple que desactive Private Relay para los usuarios en sus redes. iOS te notifica cuando esto ocurre mediante un banner en Ajustes. Si ves ese banner, tu operador o empresa te ha excluido — Private Relay está efectivamente desactivado en esas redes.

Conclusión

iCloud Private Relay es una función de privacidad bien diseñada y de alcance limitado — anonimización de IP y DNS exclusiva para Safari con una ingeniosa arquitectura de conocimiento dividido. Vale la pena mantenerla activada. También es mucho más limitada de lo que su nombre sugiere: no cubre otros navegadores, no cubre ninguna app que no sea un navegador, no bloquea anuncios ni rastreadores, no detecta phishing y no protege completamente contra WiFi hostil. La brecha entre «lo que cubre Private Relay» y «lo que la privacidad del consumidor en 2026 realmente requiere» es la brecha para la que está diseñado nuestro filtro a nivel de red.

Si quieres tanto el beneficio específico de Private Relay para Safari como la cobertura completa del dispositivo para todas las demás apps de tu iPhone o Mac, úsalos juntos — coexisten perfectamente en iOS y macOS.

Revisado por Casper's Cloak Security Team · Última actualización

Cubre lo que Private Relay no cubre

Casper's Cloak es el filtro a nivel de red que funciona junto a Private Relay — cubriendo todas las apps que no son Safari en tu iPhone, Mac y Android. Bloqueo de anuncios, bloqueo de rastreadores, detección de amenazas con IA, cifrado en WiFi público.