Volver al blog
Recursos·18 min de lectura

Lista de verificación de seguridad para iPhone 2026 — todo lo que debes revisar, en orden

Una lista de verificación completa y priorizada de cada ajuste de seguridad y privacidad en tu iPhone con iOS 19. Sin relleno, sin teoría — solo qué revisar, dónde encontrarlo y por qué importa. Trabájala de arriba abajo; los elementos están ordenados por impacto para que obtengas los mayores beneficios primero.

Por Casper's Cloak Security Team

La versión corta: la mayoría de los iPhones tienen una seguridad predeterminada excelente, pero Apple incluye docenas de ajustes de privacidad y seguridad que vienen desactivados de fábrica, enterrados a tres menús de profundidad o configurados en la opción menos privada por comodidad. Esta lista los cubre todos. Si tu tiempo es limitado, los primeros cinco elementos de la sección Autenticación aportan la mayor parte del valor de seguridad. Si quieres ser exhaustivo, repasa los 18 elementos — el proceso completo lleva unos 30 minutos. Para estrategias de prevención más amplias más allá de los ajustes específicos del iPhone, consulta nuestra guía sobre cómo hacer tu iPhone más seguro en 2026.

Resumen de referencia rápida

Antes del recorrido detallado, aquí tienes la lista completa de un vistazo con valoraciones de prioridad. Úsala como referencia rápida una vez que hayas completado la versión detallada.

#ElementoCategoríaPrioridadTiempo
1Código de acceso alfanumérico seguroAutenticaciónCrítico2 min
2Face ID / Touch ID activadoAutenticaciónCrítico3 min
3Autenticación en dos pasos del Apple IDAutenticaciónCrítico5 min
4Protección de dispositivo robadoAutenticaciónCrítico1 min
5Bloqueo automático en 30 segundos o 1 minutoAutenticaciónAlta30 seg
6App Tracking Transparency — denegar todoPrivacidadAlta1 min
7Auditoría de Servicios de localizaciónPrivacidadAlta5 min
8Desactivar el uso compartido de datos analíticosPrivacidadMedia1 min
9Revisión de permisos sensiblesPrivacidadAlta5 min
10Protección de datos avanzada para iCloudiCloudCrítico5 min
11Buscar mi iPhone activadoiCloudCrítico1 min
12Contactos de recuperación y clave de recuperacióniCloudAlta5 min
13VPN o filtrado DNS activadoRedAlta5 min
14Desactivar la conexión automática a WiFi desconocidasRedMedia1 min
15iCloud Private Relay (si tienes iCloud+)RedMedia1 min
16Revisar las apps instaladas y eliminar las que no usesAppsMedia10 min
17Comprobar perfiles de configuración desconocidosAppsCrítico1 min
18Actualizaciones automáticas activadasAppsAlta1 min

Ahora repasemos cada elemento en detalle — qué hacer, exactamente dónde encontrar el ajuste y por qué importa.

Autenticación (elementos 1–5)

La autenticación es la puerta de entrada. Si un atacante puede desbloquear tu teléfono o acceder a tu Apple ID, todos los demás ajustes son irrelevantes — lo tiene todo. Estos cinco elementos aseguran esa puerta de entrada.

1. Establecer un código de acceso alfanumérico seguro

Dónde: Ajustes, luego Face ID y código (o Touch ID y código), luego Cambiar código. Toca «Opciones de código» y elige «Código alfanumérico personalizado».

Por qué: un código de 4 dígitos tiene 10.000 combinaciones — descifrable por fuerza bruta en minutos con hardware especializado. Un código numérico de 6 dígitos tiene 1 millón de combinaciones — mejor, pero aún vulnerable. Un código alfanumérico (letras + números + símbolos) de 8 o más caracteres tiene miles de millones de combinaciones y resulta prácticamente infranqueable gracias a la limitación de intentos de iOS. Como usas Face ID o Touch ID para desbloquear a diario, el código se teclea raramente, así que uno más largo y robusto no te ralentiza.

Qué evitar: cualquier cosa adivinable — tu fecha de nacimiento, número de teléfono, 000000, 123456 o dígitos repetidos. Si alguien que te conoce podría adivinarlo en 10 intentos, no es suficientemente seguro. Los dispositivos GrayKey y Cellebrite que usan las fuerzas del orden y atacantes sofisticados explotan códigos débiles; un código alfanumérico sólido hace su trabajo órdenes de magnitud más difícil.

2. Activar Face ID / Touch ID

Dónde: Ajustes, luego Face ID y código. Asegúrate de que Face ID esté configurado para Desbloquear iPhone, Apple Pay, iTunes y App Store, Autorrellenar contraseñas y cualquier otra opción disponible.

Por qué: la autenticación biométrica cumple dos propósitos. Primero, hace que el desbloqueo sea tan rápido que no tendrás la tentación de debilitar tu código por comodidad. Segundo, garantiza que ciertas operaciones sensibles (cambiar contraseñas, aprobar Apple Pay) requieran tu presencia física — un código por sí solo podría observarse y replicarse, pero tu cara o huella digital no (de manera práctica).

3. Verificar que la autenticación en dos pasos del Apple ID está activada

Dónde: Ajustes, luego tu nombre en la parte superior, luego Inicio de sesión y seguridad, luego Autenticación en dos pasos.

Por qué: tu Apple ID controla las copias de seguridad de iCloud, Buscar mi iPhone, iMessage, FaceTime, las compras en el App Store y posiblemente tu correo electrónico. Si un atacante compromete tu Apple ID sin la autenticación en dos pasos, puede borrar tu dispositivo de forma remota, leer tus mensajes sincronizados en iCloud, descargar tus fotos y bloquearte. Con la autenticación en dos pasos activada, también necesitaría acceso a uno de tus dispositivos de confianza — un listón mucho más alto. Apple ha hecho obligatoria la autenticación en dos pasos en la mayoría de las cuentas nuevas, pero las cuentas más antiguas pueden aún tenerla desactivada. Compruébalo.

4. Activar la Protección de dispositivo robado

Dónde: Ajustes, luego Face ID y código, luego desplázate hacia abajo hasta Protección de dispositivo robado y actívala.

Por qué: esta función, introducida en iOS 17.3, aborda un patrón de ataque específico: alguien observa tu código de acceso (espiando por encima del hombro en un bar, por ejemplo) y luego te roba el teléfono. Sin la Protección de dispositivo robado, ese código basta para cambiar la contraseña del Apple ID, desactivar Buscar mi iPhone y bloquearte en tu propia cuenta de forma permanente. Con ella activada, las operaciones sensibles (cambiar la contraseña del Apple ID, desactivar Buscar mi iPhone, cambiar Face ID) requieren autenticación biométrica más un retardo de seguridad de una hora cuando estás fuera de lugares familiares. Este único ajuste ha evitado miles de casos de apropiación de cuentas por «iPhone robado» desde su lanzamiento.

5. Configurar el bloqueo automático en 30 segundos o 1 minuto

Dónde: Ajustes, luego Pantalla y brillo, luego Bloqueo automático.

Por qué: una ventana de bloqueo automático más corta reduce el tiempo en que tu teléfono está desbloqueado y desatendido. Si dejas el teléfono sobre una mesa y te alejas, un bloqueo automático de 30 segundos significa que alguien tiene medio minuto para acceder a tu dispositivo desbloqueado. Con 5 minutos (un valor predeterminado habitual), es una eternidad. El sacrificio en comodidad es mínimo porque Face ID hace que volver a desbloquearlo sea instantáneo.

Ajustes de privacidad (elementos 6–9)

Estos ajustes controlan qué datos pueden recopilar las apps y el propio Apple de tu dispositivo. No previenen el hackeo directamente, pero reducen los datos disponibles para elaborar perfiles, ingeniería social y ataques dirigidos.

6. App Tracking Transparency — denegar todo el seguimiento

Dónde: Ajustes, luego Privacidad y seguridad, luego Rastreo. Desactiva «Permitir solicitudes de seguimiento» para denegar silenciosamente todas las solicitudes de seguimiento — las apps ni siquiera te mostrarán el aviso.

Por qué: cuando está activado, las apps que intentan acceder a tu IDFA (Identificador para anunciantes) para el seguimiento entre apps se deniegan automáticamente. Esto no detiene todo el seguimiento — las apps aún pueden usar la toma de huellas y la atribución del lado del servidor — pero elimina el identificador fácil y fiable entre apps del que dependía el sector publicitario. Desactivarlo del todo (denegar todo) en lugar de «Preguntar» (que muestra un aviso por app) es más sencillo y garantiza que nunca pulses «Permitir» por accidente.

7. Auditar los Servicios de localización

Dónde: Ajustes, luego Privacidad y seguridad, luego Localización. Revisa cada app de la lista.

Qué hacer: para cada app, elige el acceso mínimo que necesita. La mayoría de las apps deberían tener «Al usar la app» o «Nunca». Muy pocas apps necesitan legítimamente «Siempre» — la navegación (Google Maps, Waze), los rastreadores de actividad física y Buscar mi iPhone son las principales excepciones. Desplázate hacia abajo y toca «Servicios del sistema» — desactiva «Analíticas del iPhone», «Enrutamiento y tráfico», «Mejorar mapas» y «Lugares significativos» (que registra todos los lugares que visitas con frecuencia). Mantén activados «Buscar mi iPhone», «Llamadas de emergencia y SOS» y «Ajuste del huso horario».

Por qué: los datos de localización son extraordinariamente sensibles. Revelan dónde vives, trabajas, rezas, a quién visitas, si has ido al médico o al abogado y tus rutinas diarias. Las apps con acceso de localización «Siempre» pueden rastrearte continuamente y vender esos datos a intermediarios de datos. Restringir a «Al usar» significa que la app solo obtiene tu ubicación cuando la estás mirando activamente.

8. Desactivar el uso compartido de datos analíticos y publicitarios

Dónde: Ajustes, luego Privacidad y seguridad, luego Análisis y mejoras. Desactiva todos los interruptores: «Compartir analíticas del iPhone», «Mejorar Siri y Dictado», «Compartir analíticas de iCloud» y «Mejorar funciones de voz de accesibilidad». Luego ve a Ajustes, luego Privacidad y seguridad, luego Publicidad de Apple, y desactiva «Anuncios personalizados».

Por qué: estos interruptores controlan si Apple recibe datos de diagnóstico y uso de tu dispositivo. Aunque las prácticas de privacidad de Apple son mejores que las de la mayoría, la opción que maximiza la privacidad es no compartir nada. Desactivar «Anuncios personalizados» significa que la propia red publicitaria de Apple (en el App Store y Apple News) no usará tus datos para segmentar anuncios. Ninguno de estos ajustes afecta a la funcionalidad de tu teléfono.

9. Revisar los permisos sensibles (cámara, micrófono, contactos, fotos)

Dónde: Ajustes, luego Privacidad y seguridad. Accede a cada categoría: Cámara, Micrófono, Contactos, Fotos, Calendarios, Recordatorios, Bluetooth y Red local.

Qué hacer: para cada permiso, pregúntate: «¿Necesita esta app esto para hacer lo que yo uso?» Una app de redes sociales puede necesitar razonablemente acceso a la cámara para publicar fotos. Una app del tiempo no necesita tus contactos. Para Fotos, usa «Fotos seleccionadas» (disponible desde iOS 16) en lugar de «Acceso completo» siempre que sea posible — esto te permite conceder acceso a fotos específicas sin exponer toda tu biblioteca. Revoca cualquier permiso que no tenga sentido. Presta especial atención a «Red local» — muchas apps lo solicitan para detectar dispositivos en tu WiFi, pero también les permite identificar tu red doméstica. Deniégalo a menos que la app controle dispositivos domóticos o necesite descubrimiento en la red local.

Seguridad de iCloud (elementos 10–12)

iCloud guarda tus copias de seguridad, fotos, mensajes, contraseñas, datos de salud y mucho más. Asegurarlo es tan importante como asegurar el propio teléfono — porque se puede acceder a los datos de iCloud desde cualquier dispositivo con las credenciales de tu Apple ID.

10. Activar la Protección de datos avanzada para iCloud

Dónde: Ajustes, luego tu nombre, luego iCloud, luego Protección de datos avanzada. Sigue el proceso de configuración.

Por qué: de forma predeterminada, Apple conserva las claves de cifrado de la mayor parte de tus datos de iCloud — lo que significa que puede descifrarlos si recibe una solicitud legal y que podrían quedar expuestos en una brecha en la infraestructura de Apple. La Protección de datos avanzada habilita el cifrado de extremo a extremo para Copia de seguridad de iCloud, Fotos, Notas, Recordatorios, Notas de voz, Marcadores de Safari, Atajos de Siri, Pases de Wallet y más. Con la PDA activada, solo tus dispositivos conservan las claves de descifrado — ni siquiera Apple puede leer los datos. Este es el ajuste de seguridad de iCloud más importante. La contrapartida: si pierdes todos tus dispositivos de confianza y tu clave de recuperación, Apple no puede ayudarte a recuperar los datos. Por eso el elemento 12 (contactos de recuperación) va de la mano con este.

Qué no está cubierto: el Correo de iCloud, los Contactos y los Calendarios no están cifrados de extremo a extremo ni con la PDA, porque necesitan interoperar con protocolos de correo y calendario que no son de Apple. La guía de seguridad oficial de Apple documenta exactamente qué categorías de datos están cubiertas.

11. Verificar que Buscar mi iPhone está activado

Dónde: Ajustes, luego tu nombre, luego Buscar mi, luego Buscar mi iPhone. Asegúrate de que «Buscar mi iPhone», «Red Buscar» y «Enviar última ubicación» estén todos activados.

Por qué: si tu teléfono se pierde o te lo roban, Buscar mi te permite localizarlo, reproducir un sonido, marcarlo como perdido (lo que lo bloquea y muestra un mensaje) o borrarlo de forma remota. «Enviar última ubicación» envía automáticamente la ubicación del teléfono a Apple cuando la batería alcanza un nivel críticamente bajo — de modo que tienes la última ubicación conocida aunque la batería se agote. La opción «Red Buscar» usa señales Bluetooth de dispositivos Apple cercanos para localizar tu teléfono incluso cuando está sin conexión. Estas funciones han recuperado miles de teléfonos robados y, lo que es fundamental, la función de borrado remoto protege tus datos si el teléfono es irrecuperable.

12. Configurar contactos de recuperación y una clave de recuperación

Dónde: Ajustes, luego tu nombre, luego Inicio de sesión y seguridad, luego Recuperación de cuenta. Añade al menos un contacto de recuperación (un familiar o amigo de confianza con un dispositivo Apple). Opcionalmente, genera también una Clave de recuperación.

Por qué: con la Protección de datos avanzada activada, perder el acceso a todos tus dispositivos de confianza significaría perder el acceso a tus datos de forma permanente — a menos que tengas una vía de recuperación. Un contacto de recuperación puede verificar tu identidad si necesitas recuperar el acceso. Una clave de recuperación es un código de 28 caracteres que guardas sin conexión (impreso, no en una nota de tu teléfono) y que puede desbloquear tu cuenta como último recurso. Configura al menos un contacto de recuperación; la clave de recuperación añade una capa adicional de seguridad si quieres una red de protección extra.

Protección de red (elementos 13–15)

Tu teléfono está constantemente conectado a redes — datos móviles, WiFi, a veces ambas. La protección a nivel de red garantiza que la conexión en sí no se convierta en el vector de ataque.

13. Usar un servicio de VPN o filtrado DNS

Dónde: instala una app de filtrado basada en VPN (Casper's Cloak, AdGuard o configura NextDNS) desde el App Store. Activa el perfil VPN cuando se te solicite.

Por qué: un filtro DNS basado en VPN hace dos cosas. Primero, cifra tu tráfico — de modo que las redes WiFi públicas, los ISP y los operadores de red no pueden observar ni inyectar nada. Segundo, bloquea las conexiones a dominios maliciosos conocidos (sitios de phishing, servidores de comando y control de malware, rastreadores publicitarios) a nivel DNS antes de que tu teléfono cargue siquiera el contenido. Esta es una capa de defensa externa que funciona en todas las apps — es el equivalente de red a las restricciones de permisos de apps que has configurado antes. Casper's Cloak añade detección de amenazas con IA que identifica dominios de phishing de día cero que aún no figuran en las listas de bloqueo, además de bloqueo de rastreadores que cubre decenas de miles de endpoints de rastreo conocidos.

14. Desactivar la conexión automática a redes WiFi desconocidas

Dónde: Ajustes, luego Wi-Fi, luego «Preguntar antes de conectar» — configúralo en «Preguntar» o «Desactivado». Además: para cualquier red pública guardada (cafeterías, aeropuertos, hoteles), toca el icono de información y desactiva «Unirse automáticamente».

Por qué: tu iPhone recuerda las redes WiFi a las que se ha conectado y se reconecta automáticamente cuando las detecta. Los atacantes explotan esto con puntos de acceso gemelos maliciosos — un punto de acceso fraudulento llamado «Starbucks WiFi» o «Airport Free WiFi» al que tu teléfono se conecta automáticamente porque ya se unió a una red con ese nombre. Una vez conectado, el atacante controla tu DNS, puede servir páginas de phishing mediante el portal cautivo y puede observar el tráfico sin cifrar. Desactivar la conexión automática a redes públicas te obliga a elegir conscientemente a qué redes conectarte.

15. Activar iCloud Private Relay (suscriptores de iCloud+)

Dónde: Ajustes, luego tu nombre, luego iCloud, luego Retransmisión privada. Actívala.

Por qué: Private Relay enruta el tráfico de Safari a través de una arquitectura de retransmisión de doble salto (Apple ve tu IP pero no tu destino; una retransmisión de terceros ve tu destino pero no tu IP). Esto evita que los sitios web vean tu dirección IP real en Safari, que es una fuerte señal de seguimiento. Solo se aplica a Safari — no a otros navegadores ni a apps. Si ya usas una VPN (elemento 13), esta cubre la función de enmascaramiento de IP para todo el tráfico; Private Relay añade una separación de doble salto específica para Safari incluso cuando la VPN está activa, aunque ambas pueden interactuar de forma diferente según la configuración de tu proveedor de VPN.

Higiene de apps (elementos 16–18)

Cada app en tu teléfono es una superficie de ataque potencial. Reducir el número de apps instaladas y mantenerlas actualizadas minimiza esa superficie.

16. Revisar las apps instaladas y eliminar las que no uses

Dónde: Ajustes, luego General, luego Almacenamiento del iPhone. Esto lista todas las apps ordenadas por tamaño con la fecha de último uso.

Qué hacer: desplázate y elimina cualquier app que no hayas usado en 3 o más meses. Cada app instalada tiene acceso potencial a los permisos que le concediste, puede contener vulnerabilidades que se exploten antes de ser parcheadas y ejecuta procesos en segundo plano que pueden usarse para el rastreo. Menos apps significa menos vectores de ataque potenciales. Si necesitas una app más adelante, siempre puedes volver a descargarla desde el App Store.

17. Comprobar perfiles de configuración desconocidos

Dónde: Ajustes, luego General, luego VPN y gestión de dispositivos. Si este elemento del menú no aparece, no tienes perfiles instalados (lo cual es normal).

Por qué: los perfiles de configuración pueden modificar ajustes profundos del sistema — instalando certificados raíz, cambiando el DNS, configurando VPN o instalando apps fuera del App Store. Los usos legítimos incluyen la gestión empresarial de dispositivos (MDM), los ajustes de operadora y algunas apps de VPN/DNS. Si ves un perfil que no reconoces y no instalaste, es una señal de alerta grave. El software espía y algunos malware usan perfiles de configuración para establecer persistencia en iOS. Si encuentras uno del que no puedes dar cuenta, elimínalo inmediatamente.

18. Activar las actualizaciones automáticas de apps y del sistema operativo

Dónde: para el SO: Ajustes, luego General, luego Actualización de software, luego Actualizaciones automáticas — activa todos los interruptores (Descargar actualizaciones de iOS, Instalar actualizaciones de iOS, Respuestas de seguridad y archivos del sistema). Para las apps: Ajustes, luego App Store, luego activa «Actualizaciones de apps».

Por qué: la mayoría de los exploits exitosos en 2026 apuntan a vulnerabilidades que ya han sido parcheadas. Las actualizaciones automáticas garantizan que recibes los parches de seguridad en cuanto están disponibles, cerrando la ventana entre que Apple publica un parche y tú lo instalas. Las Respuestas de seguridad rápidas — parches más pequeños que se implementan entre versiones completas del SO — son especialmente críticas porque abordan vulnerabilidades que se están explotando activamente. Con los tres interruptores activados, tu teléfono se mantiene actualizado sin que tengas que pensar en ello.

Con qué frecuencia revisar esta lista

La mayoría de estos ajustes se configuran una vez y se olvidan. Pero tres categorías necesitan revisión periódica:

  1. Permisos de apps (elementos 7 y 9): revisa trimestralmente. Las nuevas apps que instalas obtienen permisos; las apps que ya tienes pueden solicitar permisos adicionales tras las actualizaciones. Una revisión trimestral de 5 minutos detecta la acumulación de permisos.
  2. Apps instaladas (elemento 16): revisa trimestralmente. Elimina las apps que hayas dejado de usar. Menos apps, menor superficie de ataque.
  3. Contraseñas (no en esta lista, pero relacionadas): consulta Ajustes, luego Contraseñas, luego Recomendaciones de seguridad después de cualquier filtración de datos importante de la que te enteres. El llavero de iCloud te alerta sobre credenciales comprometidas — corrígelas inmediatamente cuando aparezcan marcadas.

El resto — código de acceso, autenticación en dos pasos, Protección de datos avanzada, actualizaciones automáticas — se queda configurado una vez establecido. Si Apple cambia un valor predeterminado en una versión principal de iOS, normalmente lo destaca durante el proceso de actualización. Actualizaremos esta lista cuando llegue iOS 20 con cualquier ajuste nuevo que sea relevante.

Conclusión

Los iPhones tienen una seguridad predeterminada sólida, pero la diferencia entre la configuración predeterminada y la reforzada es significativa. Los 18 elementos de esta lista — priorizados y ordenados por impacto — llevan unos 30 minutos de trabajo. Los primeros cinco (autenticación) aportan la mayor parte del valor de seguridad. La Protección de datos avanzada (elemento 10) es la mejora de seguridad de iCloud más importante que la mayoría de la gente no ha activado. La protección a nivel de red (elemento 13) añade una capa de defensa externa que funciona en todas las apps. Y las auditorías periódicas de permisos (elementos 7, 9, 16) evitan la acumulación gradual de acceso innecesario a datos que las apps solicitan silenciosamente con el tiempo.

Marca esta página y revisítala trimestralmente para las auditorías de permisos y apps. Compártela con los familiares que te piden ayuda con la tecnología — las instrucciones son lo suficientemente específicas como para que cualquiera pueda seguirlas sin más explicaciones.

Revisado por Casper's Cloak Security Team · Última actualización

Añade protección a nivel de red a tu iPhone

El elemento 13 de la lista: Casper's Cloak se ejecuta como un perfil VPN del sistema en iOS, filtrando las consultas DNS de cada app. Bloqueo de anuncios, bloqueo de rastreadores, detección de phishing con IA y tráfico cifrado en todas las redes.