Advertencia
Si una aplicación es principalmente un servicio basado en web, el seguimiento puede producirse en el lado del servidor. [Facebook](https://reports.exodus-privacy.eu.org/en/reports/com.facebook.katana/latest) no muestra "ningún rastreador", pero sin duda rastrea los intereses y el comportamiento de los usuarios en todo el sitio. Las aplicaciones pueden eludir la detección si no utilizan las bibliotecas de código estándar producidas por la industria publicitaria, aunque esto es poco probable.
Nota
Las aplicaciones que respetan la privacidad como [Bitwarden](https://reports.exodus-privacy.eu.org/en/reports/com.x8bit.bitwarden/latest) pueden mostrar algunos rastreadores como [Google Firebase Analytics](https://reports.exodus-privacy.eu.org/en/trackers/49). Esta biblioteca incluye [Firebase Cloud Messaging](https://en.wikipedia.org/wiki/Firebase_Cloud_Messaging) que puede proporcionar [notificaciones push](https://es.wikipedia.org/wiki/Tecnología_push) en las aplicaciones. Este [es el caso](https://fosstodon.org/@bitwarden/109636825700482007) con Bitwarden. Esto no significa que Bitwarden utilice todas las funciones analíticas que proporciona Google Firebase Analytics.
## Funciones de Privacidad
### Perfiles de usuario
Los **perfiles de usuario** múltiples se pueden encontrar en :gear: **Ajustes** → **Sistema** → **Usuarios** y son la forma más sencilla de aislar en Android.
Con los perfiles de usuario, puedes imponer restricciones a un perfil específico, como: hacer llamadas, usar SMS o instalar apps. Cada perfil se cifra con su propia clave de cifrado y no puede acceder a los datos de ningún otro perfil. Incluso el propietario del dispositivo no puede ver los datos de otros perfiles sin conocer su contraseña. Los perfiles de usuario múltiples son un método más seguro de aislamiento.
### Perfil de trabajo
Los [**Perfiles de Trabajo**](https://support.google.com/work/android/answer/6191949) son otra forma de aislar aplicaciones individuales y pueden ser más convenientes que los perfiles de usuario separados.
Para crear un perfil de trabajo sin un MDM empresarial se necesita una aplicación de **controlador de dispositivo** como [Shelter](../android/general-apps.md#shelter), a menos que se utilice un sistema operativo personalizado de Android que incluya uno.
El perfil de trabajo depende de un controlador de dispositivo para funcionar. Características como el *transbordador de archivos* y el *bloqueo de búsqueda de contactos* o cualquier tipo de característica de aislamiento debe ser implementada por el controlador. También debes confiar plenamente en la aplicación del controlador del dispositivo, ya que tiene acceso total a tus datos dentro del perfil de trabajo.
Este método suele ser menos seguro que un perfil de usuario secundario; sin embargo, te permite ejecutar aplicaciones en el perfil de propietario y en el perfil de trabajo simultáneamente.
### Espacio Privado
El **Espacio Privado** es una función introducida en Android 15 que añade otra forma de aislar aplicaciones individuales. Puedes configurar un espacio privado en el perfil de propietario navegando a :gear: **Ajustes** → **Seguridad y privacidad** → **Espacio privado**. Una vez configurado, tu espacio privado se encuentra en la parte inferior del cajón de aplicaciones.
Al igual que los perfiles de usuario, un espacio privado se cifra utilizando su propia clave de cifrado, y tienes la opción de configurar un método de desbloqueo diferente. Al igual que los perfiles de trabajo, puedes utilizar aplicaciones del perfil de propietario y del espacio privado simultáneamente. Las aplicaciones lanzadas desde un espacio privado se distinguen por un icono que representa una llave dentro de un escudo.
A diferencia de los perfiles de trabajo, el Espacio Privado es una función nativa de Android que no requiere una aplicación de terceros para gestionarlo. Por esta razón, generalmente recomendamos utilizar un espacio privado en lugar de un perfil de trabajo, aunque puedes utilizar un perfil de trabajo junto con un espacio privado.
### «Kill switch» de una VPN
Android 7 y superiores admiten un interruptor de corte de VPN (VPN kill switch), y está disponible sin necesidad de instalar aplicaciones de terceros. Esta función puede evitar fugas si la VPN está desconectada. Se puede encontrar en :gear: **Ajustes** → **Red e internet** → **VPN** → :gear: → **Bloquear conexiones sin VPN**.
### Cambios globales
Los dispositivos Android modernos tienen interruptores globales para desactivar los servicios de Bluetooth y de localización. Android 12 introdujo interruptores para la cámara y el micrófono. Cuando no estén en uso, recomendamos desactivar estas funciones. Las aplicaciones no pueden usar las funciones desactivadas (incluso si se les concede un permiso individual) hasta que se reactiven.
## Servicios de Google
Si estás utilizando un dispositivo con servicios de Google, ya sea con el sistema operativo original o con un sistema operativo que aísla de forma segura los servicios de Google Play, como GrapheneOS, puedes realizar una serie de cambios adicionales para mejorar tu privacidad. Aun así, recomendamos evitar los servicios de Google por completo, o limitar Google Play Services a un perfil de usuario/trabajo específico combinando un controlador de dispositivo como *Shelter* con Sandboxed Google Play de GrapheneOS.
### Programa de Protección Avanzada
Si tienes una cuenta de Google sugerimos que te inscribas en el [Programa de Protección Avanzada](https://landing.google.com/advancedprotection). Está disponible sin costo a cualquiera que tenga dos o más llaves de seguridad físicas con soporte para [FIDO](../basics/multi-factor-authentication.md#fido-fast-identity-online). Como alternativa, puedes utilizar [passkeys](https://fidoalliance.org/passkeys).
El Programa de Protección Avanzada proporciona una supervisión de amenazas mejorada y permite:
- Autenticación de dos factores más estricta; por ejemplo, [FIDO](../basics/multi-factor-authentication.md#fido-fast-identity-online) **debe** utilizarse y se prohíbe el uso de [SMS OTP](../basics/multi-factor-authentication.md#sms-or-email-mfa), [TOTP](../basics/multi-factor-authentication.md#time-based-one-time-password-totp) y [OAuth](../basics/account-creation.md#sign-in-with-oauth)
- Solo las aplicaciones de Google y de terceros verificadas pueden acceder a los datos de la cuenta
- Escaneo de correos electrónicos inminentes en las cuentas de Gmail contra los intentos de [phishing](https://es.wikipedia.org/wiki/Phishing#T%C3%A9cnicas_de_phishing)
- [Escaneo de navegador seguro](https://google.com/chrome/privacy/whitepaper.html#malware) más estricto con Google Chrome
- Proceso de recuperación más estricto para cuentas con credenciales perdidas
Si usas los servicios de Google Play no aislados (común en los sistemas operativos por defecto), el Programa de Protección Avanzada también viene con [beneficios adicionales](https://support.google.com/accounts/answer/9764949) como:
- No permitir la instalación de aplicaciones fuera de Google Play Store, la tienda de aplicaciones del proveedor del sistema operativo o a través de [`adb`](https://en.wikipedia.org/wiki/Android_Debug_Bridge)
- Escaneo automático obligatorio de dispositivos con [Play Protect](https://support.google.com/googleplay/answer/2812853?#zippy=%2Chow-malware-protection-works%2Chow-privacy-alerts-work)
- Advertencia sobre aplicaciones no verificadas
### Actualizaciones del sistema de Google Play
En el pasado, las actualizaciones de seguridad de Android tenían que ser enviadas por el proveedor del sistema operativo. Android se ha vuelto más modular a partir de Android 10, y Google puede impulsar las actualizaciones de seguridad para **algunos** componentes del sistema vía los servicios de Google Play privilegiados.
Si tienes un dispositivo EOL (end-of-life) incluido con Android 10 o superior y no puedes ejecutar ninguno de nuestros sistemas operativos recomendados en tu dispositivo, es probable que te resulte mejor seguir con tu instalación de Android OEM (a diferencia de un sistema operativo que no aparece aquí, como LineageOS o /e/ OS). Esto te permitirá recibir **algunos** arreglos de seguridad de Google, mientras que no viola el modelo de seguridad de Android al usar un derivado de Android inseguro y aumentando tu superficie de ataque. Aún así, te recomendamos que actualices a un dispositivo compatible lo antes posible.
### ID de publicidad
Todos los dispositivos con Google Play Services instalado automáticamente generan un [ID de publicidad](https://support.google.com/googleplay/android-developer/answer/6048248) usado para la publicidad dirigida. Deshabilite esta función para limitar los datos recopilados sobre usted.
En las distribuciones de Android con [Google Play aislado](https://grapheneos.org/usage#sandboxed-google-play), ve a :gear: **Ajustes** → **Aplicaciones** → **Google Play aislado** → **Ajustes de Google** → **Todos los servicios** → **Anuncios**.
- [x] Selecciona **Eliminar ID de publicidad**
En las distribuciones de Android con Google Play Services privilegiado (que incluye la instalación de stock en la mayoría de los dispositivos), el ajuste puede estar en una de varias ubicaciones. Revisa
- :gear: **Ajustes** → **Google** → **Anuncios**
- :gear: **Ajustes** → **Privacidad** → **Anuncios**
Te van a dar la opción de eliminar tu ID de publicidad u *Optar por no recibir anuncios basados en intereses* (esto varía según la distribución OEM de Android). Si se te ofrece la opción de eliminar el identificador de publicidad, es preferible que lo hagas. Si no es así, asegúrate de optar por no participar y restablecer tu ID de publicidad.
### SafetyNet y Play Integrity API
[SafetyNet](https://developer.android.com/training/safetynet/attestation) y el [Play Integrity APIs](https://developer.android.com/google/play/integrity) son generalmente usados para [aplicaciones bancarias](https://grapheneos.org/usage#banking-apps). Muchas aplicaciones bancarias funcionarán bien en GrapheneOS con los servicios de Google Play aislados, sin embargo, algunas aplicaciones no financieras tienen sus propios mecanismos anti-manipulación que pueden fallar. GrapheneOS pasa con éxito el chequeo `basicIntegrity`, pero no el check de certificación `ctsProfileMatch`. Los dispositivos con Android 8 o posterior tienen soporte de certificación de hardware que no se puede omitir sin claves filtradas o vulnerabilidades graves.
En cuanto a Google Wallet, no lo recomendamos debido a su [política de privacidad](https://payments.google.com/payments/apis-secure/get_legal_document?ldo=0&ldt=privacynotice&ldl=en), que establece que debes no participar si no quieres que tu calificación crediticia y tu información personal se compartan con servicios de marketing de afiliación.