Si has buscado alguna vez una forma sencilla de controlar qué hace exactamente tu ordenador cuando se conecta a Internet, seguramente te habrás topado con el nombre Portmaster. Este proyecto se ha hecho muy popular entre quienes quieren cuidar su privacidad sin tener que pelearse con reglas de cortafuegos complicadas ni configuraciones interminables.

Portmaster es un firewall y suite de privacidad para Windows y Linux de escritorio, centrado en bloquear rastreadores, anuncios y malware a nivel de sistema. Aunque no es exactamente lo mismo, es una alternativa al Little Snitch recién llegado a Linux, aunque Portmaster es mucho más antiguo.

Qué es Portmaster

En el ámbito de la privacidad, Portmaster es una aplicación de código abierto que actúa como cortafuegos avanzado y gestor de conexiones para tu ordenador, con soporte tanto para Windows como para Linux. Su objetivo es que puedas ver, controlar y bloquear todo el tráfico de red que generan tus programas, tanto en segundo plano como en primer plano, sin depender únicamente de las opciones que ofrece el navegador o el sistema operativo.

Portmaster funciona como una suite de privacidad orientada al usuario de escritorio: ofrece monitorización en tiempo real, bloqueo automatizado de rastreadores y dominios maliciosos, reglas por aplicación y un sistema de resolución DNS seguro. Además, incorpora un servicio adicional llamado SPN (Safing Privacy Network), que es una red de privacidad propia pensada como punto intermedio entre un VPN clásico y la red Tor, con rutas cifradas por múltiples nodos.

Cómo se integra Portmaster en el sistema

Una de las claves de este proyecto es que no se limita a filtrar tráfico a nivel de navegador, sino que se engancha directamente a la pila de red del sistema operativo. En Linux utiliza nfqueue para interceptar paquetes al nivel de red más bajo, al igual que soluciones de firewall como OPNsense, mientras que en Windows se apoya en un controlador de kernel basado en la plataforma WFP (Windows Filtering Platform). Esto le permite ver cada paquete que entra o sale y decidir si lo deja pasar o lo bloquea.

Para poder asociar las conexiones a los programas correctos, Portmaster recurre a mecanismos específicos en cada sistema. En Linux tira de eBPF y de la información expuesta en /proc, identificando así qué proceso está detrás de cada conexión. En Windows, combina el uso del controlador del kernel con la API de ayuda IP (iphlpapi.dll) para mapear conexiones a aplicaciones concretas. De este modo sabe qué hace cada app o servicio, incluso cuando no aparece claramente a simple vista.

El servicio principal de Portmaster corre como servicio del sistema, con privilegios para controlar el tráfico global, mientras que la interfaz gráfica (la aplicación y el pequeño notificador) se ejecuta en el contexto del usuario. La interfaz usa todavía un wrapper basado en Electron, aunque los desarrolladores ya han comentado que su idea es cambiarlo a algo más ligero y nativo en el futuro, manteniendo la posibilidad de abrir la interfaz directamente en un navegador.

Control detallado por aplicación y soporte para casos especiales

Una de las mayores ventajas de Portmaster es que permite definir ajustes globales y también específicos por app. Esto significa que puedes establecer un comportamiento general para todo el sistema (por ejemplo, bloquear rastreadores y malware), y luego afinar reglas concretas para cada programa: qué dominios puede usar, a qué países puede conectarse, si se le permite tráfico entrante, si puede usar P2P, etc.

Además, los desarrolladores han puesto especial cuidado en soportar aplicaciones con rutas poco habituales o empaquetados especiales. En Linux da soporte a aplicaciones distribuidas como Snap, AppImage o scripts, que a menudo tienen rutas atípicas o ejecutables que no encajan con los patrones estándar. En Windows, Portmaster está preparado para tratar con aplicaciones de la Microsoft Store y con los servicios alojados en svchost.exe, que suelen concentrar muchos procesos del sistema y complicar identificar quién genera realmente cada conexión.

Toda la lógica de filtrado y decisión se ejecuta de forma totalmente local en tu dispositivo, con la única excepción del SPN, que naturalmente implica enrutar tráfico a través de nodos externos. Las actualizaciones del propio programa se descargan de forma automática y vienen firmadas, igual que las listas de bloqueo y los datos de inteligencia (como la información de geolocalización por IP) que se van incorporando al motor de filtrado.

Monitorización completa del tráfico y filtros inteligentes

Portmaster ofrece una vista muy detallada del tráfico, permitiéndote ver en tiempo real todas las conexiones y sus características. El sistema puede registrar en una base de datos local quién se conecta a dónde, qué dominios se resuelven, qué IPs se usan y cuántos datos se trafican, guardando un historial que luego se puede buscar y filtrar cuando quieras revisar actividad pasada.

Este historial permite consultar conexiones antiguas y eliminar registros bajo demanda, e incluso puedes configurar el sistema para que vaya borrando automáticamente los datos más antiguos según un criterio temporal. En la versión con funcionalidades avanzadas se añade además la posibilidad de analizar el uso de ancho de banda por aplicación y por conexión, lo que viene muy bien para identificar qué programas consumen más datos o si hay procesos ocultos que están generando tráfico excesivo.

Por otro lado, Portmaster integra listas de filtrado que bloquean dominios de publicidad, rastreo y malware de forma automática. A través de estas listas, y de reglas sencillas basadas en entidades de Internet (dominios, IP, países de destino, etc.), es posible crear políticas muy finas sin necesidad de escribir reglas complejas de firewall. El usuario puede permitir o bloquear tráfico en función de si el destino es la red local, la LAN, Internet, tráfico P2P o conexiones entrantes, con una interfaz bastante más intuitiva que las herramientas clásicas.

DNS seguro y protección frente a ataques de red

Otro punto clave de Portmaster es la gestión del DNS. El programa intercepta las consultas DNS que «se escapan» (las que no siguen la ruta estándar) y las redirige hacia su propio módulo de resolución, para asegurarse de que todo pase por los servidores configurados y no por resolvers no deseados. De esta manera, se logra una integración sin fisuras con el resto de la suite.

La resolución de nombres se realiza mediante DNS cifrado usando DoH (DNS over HTTPS) o DoT (DNS over TLS), según la configuración que elijas. Esto evita que terceros puedan espiar con facilidad las peticiones de dominios que haces. Además, Portmaster incorpora soporte completo para split-horizon DNS y validación de horizonte, técnicas que ayudan a defender el sistema frente a ataques como el DNS rebinding, en los que un atacante intenta engañar al navegador o a la aplicación para que acceda a direcciones internas haciéndolas pasar por dominios legítimos, algo que refuerza la necesidad de proteger sistemas donde Linux es cada vez más objetivo.

Gracias a todo ello, Portmaster se convierte en una capa de defensa adicional en la resolución de nombres de dominio, evitando que el sistema operativo o las aplicaciones se salten la configuración de privacidad y se conecten por caminos menos seguros o más fáciles de interceptar.

SPN: la red de privacidad entre VPN y Tor

Junto a las funciones de firewall y bloqueo de rastreadores, Portmaster ofrece un servicio adicional denominado SPN (Safing Privacy Network). Este componente está pensado como una solución intermedia entre un VPN tradicional y la red Tor, ofreciendo varias capas de cifrado y múltiples saltos, pero con un enfoque orientado a mantener velocidades más altas y un uso más práctico en el día a día.

El SPN utiliza cifrado en capas (onion encryption) a través de varios nodos, siguiendo una filosofía similar a la de Tor, de manera que ningún punto intermedio tenga una visión completa de origen y destino. Sin embargo, las rutas se eligen con la idea de maximizar la distancia dentro de la propia red para aumentar la privacidad, y los nodos de salida se sitúan cerca del servidor al que te quieres conectar. Esto provoca que muchos servicios queden desbloqueados geográficamente, ya que la salida aparece como si estuvieras cerca del destino, no de tu ubicación real.

Los usuarios pueden excluir aplicaciones o dominios concretos del uso de SPN, configurar algoritmos de enrutado y ajustar perfiles de prioridad por aplicación. Los nodos de la red los alojan tanto la empresa desarrolladora (Safing) como miembros de la comunidad, y las velocidades que se reportan suelen superar con relativa facilidad los 100 Mbit/s, lo que lo hace viable para streaming, descargas y uso intensivo de datos sin sacrificar demasiado rendimiento.

Para quien quiera profundizar en el diseño de este sistema, existe un whitepaper específico del SPN donde se detalla la arquitectura, los mecanismos de privacidad y las diferencias conceptuales frente a los VPN clásicos y frente a la red Tor.

Instalación y compilación del proyecto Portmaster

El método normal para la mayoría de usuarios consiste en descargar Portmaster desde la web oficial para Windows o Linux, e instalarlo como cualquier otro software. Sin embargo, también es posible compilarlo a partir del código fuente, algo que suele interesar especialmente a quien quiere auditar el software o integrarlo en distribuciones personalizadas.

Para compilar el proyecto siguiendo el flujo estándar, los desarrolladores recomiendan un proceso basado en Earthly y Docker. Los pasos habituales son instalar primero la CLI de Earthly, posteriormente instalar el motor de Docker Engine, y después ejecutar el comando earthly +release en el repositorio del proyecto. Cuando el proceso de build termina, los artefactos generados aparecen en el directorio ./dist, listos para usar o distribuir en entornos controlados.

Todo este ecosistema, al ser software libre, dispone de una wiki dedicada con detalles técnicos, guías paso a paso y documentación ampliada, donde se explican de forma más exhaustiva las opciones internas, las listas de bloqueo, la arquitectura interna y las distintas formas de despliegue.

Comunidad, soporte y experiencia de usuario

Portmaster cuenta con una comunidad involucrada que comparte soluciones, reglas y recomendaciones. Se publican listas de bloqueo, reglas optimizadas por aplicación y consejos para reforzar aún más la seguridad sin romper funcionalidades críticas.

La experiencia se ha diseñado para que los usuarios novatos dispongan de una configuración por defecto bastante sensata, que ya bloquea rastreadores y malware sin necesidad de toquetear nada. Los usuarios avanzados, en cambio, encuentran un abanico de opciones muy amplio para ajustar el comportamiento a su gusto, desde reglas detalladas por servicio hasta combinaciones de SPN, DNS seguro y restricciones por país o tipo de tráfico.

Es importante tener en cuenta que, debido al nivel de profundidad con el que Portmaster intercepta y analiza el tráfico, en ocasiones será necesario afinar permisos y excepciones para evitar conflictos, especialmente con aplicaciones que utilizan protocolos poco habituales, servicios corporativos o juegos en línea que dependen de conexiones específicas. No obstante, la interfaz y la documentación tienden a hacer este proceso lo más claro posible para que no se convierta en un obstáculo.