Si usas Android y te preocupa de verdad la privacidad, tarde o temprano acabas mirando hacia Tor. Configurar Tor Browser a fondo y combinarlo con Orbot y, cuando toca, con una VPN puede marcar la diferencia entre pasar bastante desapercibido o dejar un rastro enorme por toda la red. El problema es que casi nadie se toma el tiempo de ajustar bien todas las opciones avanzadas y de entender qué hace realmente cada capa.
En esta guía vamos a ir al detalle, pero con un tono sencillo. Verás qué es exactamente la red Tor, cómo se relaciona con la deep web y la dark web, cómo instalar y configurar Tor Browser y Orbot en Android, qué ajustes de seguridad son críticos, cómo torificar otras apps, qué tiene sentido hacer con una VPN, qué cosas NO debes hacer nunca sobre Tor y qué sitios .onion son razonablemente seguros para empezar a curiosear sin meterte en líos.
Deep web, dark web y red Tor: poniendo orden en los conceptos
Mucha gente mezcla términos y al final se crea más mito que realidad. La “deep web” o internet profunda es todo lo que no está indexado en buscadores como Google, Bing o similares: bases de datos privadas, intranets de empresas, paneles de administración, servicios accesibles solo por IP o con credenciales, etc. La mayoría es totalmente legal y aburrida, simplemente no aparece en los resultados de búsqueda.
Dentro de esa deep web existe una parte mucho más pequeña y especial: la llamada “dark web”, donde viven los servicios ocultos que funcionan sobre redes anónimas como Tor. Ahí hay de todo: foros, herramientas de privacidad, proyectos de activismo… y también contenido claramente delictivo, estafas o malware. Que algo esté en la dark web no significa automáticamente que sea ilegal, pero sí es una zona con mucha basura y riesgos.
La red Tor (The Onion Router) es la infraestructura que hace posible gran parte de esa dark web. Tu tráfico se cifra por capas y se enruta por una cadena de nodos: uno de entrada, uno o varios intermedios y uno de salida, todos operados por voluntarios. El de entrada ve quién eres pero no sabe a dónde vas; el de salida ve a qué web llegas, pero no ve tu IP real. Ningún nodo ve la película completa, y por eso se dificulta mucho el rastreo.
Tor Browser en Android: base, objetivos y limitaciones
Tor Browser es el navegador oficial para entrar en la red Tor y en los servicios .onion. En escritorio está basado en Firefox ESR, y en Android mantiene esa base endurecida con una batería de protecciones adicionales: aislamiento de pestañas, bloqueo de rastreadores, HTTPS forzado siempre que sea posible, desactivación selectiva de JavaScript y una configuración pensada para reducir al máximo la huella digital del navegador.
Hay que entender bien qué hace Tor Browser y qué no. Tor SOLO protege el tráfico de las aplicaciones que realmente pasan por la red Tor. Si tú abres Tor Browser, ese navegador va por Tor; pero si a la vez usas Chrome, un cliente de correo o una app de redes sociales, todo eso va por la conexión normal de tu operador, a no ser que metas a Orbot u otra capa en medio.
Además, Tor no es magia: la navegación será claramente más lenta porque cada petición rebota por varios nodos repartidos por el mundo, algunos servicios bloquearán los nodos de salida de Tor, y un adversario con suficiente capacidad de vigilancia y análisis de tráfico (por ejemplo, a nivel estatal masivo) puede llegar a correlacionar patrones. Para la mayoría de usuarios, todo esto sigue siendo mucho más privado que ir a pelo, pero conviene tener claro el alcance real.
Instalar Tor Browser y Orbot en Android de forma segura
El primer paso es obvio pero vital: descargar Tor Browser y Orbot solo de fuentes oficiales. Nada de APKs raros que encuentras en webs aleatorias o canales de Telegram sin reputación, porque es la forma más rápida de acabar con un troyano que lo ve todo.
Para Tor Browser, las opciones seguras son: Google Play, F-Droid con el repositorio oficial o la propia web de The Tor Project, que enlaza a los markets legítimos. En el caso de Orbot, la fuente fiable es Guardian Project (Google Play, F-Droid o su web). Instalar es como cualquier otra app: aceptar permisos y listo, no necesitas root ni flashear nada extraño.
Conviene también revisar que el desarrollador mostrado en la tienda es el correcto. Tor Browser debe aparecer como desarrollado por “The Tor Project” y Orbot por “The Guardian Project”. Si ves nombres sospechosos o iconos parecidos pero no idénticos, sal corriendo y busca el enlace desde las páginas oficiales.
Primer arranque de Tor Browser en Android y conexión a la red
Al abrir Tor Browser por primera vez en el móvil, te encontrarás un botón grande de “Connect” o “Conectar” y una opción de “Configurar” la red. En países sin censura fuerte normalmente basta con pulsar “Conectar” y esperar unos segundos hasta que el navegador construya su primer circuito y abra la página de inicio de Tor.
Si estás en una red donde se vigila o se bloquea Tor (algunos campus, empresas o países), toca el botón de configuración de red antes de conectar. Ahí entran en juego los “puentes” o bridges, que son nodos de entrada no publicados en los listados públicos y hacen que tu tráfico no parezca tan claramente “Tor” a ojos del proveedor o del firewall.
Tor Browser en Android ofrece varios tipos de puente: obfs4 (tráfico ofuscado que no se parece a nada habitual), Snowflake (disfrazado como si fuera tráfico de WebRTC, tipo videollamada) y meek-azure (camuflado como tráfico hacia servicios de Microsoft Azure). La idea práctica es ir probando: primero obfs4, si no funciona, Snowflake, y si tampoco, meek-azure; cuanto más se camufla, más probabilidad de funcionar, pero también más lentitud.
Ajuste del nivel de seguridad en Tor Browser para Android
Uno de los controles cruciales es el “Nivel de seguridad”. Lo encontrarás en el menú de tres puntos (⋮) > Configuración > Seguridad. Por defecto viene en modo “Estándar”, que ya lleva bastantes protecciones activadas, pero mantiene más compatibilidad con webs modernas.
Cuando subes a “Más seguro”, Tor Browser empieza a recortar cosas: bloquea buena parte de JavaScript en sitios no de confianza, limita algunas fuentes y símbolos y desactiva la reproducción automática de audio y vídeo. Muchas webs seguirán funcionando, pero otras empezarán a romperse visualmente o a perder funciones. Es un precio razonable si vas a entrar en páginas .onion de las que sabes poco o sitios con mala reputación.
En el nivel más alto, la tijera es todavía más agresiva. Se desactiva casi todo lo que pueda usarse para explotar el navegador o para hacerte fingerprinting, de modo que muchos sitios quedarán casi inservibles. Este modo tiene sentido si tu modelo de amenaza es alto (periodismo de investigación sensible, activismo político, contextos represivos) y priorizas seguridad por encima de comodidad.
Opciones de privacidad: historial, permisos y extensiones
Tor Browser se comporta, de serie, como si estuviera en modo incógnito permanente. No guarda historial de navegación, ni caché persistente, ni cookies más allá de la sesión. Cuando cierras todas las pestañas o sales del navegador, esa información desaparece. Aun así, es buena idea acostumbrarse a cerrar el navegador con cierta frecuencia para evitar sesiones muy largas con muchos sitios mezclados.
El apartado de permisos es otro punto delicado. Los sitios pueden pedirte acceso a ubicación, cámara, micrófono o almacenamiento. Cada vez que veas una solicitud de este estilo en Tor Browser, asume que es mala idea decir que sí, salvo casos muy concretos y sabiendo muy bien lo que haces. Permitir que una web acceda a tu posición GPS o a tu cámara mientras navegas con Tor destruye el anonimato en un segundo.
Sobre extensiones y plugins, la recomendación es tajante: no instales nada que no venga ya integrado por el propio proyecto Tor. La gracia de Tor Browser es que todos los usuarios se parecen mucho entre sí, lo que dificulta el fingerprinting. Si empiezas a meter extensiones personalizadas, cambias fuentes, añades bloqueadores externos, etc., te conviertes en un usuario más “único” y mucho más fácil de rastrear.
Configuración avanzada de red: proxies, puentes y firewalls
Además de activar puentes, Tor Browser permite pasar por un proxy si tu red corporativa o universitaria lo exige. En Android suele ser más limpio gestionarlo desde el propio sistema o desde Orbot, que puede actuar como proxy local o como VPN para todas las apps que tú decidas.
Si configuras un proxy dentro de Tor Browser, ten claro que ese proxy verá tu IP real y sabrá que después te estás conectando a Tor. En muchos casos es mejor opción usar directamente una VPN de confianza a nivel de sistema y luego ejecutar Tor Browser encima, en lugar de encadenar proxies que añaden puntos débiles.
En redes con firewalls muy estrictos (por ejemplo, solo dejan salir tráfico por los puertos típicos 80 y 443), puede que necesites ajustar los puertos de salida en Orbot o en la configuración avanzada de Tor. Es un proceso de prueba y error: eliges un puerto permitido, configuras Tor para usarlo y verificas si conectas sin levantar sospechas.
Orbot: torificar el tráfico de otras apps en Android
Tor Browser solo cubre lo que pasa por ese navegador. Si quieres que otras aplicaciones (clientes de mensajería, navegadores alternativos, apps sensibles) pasen también por la red Tor, necesitas una pieza como Orbot, que actúa como proxy/VPN local.
Una vez instalado y abierto Orbot, verás una interfaz sencilla con un botón grande para iniciar la conexión. El modo clave es “VPN Mode”. Cuando activas el modo VPN, Orbot puede desviar el tráfico de las apps que tú selecciones a través de Tor, como si fuera una VPN normal, pero utilizando la red onion por debajo.
En la configuración de Orbot encontrarás la opción de “Seleccionar apps”. Ahí puedes marcar una por una las aplicaciones que quieres torificar. Lo razonable es elegir solo las que tengan sentido en Tor: por ejemplo, un navegador secundario de uso puntual, alguna app de mensajería que necesites ocultar a tu operador, o herramientas que manejen datos especialmente delicados. No tiene mucha lógica meter ahí apps de mapas, juegos en tiempo real o servicios que dependen de tu localización exacta.
Cuando tengas tu lista de apps elegida, pulsa el botón de encendido de Orbot y espera a que la cebolla cambie de color indicando que se ha conectado. Para comprobar que de verdad tu tráfico va por Tor, abre una de las apps torificadas y visita https://check.torproject.org desde su navegador interno o externo; si todo está bien, la página te dirá que estás navegando a través de la red Tor.
Orbot: arranque automático, proxies transparentes y limitaciones
Por defecto, según la versión, Orbot puede estar configurado para iniciarse con el sistema. Si no quieres que Tor se active cada vez que enciendas el móvil, ve a los ajustes de Orbot y desmarca la opción de arranque automático; así controlas cuándo usas Tor y cuándo no, y evitas que ciertas apps se encuentren de golpe con una conexión torificada sin que lo esperes.
En algunos dispositivos, Orbot permite el llamado proxy transparente: redirige el tráfico de todo el sistema o de parte de él a través de Tor sin tener que configurar cada app por separado. Es una función muy potente, pero también muy delicada: puedes torificar servicios que no quieres ralentizar o que se rompen, y pierdes flexibilidad para sacar ciertas apps fuera de Tor cuando lo necesites.
Además, aunque Orbot redirija mucho tráfico, hay que ser realista: no todas las apps de Android están pensadas para funcionar bien detrás de Tor. Algunas detectan IPs sospechosas y te bloquean, otras se niegan a funcionar sin servicios de Google completamente operativos, y muchas siguen filtrando información sensible por canales que Tor no controla (notificaciones push, sincronizaciones internas, conexiones directas a proveedores externos, etc.).
Buenas prácticas de anonimato: errores habituales que debes evitar
La parte técnica es solo la mitad de la película. La otra mitad eres tú y tus decisiones. Si en un formulario web rellenas tu nombre real, tu correo principal, tu dirección y tu teléfono, ese sitio ya no necesita tu IP para saber quién eres, por muy bien que tengas configurado Tor.
Para registros puntuales, usa cuentas de correo desechables o específicas para Tor, sin datos personales. Evita iniciar sesión con tus perfiles habituales de Google, Facebook, Twitter, bancos, tiendas online, etc. desde Tor, especialmente si en esos servicios ya está asociada tu identidad real, tus contactos o tu tarjeta de crédito.
Otro clásico peligroso es el uso de BitTorrent u otras formas de P2P a través de Tor. La mayoría de clientes torrent ignoran proxies, filtran tu IP real en las peticiones al tracker y saturan la red Tor, empeorando el servicio para todos y dejándote totalmente expuesto. El propio proyecto Tor lo deja claro: no uses torrent sobre Tor, ni en Android ni en ninguna plataforma.
Especial cuidado con los documentos descargados: PDFs, DOC, etc. Estos archivos pueden contener recursos remotos (imágenes, fuentes, scripts) que tu visor descargará fuera de Tor si lo tienes configurado así, revelando tu IP real. La opción más segura es abrir este tipo de ficheros en un equipo desconectado o, como mínimo, pasarlos por herramientas que los conviertan a una versión “plana” sin elementos activos antes de abrirlos.
Tor y HTTPS: rol de los nodos de salida y cifrado extremo a extremo
La red Tor cifra tus datos desde el cliente hasta el último nodo de salida, pero desde ese nodo de salida hasta el servidor de destino, la seguridad depende del propio sitio web. Si la web solo ofrece HTTP, el nodo de salida puede leer y modificar ese tráfico sin problema.
Por eso Tor Browser incluye modo “solo HTTPS” y fuerza el cifrado siempre que el sitio lo soporte. Aun así, debes mirar la barra de direcciones y confirmar que ves https:// y el candado correcto (o el icono de la cebolla en algunos casos) antes de introducir contraseñas o datos sensibles. Si una página importante no tiene HTTPS, plantéate seriamente si merece la pena usarla siquiera con Tor.
En Android la lógica es la misma que en escritorio: la combinación Tor + HTTPS protege tanto frente al proveedor como frente a nodos de salida maliciosos. Sin HTTPS en el tramo final, Tor te sigue ayudando a ocultar tu IP y tu localización, pero no evita que el contenido viaje en claro desde el nodo de salida hasta el servidor.
Tor y VPN en Android: Tor sobre VPN vs VPN sobre Tor
Tor y las VPN se parecen en que usan cifrado y saltos intermedios, pero no buscan exactamente lo mismo. El visualizador prioriza el anonimato y la descentralización, una VPN se centra más en la privacidad frente al proveedor y en el cambio de ubicación geográfica. Combinarlas puede tener mucho sentido en Android si se hace con cabeza.
La configuración más recomendable para la mayoría de usuarios es “Tor sobre VPN”: primero te conectas a tu VPN desde el móvil, y después abres Tor Browser (y/o activas Orbot). De esta forma, tu ISP solo ve un túnel cifrado hacía la VPN y no puede detectar que dentro va tráfico Tor. La VPN ve que te conectas a la red Tor, pero el contenido ya va cifrado por Tor y, si es una VPN seria sin registros, no debería ser un problema.
La alternativa “VPN sobre Tor” (es decir, conectarte primero a Tor y luego crear un túnel VPN desde dentro de Tor hacia Internet) es mucho más compleja de configurar, necesita soporte específico del proveedor de VPN y, en móviles, tiene muy poco sentido práctico. Además, rompe algunas propiedades de Tor, dificulta el acceso a .onion y no aporta ventajas claras al usuario medio.
Cuando elijas VPN, recuerda que no todas juegan limpio. Hay casos documentados de proveedores que han dado registros detallados a la policía pese a venderse como “no logs”. Si tu prioridad es la privacidad, busca cifrado fuerte, política real de cero registros, jurisdicciones razonables y, si puedes, métodos de pago menos vinculantes (criptomonedas, tarjetas regalo, correos anónimos…).
Limitaciones reales de Tor en Android y modelo de amenaza
Para no engañarse, hay que tener claras las limitaciones. Tor es más lento que una conexión directa, y en móvil lo vas a notar todavía más, sobre todo si tu cobertura no es muy buena o si usas puentes ofuscados. Streaming en alta calidad, videollamadas o juegos en tiempo real no son el escenario natural de Tor.
Además, el simple hecho de usar Tor puede ser visible, incluso con puentes. Un operador o administrador de red con ganas de investigar puede detectar patrones de tráfico característicos de Tor aunque no vea el contenido. En países democráticos esto suele ser un problema más político que legal, pero en entornos represivos puede tener consecuencias, de ahí la importancia de calibrar bien tu modelo de amenaza.
Por último, Tor no está diseñado para defenderte de un adversario global capaz de observar gran parte del tráfico de Internet al mismo tiempo. Para la inmensa mayoría de usuarios esto es un escenario de ciencia ficción, pero si tu perfil entra en ese tipo de riesgo extremo, tendrás que combinar Tor con medidas mucho más drásticas a nivel operativo y físico.
Explorar la red Onion desde Android: sitios relativamente seguros y buscadores
Una vez que tienes Tor Browser bien configurado y Orbot a tu gusto, llega el momento de ver qué hay ahí fuera. La característica clave de la deep web y, en particular, de la red onion, es que los sitios no están indexados por buscadores tradicionales. No esperes un “Google de .onion” perfecto, porque no existe.
Lo habitual es empezar por índices y directorios. Hay proyectos veteranos como Hidden Wiki, que actúa como índice de servicios .onion agrupados por categorías. Es útil para orientarse, pero hay que usarlo con pinzas: mezcla enlaces legítimos con sitios delictivos, estafas y páginas llenas de malware. Onion List y otros listados cumplen una función similar, con el mismo problema de fondo.
También tienes buscadores específicos de onion como Torch o Not Evil, que presumen de tener cientos de miles o millones de servicios indexados. De nuevo, devuelven de todo: contenido inofensivo, técnicos, recursos de privacidad… y bastante basura. La regla de oro es no pinchar alegremente en cualquier enlace que suene exótico sin un mínimo de criterio.
Más allá de esos índices genéricos, hay servicios .onion pensados precisamente para mejorar la privacidad de usuarios corrientes: Proton Mail y otros proveedores de correo cifrado con versión onion, Tor Metrics con estadísticas y métricas de la propia red, mirrors onion de medios de comunicación, organizaciones de derechos humanos o incluso alguna gran plataforma con puerta de acceso anónima.
Existen también foros en español en la red Tor, que funcionan como puntos de encuentro e intercambio de información. Son lugares donde puedes encontrar guías, opiniones y recursos, pero también discusiones que se mueven en la línea roja de lo legal. Aplicar sentido común aquí es vital: si ves algo claramente delictivo, lo más inteligente es apartarte.
Usar Tor Browser y Orbot en Android puede darte un nivel de privacidad muy superior al de la navegación normal, pero solo si combinas bien la parte técnica con hábitos sensatos: descargar siempre desde fuentes oficiales, ajustar el nivel de seguridad según el contexto, torificar solo las apps necesarias, evitar torrents y documentos sospechosos, vigilar qué información personal das y, si tiene sentido en tu caso, apoyar todo esto con una VPN fiable; de ese modo Tor deja de ser una curiosidad “de hackers” y se convierte en una herramienta práctica para proteger tu vida digital cotidiana sin perder el control de tu identidad. Comparte este tutorial y más personas sabran del tema.