Si estás harto de los anuncios invasivos en tu móvil pero no quieres rootear tu teléfono, NetGuard se convierte en una de las herramientas más interesantes que puedes probar. Gracias a un truco muy bien pensado, este firewall es capaz de bloquear conexiones y publicidad sin permisos root, manteniendo el control de qué apps se conectan a Internet y cuándo lo hacen.
Más allá de quitar anuncios, NetGuard te permite tener algo parecido a un “modo avión selectivo por aplicación”: puedes dejar sin Internet a las apps que solo quieres usar offline, limitar el uso de datos móviles por app y qué solo WiFi, controlar qué se conecta en segundo plano y, de paso, ahorrar batería y datos. Todo esto con una app de código abierto que funciona como una VPN local y que, bien configurada, ofrece un nivel de control muy difícil de conseguir en Android “de fábrica”.
¿Qué es NetGuard y por qué es diferente a otros firewall?
NetGuard es un cortafuegos para Android que funciona sin root y que basa todo su funcionamiento en la API de VPN que introdujo Google a partir de Android 5.0 Lollipop. En lugar de modificar el sistema a bajo nivel (como hacen los firewall clásicos con root), crea una conexión VPN local por la que pasa todo el tráfico de red del dispositivo para poder filtrarlo.
Esta conexión VPN no envía tus datos a Internet ni a servidores de terceros: el tráfico se redirige a un “servidor VPN” interno alojado en tu propio móvil, donde NetGuard decide si deja pasar o no cada conexión según las reglas que hayas configurado. Es decir, actúa como un filtro entre las apps y la red, pero sin sacar nada fuera del dispositivo.
Una diferencia clave con otros bloqueadores de publicidad es que, en Google Play, NetGuard aparece y se presenta simplemente como un firewall para controlar el acceso a Internet de cada aplicación. A Google no le entusiasman las apps cuya función principal es bloquear anuncios, así que la versión de la Play Store no incluye de serie las listas de bloqueo de dominios publicitarios.
Si quieres usar NetGuard también como bloqueador de anuncios, tienes que recurrir a la versión disponible como APK en GitHub. Es el mismo proyecto de código abierto, pero con opciones adicionales para trabajar con archivos hosts y filtrar dominios, permitiéndote bloquear publicidad de forma mucho más global.
NetGuard en Google Play vs APK de GitHub
En Google Play encontrarás NetGuard como un cortafuegos clásico sin funciones explícitas de bloqueo de anuncios. Desde esa versión puedes permitir o denegar el acceso a Internet de cada app, de forma independiente para WiFi y datos móviles, y aprovechar gran parte del control de tráfico sin entrar en temas de publicidad.
El problema es que, por las políticas de Google, en esa versión no podrás cargar listas de dominios publicitarios ni usar un archivo hosts de bloqueo. La app sigue siendo utilísima para vigilar qué se conecta y cuándo, pero no está pensada para desactivar banners de forma automática en todas las apps.
Si quieres esa función, el desarrollador ofrece en GitHub una compilación de NetGuard con soporte para descargar y procesar archivos hosts con listas de dominios a bloquear. La versión es totalmente estable (el propio autor va publicando releases firmadas) y la única diferencia reseñable respecto a la de Play Store es precisamente la gestión de esos archivos hosts y alguna característica extra orientada a usuarios más avanzados.
Al ser un proyecto de código abierto, cualquiera puede revisar cómo funciona, comprobar que no hay tráfico redirigido a servidores externos ni rastreos ocultos y, llegado el caso, compilar la app por su cuenta. Esa transparencia reduce bastante la desconfianza lógica que genera una herramienta con tanto poder sobre tu conexión.
Cómo funciona NetGuard internamente: VPN local y filtrado
Cuando activas NetGuard, el interruptor principal de la aplicación crea y conecta una VPN local en tu dispositivo Android. El sistema te mostrará un aviso estándar advirtiendo de que una app con acceso VPN podría interceptar tu tráfico; en este caso, todo se queda en el propio teléfono.
A partir de ese momento, NetGuard actúa como un filtro entre las apps y la red: cada intento de conexión pasa por esa VPN local. Según las reglas definidas (por app, por tipo de red, por dominio, etc.) la herramienta permite o bloquea la solicitud. Para el usuario es un proceso transparente: tú solo ves que ciertas apps ya no tienen Internet o que la publicidad ha desaparecido.
El requisito de Android 5.0 o superior viene de que NetGuard se apoya en la API oficial de VPN introducida a partir de Lollipop. En versiones más antiguas del sistema no es posible implementar este tipo de cortafuegos sin root de manera tan limpia y estable.
La lista principal de NetGuard muestra todas las aplicaciones instaladas en el dispositivo, junto con iconos que permiten habilitar o deshabilitar el acceso a Internet vía WiFi y datos móviles de forma independiente. Esto sirve tanto para cortar el tráfico completamente como para aplicar reglas más finas, por ejemplo, dejar que una app solo se conecte por WiFi para que no consuma tu tarifa de datos.
Bloqueo de publicidad con NetGuard sin root
La posibilidad de bloquear anuncios en Android sin root es una de las razones por las que NetGuard se ha hecho tan popular. En ordenadores llevamos años utilizando bloqueadores a nivel de navegador o de sistema, pero en móviles la situación siempre ha sido más complicada, especialmente sin permisos de superusuario.
Tradicionalmente, para esquivar la publicidad molesta en apps y navegadores de Android tenías que tirar de bloqueadores integrados en navegadores concretos o de soluciones basadas en root que modifican el archivo hosts del sistema o inyectan reglas de filtrado de tráfico. NetGuard da un rodeo muy ingenioso a estas limitaciones apoyándose en la VPN local y en el uso de su propio archivo hosts gestionado desde la app.
Uso del archivo hosts para bloquear dominios
El archivo hosts es un mecanismo muy veterano en sistemas operativos que permite forzar la resolución de ciertos nombres de dominio, redirigiéndolos a una IP concreta o anulándolos. Aprovechando este sistema, puedes hacer que cualquier petición a dominios de anuncios termine “a ninguna parte”, evitando que se carguen recursos publicitarios.
NetGuard no incluye una lista de bloqueo precargada, así que toca descargar o importar tu propio archivo hosts. Dentro de las opciones de la app, casi al final, encontrarás un apartado relacionado con copia de seguridad y gestión avanzada (Backup) donde aparecen las opciones para manejar estos archivos.
Existen dos caminos: puedes cargar un archivo hosts que ya tengas preparado (Import hosts file) o dejar que NetGuard lo descargue de Internet (Download hosts file). En este último caso, la app suele usar listas ya mantenidas por la comunidad que agrupan dominios conocidos por servir publicidad molesta o maliciosa. Si te apetece entretenerte, puedes abrir el archivo con un editor de texto y revisar a mano todas las entradas.
Activar el filtrado de dominios en NetGuard
Para que el bloqueo de publicidad funcione de verdad no basta con descargar el archivo hosts: hay que activar ciertas opciones específicas dentro de los ajustes de NetGuard. La primera es el filtrado de tráfico general, que debería estar habilitado por defecto si has encendido el firewall.
La segunda opción clave es “Block domain names” (o el ajuste equivalente según la traducción de la interfaz). Al activarla, NetGuard empieza a procesar el archivo hosts descargado y bloquea el acceso a los dominios listados, devolviendo un error de resolución (como si el dominio no existiera).
El efecto práctico es que, en lugar de los típicos banners o elementos patrocinados, muchas apps y webs empiezan a mostrar espacios vacíos, errores de carga o simples huecos donde antes había anuncios. No es una solución perfecta al milímetro, pero reduce muchísimo la saturación publicitaria en todo el sistema sin necesidad de tocar el navegador.
Ventajas y limitaciones prácticas de usar NetGuard
Poder usar un cortafuegos con bloqueo de anuncios a nivel global y sin root es un avance tremendo, pero conviene tener claras también las limitaciones y pequeñas incomodidades de NetGuard para no llevarse decepciones.
Por un lado, la experiencia de uso puede no ser tan fluida y rápida como la de no tener nada activado. Cada vez que enciendes el teléfono o desactivas la app, tienes que reactivar la VPN local y esperar unos segundos a que el sistema acepte la conexión. No es un proceso largo, pero es de esos gestos que pueden terminar dando pereza si lo haces muchas veces al día.
Además, con la configuración de bloqueo por dominios más agresiva, NetGuard tiende a bloquear sin demasiada discriminación: muchos elementos legítimos comparten dominios o subdominios con redes publicitarias, y no siempre hay una lista blanca perfecta que separe una cosa de la otra. Eso hace que, en determinados contextos (páginas muy llenas de scripts, webs “turbias”, etc.), sea una herramienta estupenda para sobrevivir a una sobredosis de anuncios, pero quizá no algo que quieras tener activo todo el tiempo sin ajustar.
Mucha gente opta por usar NetGuard de forma más táctica: lo activan cuando van a usar apps especialmente cargadas de publicidad o cuando piensan navegar por sitios llenos de banners, pop-ups y botones engañosos. El resto del tiempo, configurarlo solo como firewall básico para controlar datos y conexiones ya supone una mejora interesante respecto a las opciones estándar de Android.
NetGuard como firewall completo: control por app, WiFi y datos
Más allá del bloqueo de anuncios, NetGuard destaca como cortafuegos totalmente configurable sin permisos de superusuario. Desde su interfaz principal puedes decidir app por app quién tiene permiso para acceder a Internet por WiFi, quién puede usar datos móviles y quién se queda completamente aislado.
Esta capacidad permite reducir al mínimo que ciertas aplicaciones se conecten en segundo plano, ahorrando datos, batería y evitando fugas innecesarias de información personal. Por ejemplo, puedes impedir que juegos gratuitos llenos de trackers se conecten fuera de casa, o cortar el acceso a apps que solo necesitas offline, como calculadoras, editores de notas o herramientas locales.
En la configuración avanzada, NetGuard incorpora opciones para forzar el bloqueo de conexiones en situaciones especiales, como cuando la pantalla está apagada, cuando estás en roaming internacional o cuando ha pasado cierto tiempo desde la última vez que usaste el dispositivo. Son ajustes muy útiles si quieres exprimir al máximo el ahorro energético y limitar el tráfico de fondo.
Alternativas a NetGuard y firewall similares en Android
Aunque NetGuard es una de las soluciones más potentes sin root, no es la única opción. Existen otras aplicaciones de firewall en Android que cumplen funciones parecidas, cada una con sus ventajas, requisitos y nivel de complejidad.
Una de las alternativas más populares es NoRoot Firewall, pensada precisamente para usuarios que no quieren rootear su dispositivo. También utiliza el truco de la VPN local para filtrar conexiones, ofrece una interfaz bastante amigable y permite definir reglas específicas por aplicación, con cierto nivel de detalle en los permisos de red.
En el lado de los dispositivos rooteados, una de las referencias clásicas es AFWall+. Esta herramienta trabaja a un nivel más profundo del sistema, aprovechando las capacidades de iptables y otras funciones del kernel para ofrecer un control muy granular sobre conexiones, interfaces de red y reglas avanzadas. Es ideal si buscas algo al estilo de OpenSnitch en Linux, pero exige conocimientos más técnicos y necesariamente root.
Monitorización por dominio y control avanzado del tráfico
Una de las demandas más frecuentes entre usuarios avanzados es poder ver a qué dominios accede cada aplicación y decidir caso por caso. En el mundo de escritorio, herramientas tipo OpenSnitch permiten este control interactivo casi al detalle. En Android, soluciones como GlassWire permiten cierto nivel de monitorización y bloqueo por dominio, sobre todo cuando entran en juego archivos hosts o listas de bloqueo.
NetGuard, AFWall+ y otras soluciones similares pueden hacer cierto nivel de monitoreo y bloqueo por dominio, sobre todo cuando entran en juego archivos hosts o listas de bloqueo. Sin embargo, no siempre ofrecen una interfaz tan detallada en tiempo real como un sniffer de red completo; su objetivo principal es controlar el acceso por app y, en algunos casos, por dirección concreta o dominio configurado.
En las versiones más completas de NetGuard (a menudo vinculadas a funciones Pro), se puede llegar a bloquear direcciones individuales por aplicación y consultar información más detallada del tráfico, aunque sigue siendo un enfoque más sencillo que el de un firewall de escritorio complejo. AFWall+, al operar con root, se presta mejor a configuraciones muy precisas, pero su uso ya entra en terreno para usuarios avanzados.
Compatibilidad con VPN externas: WireGuard, IKE y compañía
Algo muy importante a tener en cuenta es que NetGuard y otros firewall sin root funcionan usando la única interfaz VPN que Android permite activar a la vez. Eso significa que si estás utilizando una VPN externa (como WireGuard o un cliente IKE integrado) no podrás tener al mismo tiempo un firewall que también dependa de la VPN local.
Si ya estás conectado mediante la app oficial de WireGuard, por ejemplo, Android no dejará que NetGuard establezca su propia VPN. En la práctica, esto quiere decir que no podrás usar NetGuard en modo cortafuegos basado en VPN mientras WireGuard esté activo. Tendrás que elegir entre una cosa u otra, o buscar soluciones específicas de firewall dentro de la propia VPN (como reglas a nivel de servidor).
Con el cliente VPN IKE integrado de Android ocurre lo mismo: solo puede haber una VPN activa al mismo tiempo. Si conectas una VPN corporativa o un túnel personal usando el cliente del sistema, NetGuard no podrá levantar su propia VPN local, y por tanto perderá su capacidad de filtrar todo el tráfico del dispositivo.
En dispositivos rooteados, un firewall como AFWall+ no tiene este problema, ya que controla el tráfico a nivel del sistema con iptables y puede convivir con una VPN externa sin que haya conflicto en la interfaz de red virtual. Pero esa solución ya implica root y una complejidad mayor.
NetGuard, privacidad y uso en ROMs centradas en seguridad
En entornos donde la privacidad es prioritaria, como algunas ROMs endurecidas orientadas a la seguridad, el uso de firewalls basados en VPN como NetGuard suele considerarse una opción opcional. Hay que ser consciente de que, aunque no envía el tráfico a servidores externos, conviene revisar guías para evitar fugas fuera de tu VPN: la app se coloca en una posición privilegiada: ve y filtra todas las conexiones salientes.
Por eso es tan relevante que NetGuard sea open source y tenga el código disponible en GitHub. Cualquier desarrollador con conocimientos puede auditar cómo maneja el tráfico, comprobar que no hay tracking oculto ni telemetría invasiva y verificar que todo se procesa localmente. De existir algún comportamiento malicioso, la comunidad probablemente ya lo habría detectado.
En la documentación de sistemas como GrapheneOS u otras ROMs similares, el uso de NetGuard suele mencionarse solo de pasada o con matices: no se desaconseja de forma radical, pero se recuerda que añadir una capa de complejidad como un firewall de terceros puede romper ciertas funciones o interacciones de red, además de interferir con VPNs reales de seguridad o trabajo.
En general, esas plataformas suelen preferir aprovechar las mejoras internas de Android en gestión de permisos de red, restricciones en segundo plano y perfiles de trabajo, antes que recomendar soluciones externas. Aun así, muchos usuarios recurren a NetGuard como herramienta adicional, siendo conscientes de las posibles incompatibilidades y probando con calma qué se rompe y qué no en su configuración particular.
Mejores prácticas para configurar un firewall en Android
Aunque cada app de firewall tiene sus particularidades, hay una serie de buenas prácticas comunes que conviene seguir para sacarle partido a NetGuard (o a cualquier otra herramienta similar) sin volver tu móvil un caos.
Lo primero es empezar por una configuración sencilla: descarga e instala el firewall desde una fuente confiable (Google Play en el caso de la versión estándar, GitHub si quieres la versión extendida), consulta otras apps de seguridad, ábrelo y permite los permisos que solicita. Activa el cortafuegos y comprueba que la VPN local se establece correctamente.
A continuación, define las reglas básicas: revisa la lista de aplicaciones y decide qué puede usar datos móviles, qué solo WiFi y qué no necesita Internet en absoluto. Centrarte al principio en reducir conexiones en segundo plano de apps que no son críticas te ayudará a notar mejoras claras en batería y consumo de datos sin meterte en líos.
Cuando ya te sientas cómodo, puedes pasar a ajustes más avanzados: reglas por dominio mediante archivo hosts, restricciones especiales en roaming, bloqueo cuando la pantalla está apagada o límites más estrictos en ciertas apps que sospeches que mandan demasiada información a la nube.
Es importante que revises de vez en cuando qué aplicaciones tienen permitido conectarse y cuáles no. Una actualización de una app puede cambiar su comportamiento, o puede que instales algo nuevo que requiera acceso puntual a Internet y se te olvide que lo habías bloqueado en NetGuard, generando errores difíciles de entender si no recuerdas el firewall.
Ultimas consideraciones
Por último, aprovecha las funciones de registro y notificaciones que ofrezca la app: ver qué apps intentan conectarse cuando tú no las estás usando puede darte pistas muy interesantes sobre qué conviene restringir, tanto por privacidad como por ahorro de recursos.
Con una combinación sensata de firewall, listas de bloqueo y algo de sentido común, NetGuard y herramientas similares permiten llevar en el bolsillo un Android mucho más domado: con menos anuncios, menos conexiones furtivas y un control bastante fino de qué hace realmente cada app cuando sale a hablar con Internet. Comparte la información para que más usuarios conozcan del tema.
Continúar leyendo...