Portmaster: firewall y privacidad en Windows 11. Vete de veraneo con seguridad

 

“Lo que se explota no son los datos, sino las personas”. – Edward Snowden

 

 

Portmaster es un cortafuegos de aplicación libre y de código abierto (desarrollado por Safing en la UE) que ofrece control total sobre todas las conexiones del PC. Permite monitorear el tráfico de red, bloquear anuncios, rastreadores y malware mediante listas integradas, y aplicar reglas globales o por aplicación. Incluye DNS seguro (DoH/DoT) por defecto para cifrar las consultas DNS (el directorio de internet), y opcionalmente un servicio VPN multi-salto (SPN) para ocultar la ubicación (al estilo de Tor del que ya hablé antes). Con una interfaz clara y widgets intuitivos, Portmaster muestra en tiempo real las conexiones activas (entrantes y salientes) por aplicación, dominio, dirección IP y país, permitiendo bloquearlas con un clic. Portmaster ofrece una interfaz gráfica organizada. En la figura se ve la pestaña “Network Activity”, que lista las conexiones recientes de cada aplicación (con indicadores de ubicación y acción aplicada).

 

El usuario puede filtrar por dominio, país o app, y bloquear conexiones no deseadas al vuelo.

 

Funcionamiento interno y bloqueos

 

En Windows, Portmaster instala un driver en modo kernel (utilizando la Windows Filtering Platform) que intercepta todos los paquetes a nivel IP.

 

 

El proceso es:

 

1) al llegar un paquete, el driver comprueba un caché de veredictos previos,

 

2) si no existe un veredicto conocido, envía el paquete al servicio Portmaster en modo usuario,

 

3) la aplicación inspecciona el paquete (cabeceras y, opcionalmente, contenidos) y decide «permitir» o «bloquear» la conexión,

 

4) establece el veredicto, y el driver aplica la acción al paquete interceptado.

 

Este diseño (modo kernel + caché de decisiones) permite alto rendimiento: la mayoría de paquetes se filtran directamente en el driver, y solo las nuevas conexiones requieren que la UI tome una decisión. Para las consultas DNS en Windows (gestionadas por el servicio “Cliente DNS”), Portmaster no altera directamente el servicio de sistema, sino que registra las IP resultantes de cada consulta DNS y las asocia con la conexión real cuando esta se iniciado. Así, puede relacionar dominios con procesos, aunque esto a veces produzca asignaciones inexactas (por ejemplo, si dos aplicaciones resuelven dominios diferentes hacia la misma IP). Portmaster planea en futuras versiones inspeccionar datos de capa superior (cabeceras HTTP/TLS) para mejorar esa identificación. Mientras tanto, todas las peticiones DNS se envían cifradas por defecto (DoT/DoH), evitando fugas de DNS en redes inseguras o públicas. Portmaster mantiene listas actualizadas de bloqueo: por defecto ya bloquea miles de dominios de anuncios, rastreadores y malware.

 

El usuario puede activar categorías predefinidas (malware, publicidad, trackers, NSFW, etc.) o añadir reglas propias (filtrar puertos, protocolos o bloquear conexiones a ciertos países). La combinación de reglas globales y por aplicación permite, por ejemplo, cortar por completo el acceso a Internet de una app, bloquear sólo tráfico P2P, o permitir conexiones sólo a dominios explícitos.

 

Portmaster intercepta cada paquete, permite un análisis profundo por aplicación/dominio, y aplica automáticamente listas inteligentes para cerrar cualquier filtración de datos no deseadas.

 

Instalación y configuración segura en Windows 11

 

Descargar e instalar: Vaya al sitio oficial de Portmaster y descargue el instalador de Windows (64-bit).

 

En powershell

 

winget install -i portmaster

 

Durante la instalación, conceda los permisos de sistema (drivers) que solicite. El instalador ubicará Portmaster en C:\ProgramData\Safing\Portmaster, creará accesos en el menú Inicio y registrará un servicio de sistema (PortmasterCore que arranca con Windows).

 

Primer arranque y permisos: Al iniciar Portmaster por primera vez aparecerá un asistente de configuración. Se le puede indicar que se ejecute siempre con privilegios de administrador para permitir el filtrado en todo el sistema. Se recomienda mantener activo el Cortafuegos de Windows Defender. Tal como advierte Microsoft, desactivar el firewall integrado puede volver el equipo más vulnerable, y el equipo de Safing aclara que Portmaster cubre privacidad (DNS, trackers) pero no sustituye la protección de malware del firewall clásico. Por ello, es ideal dejar Windows Defender Firewall activo en redes públicas.

 

Configurar DNS seguro: En la pestaña de Global Settings (Ajustes globales), active un servidor DNS cifrado. Por ejemplo, seleccione Cloudflare 1.1.1.1 vía DNS-over-TLS o bien DNS-over-HTTPS. Portmaster permite añadir manualmente servidores DoT/DoH. Esto asegurará que todas las consultas de nombres viajen cifradas, impidiendo que un atacante en la red pública las espíe o manipule. (En versiones recientes el servicio DNS de Windows permanece activo por compatibilidad, pero Portmaster encripta las peticiones a los servidores configurados.)

 

Ajustes de bloqueo global: Elija la política por defecto (Allow/Deny) para conexiones nuevas. Para máxima seguridad en teletrabajo, es recomendable empezar con “Default: Deny” o Paranoid Mode, de modo que cada app solicite permiso la primera vez. Habilite las categorías de bloqueo de trackers, malware y anuncios que necesite. Revise especialmente la opción “Block Secure DNS Bypassing” para evitar fugas si algún programa no usa el DNS del sistema. (Estas opciones avanzadas están explicadas en la documentación).

 

Reglas por aplicación: En la vista App Rules, compruebe que las aplicaciones críticas (p.ej. el cliente VPN corporativo, navegadores) tengan permiso de salida permitido y correcto. Para apps sospechosas o no esenciales puede activar el bloqueo total. Portmaster lista de forma clara todas las aplicaciones que han intentado conectarse; desde allí puede revocar o conceder conexiones fácilmente con un interruptor. Por ejemplo, deshabilite el tráfico p2p para clientes Torrent, o bloquee completamente apps de alto riesgo.

 

Prueba de funcionamiento: Una vez configurado, compruebe en Network Activity que las conexiones deseadas se muestran como “Allowed” y las no deseadas como “Blocked”. Cada evento suele notificarse (incluso en el Centro de Notificaciones de Windows) para que el usuario sea consciente de una nueva conexión.

 

En Global Settings se configuran los DNS seguros y la acción de red predeterminada. Como se ve en la imagen, Portmaster permite introducir direcciones DoH/DoT (por ejemplo cloudflare-dns.com) para encriptar todas las solicitudes DNS. También aquí se elige si dejar tráfico entrante o saliente por defecto, y se pueden activar notificaciones u otros filtros de privacidad. Estas opciones facilitan que el equipo no filtre información sensible en redes públicas.

 

Por qué usar Portmaster en teletrabajo

 

Cuando los ejecutivos o empleados se conectan desde cafeterías, aeropuertos u otros puntos de acceso públicos, la seguridad de la red compartida es baja: los atacantes pueden realizar man-in-the-middle, robar credenciales o inyectar malware. Además, cualquier consulta DNS u otro dato de navegación puede ser capturado. Portmaster aborda estos riesgos de varias maneras:

 

Cifrado DNS: Evita que se filtre qué sitios web visita el usuario al asegurarse de que las consultas DNS viajen cifradas (DoH/DoT). Así, un atacante local no puede espiar ni redirigir las peticiones de nombres.

 

Bloqueo de trackers y malware: Al incluir listas automáticas de bloqueo de dominios maliciosos, impide que los dispositivos se comuniquen con servidores conocidos de malware o espionaje. Esto protege la información corporativa (por ejemplo, contactos, correos, datos confidenciales) de ser enviada a redes externas.

 

Reglas estrictas por app: En una red pública, conviene restringir cada aplicación a lo mínimo necesario. Portmaster permite prohibir de golpe, por ejemplo, cualquier tráfico saliente de apps no autorizadas. De ese modo se controla mejor las fugas de datos. Aislamiento de red local: Si el Wi-Fi es inseguro, Portmaster puede bloquear conexiones entrantes desde otros dispositivos locales desconocidos. También puede desactivar protocolos como SMB/AppleTalk en redes públicas, reduciendo el riesgo de ataques de red vecina.

 

Complemento del VPN: Aunque Portmaster incluye su SPN (VPN propio) opcional, puede usarse junto con la VPN corporativa. Actúa como un kill switch inteligente: si se pierde la VPN, bloquea el tráfico hasta que se restablezca, impidiendo fugas.

 

Portmaster añade una capa de privacidad adicional muy útil al teletrabajo: cifra DNS, bloquea “telemetría” y conexiones inesperadas, y muestra al usuario exactamente qué comunica su PC. Esto complementa la seguridad de Windows y de la VPN corporativa, mitigando peligros específicos de redes públicas.

 

Comparativa con otras soluciones

 

GlassWire: Es un monitor de tráfico gráfico (propietario) para Windows. Tiene un diseño atractivo y funcionalidades útiles (alerta de “evil twin”, detección de nuevos dispositivos en la red, historial de uso, etc.), pero no bloquea automáticamente trackers ni publicidad. Se enfoca en visualizar conexiones y generar alertas. Su versión básica es gratuita, pero las funciones avanzadas requieren licencia. A diferencia de Portmaster, GlassWire no incluye DNS cifrado integrado, ni reglas preconfiguradas de bloqueo; el usuario debe crearlas manualmente. GlassWire está disponible solo en Windows/Android, y su código cerrado limita la transparencia. Para un usuario general ofrece una interfaz cómoda y datos visuales, pero requiere esfuerzo para personalizar la protección. Técnicamente, GlassWire usa WFP en modo usuario, sin filtros de dominio prefabricados, por lo que un administrador debe actualizar listas o reglas continuamente para bloquear eficazmente amenazas.

 

SimpleWall: Es un cortafuegos gratuito y de código abierto basado también en WFP. Su interfaz es muy simple: muestra notificaciones para cada intento de conexión nueva de una aplicación, pidiendo permitir o denegar. Esto es útil para usuarios que quieren aprobar todo por separado, pero al principio genera muchos pop-ups. SimpleWall filtra únicamente por aplicación o dirección IP; no tiene un motor de filtrado de nombres de dominio ni listas automáticas.

 

En la comparación oficial se destaca que Portmaster puede filtrar por dominio, lo que facilita bloquear grandes redes (CDNs, IPs dinámicas) que SimpleWall tendría que manejar manualmente por IP. Para un usuario no técnico, SimpleWall puede resultar “demasiado rígido” hasta aprender a configurarlo, pues la primera vez todo queda bloqueado por defecto. Técnicamente es ligero y efectivo para reglas básicas, pero carece de funciones avanzadas de privacidad: no cifrados DNS ni actualizaciones automáticas de listas. En la práctica, Portmaster ofrece un balance mejor entre usabilidad y privacidad gracias a su interfaz más rica y filtros integrados, mientras que SimpleWall exige mucha intervención del usuario.

 

Windows Defender Firewall con reglas avanzadas: Es el firewall integrado en Windows 11. Para un usuario general tiene la ventaja de ser gratuito y estar activo por defecto en cada red. En la vista principal sólo hay un interruptor (activar/desactivar) y una lista de apps permitidas o bloqueadas. Para configuraciones complejas, Windows incluye un “Firewall con seguridad avanzada” donde se pueden crear reglas de puerto, programa o protocolo detalladas. Sin embargo, la documentación de Microsoft advierte que esto requiere conocimientos técnicos: “la mayoría de la gente no querrá hurgar en él; añadir o cambiar reglas incorrectamente puede dejar el sistema más vulnerable o hacer que algunas aplicaciones dejen de funcionar”. Defender Firewall no ofrece filtrado por dominio ni listados de trackers; todo se hace por IP, puerto o programa. Tampoco tiene un panel central de monitoreo de tráfico activo. Es robusto y fuertemente integrado con Windows, pero carece de la interfaz amigable y de las funciones de privacidad automatizadas que aportan herramientas como Portmaster.

 

Firewalls corporativos/UTM (Unified Threat Management): Se refiere a dispositivos o software integrales en redes de empresa (p.ej. FortiGate, Sophos, pfSense con módulos). Una UTM combina firewall, antivirus, IDS/IPS, VPN y más en un solo equipo de red. Para entornos corporativos ofrece protección completa –desde análisis profundo de paquetes hasta filtrado de contenido y VPNs corporativas– pero requiere administración especializada, licencias y suele usarse a nivel de red (no en cada PC). No es una solución que instale el usuario en su laptop, sino que opera en la puerta de enlace de la compañía. Sus ventajas técnicas incluyen detección de amenazas avanzada y flexibilidad total, pero su complejidad, costo y necesidad de hardware la hacen inadecuada para un usuario individual. En cambio, Portmaster actúa localmente en el equipo del usuario, sin coste (aparte de su opción VPN de pago) y con enfoque personalizado.

 

Ventajas e inconvenientes (resumen)

 

 

Cada solución tiene un perfil distinto. En general, Portmaster destaca por ofrecer sin coste un equilibrio entre privacidad y usabilidad (bloqueos automáticos, DNS cifrado, reglas por app). GlassWire y SimpleWall son alternativas gratuitas de monitoreo/bloqueo, pero no brindan filtros de dominio ni cifrado DNS integrados, lo que deja al usuario con más trabajo. Por su parte, los firewalls corporativos (UTM) y el Windows Defender integrado son más rígidos o complejos para un usuario individual: las UTM requieren administración y Defender no ofrece funciones “de privacidad” fuera de su gestión básica de reglas.

 

Enlaces útiles:

• Portal oficial de Portmaster (Safing): safing.io/portmaster y documentación detallada.

 

• Github de portmaster https://github.com/safing/portmaster

 

• Artículo de Kaspersky sobre redes wifi https://latam.kaspersky.com/resource-center/preemptive-safety/public-wifi-risks

 

Linkedin: Aquilino García