¿Harto de los anuncios pegajosos y de que tu móvil se conecte a todo sin pedir permiso? Si usas Android y no quieres meterte en líos de root, NetGuard es una de las pocas herramientas que te permiten poner orden en todo el tráfico de red de tus apps sin complicarte la vida. Básicamente, coloca un cortafuegos en tu teléfono que bloquea conexiones y publicidad, pero sin tocar el sistema ni romper la garantía.
Gracias a un sistema muy bien pensado, NetGuard funciona como una especie de “modo avión selectivo por aplicación”: puedes dejar sin Internet solo a las apps que quieras, decidir cuáles usan datos móviles y cuáles solo Wi‑Fi, limitar el tráfico en segundo plano y, de paso, ahorrar batería y datos. Todo esto usando una VPN local que no envía tu información a ningún servidor externo y con una app de código abierto que puede auditar cualquiera con conocimientos técnicos.
¿Qué es NetGuard y qué le hace diferente de otros firewall en Android?
NetGuard es un cortafuegos para Android que no necesita permisos root y que basa toda su magia en la API de VPN que Google introdujo a partir de Android 5.0 Lollipop. En lugar de engancharse al sistema a bajo nivel como hacen los firewall clásicos con root, NetGuard crea una conexión VPN local y redirige absolutamente todo el tráfico del dispositivo a través de ella.
Ese “túnel” VPN no sale a Internet ni pasa por servidores de terceros: el servidor VPN reside dentro del propio teléfono. Ahí es donde NetGuard decide, en función de las reglas que hayas definido, si una conexión sale o no sale. En la práctica actúa como un filtro entre tus aplicaciones y la red, pero sin sacar datos fuera del dispositivo, lo cual reduce bastante las preocupaciones de privacidad.
Otra diferencia importante respecto a otros bloqueadores es cómo se presenta en Google Play. La versión de la Play Store aparece como un firewall clásico, pensado para controlar el acceso de cada aplicación a Internet, no como un bloqueador de anuncios. A Google no le entusiasma que la función principal de una app sea quitar publicidad, así que esa edición oficial no incluye de serie listas de dominios publicitarios.
Si quieres usar NetGuard también como bloqueador de anuncios a nivel de sistema, el desarrollador ofrece una compilación alternativa en GitHub. Es el mismo proyecto open source, pero con opciones adicionales para cargar archivos hosts y filtrar dominios, lo que permite frenar gran parte de la publicidad y el rastreo sin root y sin depender de un navegador concreto.
NetGuard en Google Play vs versión APK de GitHub
En Google Play tienes disponible NetGuard como un firewall sin adornos orientado al control de tráfico. Desde esta versión puedes permitir o denegar el acceso a Internet de cada app de forma independiente para Wi‑Fi y datos móviles. Con eso ya consigues una mejora enorme en privacidad, consumo de datos y batería, sin tocar nada relacionado con publicidad.
El inconveniente es que, por las políticas de la tienda, esta edición no permite cargar listas de bloqueo de dominios ni usar un archivo hosts personalizado para cortar anuncios. La app sigue siendo potentísima para vigilar quién se conecta y cuándo, pero no está pensada para “limpiar” banners y anuncios en todo el sistema de forma automática.
En GitHub, en cambio, el autor publica una versión de NetGuard que incluye soporte para trabajar con archivos hosts. Puedes descargar listas comunitarias de dominios publicitarios y maliciosos y dejar que la app las procese para bloquearlos. Esta edición es estable, está firmada por el propio desarrollador y la diferencia clave con la de Play Store es, precisamente, la gestión avanzada de dominios y alguna función extra para usuarios más exigentes.
Al ser un proyecto de código abierto y activamente mantenido, cualquiera puede revisar cómo funciona, comprobar que no se envía tráfico a servidores externos, ni hay telemetría intrusiva, y compilar la app por su cuenta si lo desea. Esa transparencia es especialmente valiosa en una herramienta que ve todo tu tráfico saliente.
Cómo funciona NetGuard por dentro: VPN local y filtrado de tráfico
Cuando activas el interruptor principal de NetGuard, Android muestra el típico aviso de VPN, porque la app crea una VPN local usando la API oficial VPNService. A partir de ese momento, todo el tráfico de red pasa por ese túnel virtual interno, donde el firewall decide qué se permite y qué no, y si las apps fallan con la VPN.
Cada intento de conexión de una app se evalúa según las reglas que hayas definido: por aplicación, por tipo de red, por dominio e incluso por dirección concreta. Para ti, el proceso es transparente: lo único que notas es que ciertas apps dejan de conectarse, que algunos anuncios desaparecen o que tu consumo de datos baja de golpe.
NetGuard requiere como mínimo Android 5.1 en adelante para funcionar de forma estable, ya que se apoya en las capacidades modernas de la API VPN (en algunas descripciones se menciona 5.0, pero el soporte real y pulido está a partir de 5.1). Soporta tráfico IPv4 e IPv6, tanto TCP como UDP, y es compatible con tethering, es decir, puede seguir funcionando como firewall incluso cuando compartes Internet desde tu móvil.
La pantalla principal de NetGuard muestra un listado con todas las aplicaciones instaladas en el dispositivo, junto con iconos para indicar si tienen permiso de acceso a Internet por Wi‑Fi y por datos móviles. Desde ahí puedes activar o desactivar rápidamente las conexiones de cada app, usarlo como un “modo solo Wi‑Fi” para las más tragonas o dejar sin red aquellas que solo necesitas offline.
Bloquear publicidad con NetGuard sin root
Una de las funciones estrella de NetGuard es su capacidad para reducir drásticamente los anuncios en Android sin root. En ordenadores llevamos años usando bloqueadores a nivel de navegador o de sistema, pero en móviles siempre ha sido más complicado, sobre todo si no quieres modificar el sistema con privilegios de superusuario.
Tradicionalmente, si querías librarte de la publicidad en apps y navegadores de Android tenías que usar navegadores con bloqueador integrado o soluciones basadas en root que modificaran el archivo hosts del sistema o inyectaran reglas de filtrado. NetGuard le da la vuelta al problema: aprovecha su propia VPN local y un archivo hosts gestionado desde la app para bloquear dominios de anuncios y rastreadores, sin tocar nada del sistema operativo.
Uso del archivo hosts para bloquear dominios de anuncios y rastreadores
El archivo hosts es un recurso clásico de cualquier sistema operativo que permite forzar la resolución de ciertos nombres de dominio, redirigiéndolos a una IP concreta o anulándolos, una técnica que también se usa para bloquear páginas web en Android. Utilizando este mecanismo, se puede hacer que cualquier petición a dominios de publicidad termine en “ninguna parte”, de forma que los banners o scripts de seguimiento nunca llegan a cargarse.
NetGuard no trae una lista de bloqueo precargada por defecto, así que toca descargar o importar tu propio archivo hosts. En la configuración avanzada, dentro del apartado de copia de seguridad y ajustes avanzados, encontrarás opciones para gestionar estos archivos. Normalmente verás algo como “Import hosts file” para cargar un archivo que ya tengas, o “Download hosts file” para que NetGuard descargue una lista mantenida por la comunidad.
Si optas por la descarga automática, la app suele recurrir a listas públicas de dominios conocidos por servir anuncios molestos o contenido malicioso. Nada te impide abrir ese archivo con un editor de texto y revisar línea a línea lo que se está bloqueando, lo cual da bastante tranquilidad si te preocupan falsos positivos.
Activar el filtrado de dominios en NetGuard
Descargar el archivo hosts no es suficiente: hay que decirle explícitamente a NetGuard que empiece a bloquear nombres de dominio. Para ello, en los ajustes hay que asegurarse primero de que el filtrado general de tráfico está activado (si has encendido el firewall, normalmente ya lo estará).
Después, debes marcar la opción equivalente a “Block domain names” o bloqueo de nombres de dominio. Al hacerlo, NetGuard comenzará a procesar el archivo hosts cargado y a devolver errores de resolución para los dominios listados, como si no existieran. El efecto práctico es que muchas apps y webs dejan de mostrar banners y elementos patrocinados, sustituyéndolos por huecos vacíos o errores de carga.
No es un sistema perfecto al milímetro, porque algunos servicios legítimos comparten dominios o subdominios con redes de anuncios, pero la reducción global de publicidad suele ser enorme. Además, todo esto ocurre de forma global, no solo dentro del navegador, así que también notarás cambios en juegos y aplicaciones que abusaban de banners y pantallas intermedias.
Ventajas y limitaciones reales de usar NetGuard
Poder usar un firewall con bloqueo de anuncios sin root es una ventaja enorme para usuarios que quieren más control sin complicarse la vida, pero conviene ir con las expectativas correctas para no llevarse sustos. Lo bueno es potente, pero tiene su letra pequeña.
Por un lado, la experiencia de uso puede no ser tan inmediata como la de no tener nada activado. Cada vez que reinicias el teléfono o desactivas NetGuard, hay que volver a levantar la VPN local y esperar unos segundos a que Android la acepte. No es dramático, pero si eres de los que apaga y enciende el firewall todo el rato, se puede hacer algo pesado.
Con una configuración muy agresiva de bloqueo por dominios, NetGuard tiende a barrer bastante a lo bruto: muchas webs cargadas de scripts dependen de recursos que comparten infraestructura con redes publicitarias, así que es fácil que alguna parte legítima de una página deje de funcionar o salga rara. No suele ser algo grave, pero sí te encontrarás con imágenes que no cargan o elementos rotos en sitios muy recargados.
Por todo esto, mucha gente termina usando NetGuard de forma más táctica y flexible: lo mantienen siempre como firewall básico para controlar qué apps tienen internet y, cuando saben que van a entrar en webs especialmente sucias de anuncios, o a usar juegos llenos de banners, activan el bloqueo de dominios más agresivo. Así minimizan molestias y aprovechan lo mejor de ambas cosas.
NetGuard como firewall completo: control app por app, Wi‑Fi y datos
Más allá de la publicidad, NetGuard brilla como cortafuegos general para controlar el acceso a la red de cada aplicación. Desde la lista principal puedes decidir, para cada app, si puede usar Wi‑Fi, datos móviles o quedarse completamente aislada, lo que te da un nivel de control muy por encima de las opciones nativas de Android.
Esta capacidad te permite recortar al mínimo las conexiones en segundo plano de apps que no necesitas siempre en línea y restringir uso de datos. Por ejemplo, puedes impedir que juegos gratuitos llenos de trackers se conecten fuera de casa, bloquear el acceso a apps de notas, calculadoras o herramientas que funcionan perfectamente offline o limitar redes sociales a Wi‑Fi para que no devoren tu tarifa.
En las opciones avanzadas, NetGuard incluye ajustes para forzar bloqueos en situaciones especiales: cuando la pantalla está apagada, cuando estás en roaming internacional o tras pasar cierto tiempo desde el último uso del dispositivo. Son funciones muy útiles para apurar batería y datos, y para evitar que tu móvil siga enviando información cuando tú ya no estás interactuando con él.
Funciones generales y Pro de NetGuard
A nivel base, NetGuard ofrece una batería de características que lo colocan entre los firewalls sin root más completos para Android. Es sencillo de usar, no requiere root, es 100 % open source, no incluye anuncios, no hace tracking ni analítica y está en desarrollo activo, con soporte para Android 5.1 y posteriores, IPv4/IPv6, TCP/UDP y tethering.
Entre las opciones estándar puedes permitir que ciertas apps solo tengan Internet con la pantalla encendida, bloquear el acceso en roaming, bloquear aplicaciones del sistema, recibir notificaciones cuando una app intenta acceder a la red y registrar el uso de la red por aplicación y por dirección. Todo ello envuelto en una interfaz de diseño Material, con tema claro y oscuro para adaptarse a tus gustos.
La versión Pro añade funciones para usuarios más avanzados: registro detallado de todo el tráfico saliente, búsqueda y filtrado de intentos de acceso, exportación de archivos PCAP para analizar el tráfico con herramientas externas, posibilidad de permitir o bloquear direcciones concretas por aplicación, notificaciones cuando se instala una app nueva con configuración directa desde la notificación, un gráfico de velocidad de red en la barra de estado y varios temas extra, tanto claros como oscuros.
Según su propio autor, no existe otro firewall sin root para Android que reúna todas estas funciones en una sola app. Además, si te gusta probar novedades, puedes apuntarte al programa de test en Google Play para recibir funciones antes de que lleguen a la versión estable.
Alternativas a NetGuard: otros firewall sin root y con root
Aunque NetGuard es de las soluciones sin root más potentes, no es la única app de firewall disponible para Android. Existen alternativas con distintos niveles de complejidad y enfoques, algunas también sin root y otras pensadas para dispositivos rooteados.
Entre las alternativas sin root, uno de los nombres clásicos es NoRoot Firewall, diseñado para usuarios que quieren controlar el acceso a Internet sin tocar el sistema. También usa una VPN local para filtrar conexiones, tiene una interfaz amigable y permite definir reglas específicas por app, incluso con filtros por dirección IP y notificaciones cuando algo intenta conectarse en segundo plano.
Otro conocido es NoRoot Data Firewall, que además de controlar permisos de red por app, registra y analiza el uso de datos de cada una, permite crear reglas por horario y te avisa cuando una aplicación empieza a usar Internet. También encontramos soluciones como MobiWol, LostNet NoRoot Firewall o CIA Firewall, que añaden gráficos, estadísticas de consumo, filtros de dominio y de IP y arranque automático al iniciar el dispositivo.
En el terreno con root, una de las referencias históricas es AFWall+. Esta herramienta trabaja directamente con iptables y el kernel de Linux, ofreciendo un control muy granular sobre interfaces, reglas complejas y escenarios avanzados. Es ideal si buscas algo parecido a un firewall de escritorio tipo OpenSnitch, aunque exige conocimientos técnicos y, por supuesto, tener el dispositivo rooteado.
Monitorización por dominio y control avanzado del tráfico
Muchos usuarios avanzados quieren algo más que bloquear apps completas: buscan ver a qué dominios se conecta cada aplicación y decidir, caso a caso, qué se permite. En escritorio, herramientas como OpenSnitch ofrecen este tipo de control casi en tiempo real, pero en Android el panorama es algo más limitado.
Aplicaciones como GlassWire en Android aportan cierta monitorización y bloqueo por dominio, sobre todo combinando listas de bloqueo y análisis del tráfico. NetGuard, AFWall+ y otros firewall pueden apoyarse en archivos hosts y listas de dominios, pero su interfaz se centra más en el control por app que en mostrar un flujo detallado y en vivo del tráfico como haría un sniffer completo.
En las ediciones más completas de NetGuard y con funciones Pro activadas, es posible bloquear direcciones individuales por aplicación y consultar información detallada del tráfico, pero sigue siendo un enfoque más simple que el de un firewall complejo de escritorio. AFWall+, en cambio, al operar con root y a bajo nivel, se presta mejor a configuraciones extremadamente precisas, a costa de una curva de aprendizaje mayor.
Compatibilidad de NetGuard con otras VPN: WireGuard, IKE y compañía
Un detalle clave que hay que tener clarísimo es que Android solo permite una VPN activa a la vez. Como NetGuard se basa en la API VPNService para crear su túnel local, esto significa que no puede convivir con una VPN externa tradicional tipo WireGuard, OpenVPN o una VPN corporativa IKE mientras está funcionando como firewall.
Si, por ejemplo, estás conectado a través de la app oficial de WireGuard, Android no dejará que NetGuard levante su propia VPN local. En la práctica, esto implica que no podrás usar NetGuard en modo cortafuegos basado en VPN a la vez que una VPN real de proveedor o de empresa. Toca elegir: o bien filtras con NetGuard, o bien usas la VPN externa y buscas reglas de firewall en el servidor o en otra capa.
Con el cliente VPN integrado de Android pasa exactamente lo mismo: solo una app puede usar VPNService simultáneamente. Si conectas un túnel corporativo con el cliente del sistema, NetGuard no podrá establecer su VPN interna y perderá su capacidad de filtrar todo el tráfico. En dispositivos rooteados, un firewall como AFWall+ no sufre esta limitación, ya que controla el tráfico a nivel de kernel y puede coexistir con VPNs sin problema.
NetGuard, privacidad y uso en ROMs centradas en seguridad
En entornos donde la privacidad es una prioridad absoluta, como dispositivos con ROMs endurecidas tipo GrapheneOS u otras variantes centradas en seguridad, el uso de firewalls basados en VPN como NetGuard se suele contemplar con cierta cautela. Al fin y al cabo, colocas una app en una posición desde la que puede ver y filtrar todo tu tráfico saliente, aunque sea localmente.
Que NetGuard sea open source y auditable ayuda mucho a generar confianza: cualquiera con conocimientos puede revisar su código, comprobar que no hay llamadas “a casa”, que no se cargan SDKs de tracking y que todo el filtrado ocurre en el propio dispositivo, y comparar con guías para hacer que Android sea más seguro. Si hubiera algún comportamiento extraño, la comunidad probablemente lo habría detectado ya.
La documentación de algunas ROMs de seguridad menciona NetGuard como opción adicional, pero no siempre como herramienta recomendada por defecto. Se suele recordar que añadir capas externas de firewall puede romper ciertas funciones de red, interferir con VPNs de trabajo o provocar comportamientos raros en apps corporativas.
Estas plataformas suelen preferir exprimir al máximo las mejoras nativas de Android en permisos de red, restricciones en segundo plano y perfiles de trabajo, antes que sugerir soluciones de terceros. Aun así, muchos usuarios instalan NetGuard como complemento, probando con calma qué se rompe y qué no en su configuración concreta.
Buenas prácticas para configurar un firewall Android con NetGuard
Al tratarse de una herramienta que controla todo el tráfico, conviene seguir unas cuantas buenas prácticas para no convertir tu móvil en un caos. El truco está en ir paso a paso y no bloquear todo de golpe sin saber qué estás tocando.
Lo más sensato es empezar con una configuración básica: instalar NetGuard desde una fuente fiable (Google Play si quieres la versión estándar, GitHub si necesitas las opciones extendidas), concederle los permisos necesarios, activar el cortafuegos y comprobar que la VPN local se establece sin problemas.
A partir de ahí, revisa la lista de apps y decide qué puede usar datos móviles, qué solo Wi‑Fi y qué no necesita Internet, y aprender a desactivar Internet móvil cuando convenga. Comienza con las aplicaciones menos críticas para evitar disgustos: juegos, utilidades secundarias, cosas que no dependan en tiempo real de la red. Verás rápidamente mejoras en autonomía y consumo de datos sin afectar a tu uso diario.
Cuando ya te sientas cómodo, puedes lanzarte a los ajustes avanzados: archivo hosts para bloqueo de dominios, límites en roaming, bloqueo cuando la pantalla está apagada, reglas especiales para apps que crees que envían datos de más, etc. Es buena idea revisar de vez en cuando la lista de apps permitidas y bloqueadas, porque tras una actualización o una instalación nueva es fácil que algo falle y no recuerdes que el responsable es el firewall.
Ultimas consideraciones
También conviene aprovechar el registro de conexiones y las notificaciones: ver qué apps intentan conectarse cuando tú no las estás usando puede darte pistas muy interesantes sobre qué deberías restringir, tanto por privacidad como por ahorro de recursos.
En conjunto, con una configuración sensata, algo de paciencia y apoyándote en las funciones de NetGuard (o en otros firewall similares cuando toque), es posible mantener un Android muchísimo más controlado: con menos anuncios, menos conexiones furtivas en segundo plano y un dominio bastante fino sobre qué hace realmente cada aplicación cada vez que se asoma a Internet. Comparte la guía y otros usuarios sabrán sobre el tema.