Configuración de Relay Privado de iCloud+ y firewall en macOS

La combinación de Relay Privado de iCloud+ y un buen firewall en macOS se ha convertido en una de las formas más sólidas de reforzar la privacidad cuando navegamos con Safari. Apple ha apostado fuerte por ocultar nuestra identidad en la red sin que tengamos que complicarnos demasiado con configuraciones avanzadas, pero al mismo tiempo esto impacta en cómo funcionan las redes corporativas, los cortafuegos y ciertos sitios web que dependen de la dirección IP real del usuario.

Entender bien qué hace Relay Privado, cómo se integra con el firewall de tu Mac y qué implicaciones tiene en redes empresariales o educativas es clave para evitar problemas de conexión, errores extraños en páginas concretas o mensajes de incompatibilidad en macOS. En esta guía te lo voy a desgranar todo, con una explicación clara del funcionamiento interno de iCloud Private Relay, su relación con VPNs y cortafuegos, y los ajustes que puedes tocar tanto en tu Mac como en equipos de red como FortiGate.

Qué es Relay Privado de iCloud+ y qué protege exactamente

Relay Privado de iCloud (iCloud Private Relay) es un servicio de privacidad de Apple incluido dentro de iCloud+ que se encarga de ocultar tu dirección IP real, tu ubicación aproximada precisa y los dominios que visitas cuando navegas con Safari. Solo se activa si tienes una suscripción de pago a iCloud+ o a Apple One (que lo incluye) y lo habilitas manualmente en los ajustes de tu cuenta.

Su objetivo es impedir que proveedores de red, webs y sistemas intermedios puedan perfilarte a partir de tu IP y tu actividad de navegación. Cuando navegas sin Relay Privado, tu operador, la red wifi donde estás conectado y cualquier servidor intermedio pueden ver tanto tu IP como el dominio al que accedes, lo que facilita rastreos, segmentación publicitaria y creación de historiales de navegación muy detallados.

Con Relay Privado activado, el tráfico de Safari sale cifrado de tu dispositivo y pasa por dos relays distintos: uno gestionado por Apple y otro operado por un socio externo (como Cloudflare u otros proveedores). Esa separación es clave, porque Apple solo ve tu IP original pero no el sitio concreto al que te conectas, mientras que el segundo relay ve el dominio de destino pero no sabe quién eres realmente ni cuál es tu IP inicial.

Es importante remarcar que Relay Privado no es una VPN clásica: protege exclusivamente el tráfico de Safari (y resoluciones DNS asociadas) y no cifra el resto de conexiones de apps, otros navegadores o clientes de correo. Además, no te deja elegir país ni “teletransportarte” a otra región para acceder a contenidos bloqueados; su diseño está orientado a privacidad, no a eludir restricciones geográficas.

Apple, de hecho, no ofrece Relay Privado en determinados países por motivos regulatorios como China, Rusia, Bielorrusia, Colombia, Egipto, Kazajistán, Arabia Saudí, Sudáfrica, Turkmenistán o Uganda, donde las leyes respecto al cifrado y la retención de datos chocan con la filosofía del servicio.

Cómo funciona internamente iCloud Private Relay: los dos proxies

El diseño de Relay Privado se basa en separar la información de identidad del usuario y el contenido al que accede a través de dos proxies o relays diferentes. Así se limita al máximo la cantidad de metadatos que cualquier entidad de la ruta puede acumular sobre ti.

Sin Relay Privado, la situación es la clásica: la red de acceso (tu wifi o tu ISP), los servidores DNS, los routers intermedios y el servidor de destino ven tu IP pública y el dominio que solicitas. Esto permite geolocalizarte con bastante precisión, trazar un perfil de navegación completo y, en muchos casos, asociarlo a tu identidad real.

Con Relay Privado activo, el proceso cambia por completo. Cuando haces una petición en Safari, tu dispositivo cifra la información sensible y la envía primero a un servidor de Apple (proxy de entrada). Apple puede ver tu IP de origen y geolocalizarla de forma aproximada, pero el nombre del servidor o sitio web va cifrado y no es visible.

En ese primer salto, Apple convierte tu ubicación en un “geohash”, una representación compacta de latitud y longitud. Ese geohash se genera con una precisión reducida para evitar que se pueda deducir tu posición exacta, y Apple aplica controles para que el cliente no pueda falsificarlo. La IP original nunca se comparte con el segundo relay.

El segundo servidor, gestionado por un socio como Cloudflare, recibe los datos cifrados desde Apple, descifra solo la parte necesaria para saber el dominio de destino y selecciona una IP de salida de un pool específico para Relay Privado. Esas IP de salida están previamente registradas en bases de datos de geolocalización para que apunten a ciudades o regiones concretas, manteniendo coherencia con la zona del usuario sin revelar su ubicación exacta.

De esta manera, el sitio web ve una IP que corresponde a la ciudad o región del usuario, pero no a su IP real. El proveedor de red solo sabe que hay tráfico cifrado hacia Apple, Apple conoce la IP de usuario pero no el destino final, y el socio externo conoce el dominio de destino pero no la IP original. Nadie ve el cuadro completo.

Relay Privado, geolocalización y rendimiento de la navegación

Uno de los temores habituales es que Relay Privado arruine la geolocalización o haga la navegación más lenta. Apple y socios como Cloudflare han diseñado el sistema justo para que ocurra lo contrario: preservar la relevancia geográfica y, en muchos casos, incluso mejorar el rendimiento gracias a redes muy bien interconectadas.

En cuanto a la geolocalización, la clave está en esas direcciones IP de salida específicas para Relay Privado, que se asignan a ciudades y regiones concretas en las bases de datos de geolocalización. Así, cuando una web hace una búsqueda de IP para adaptar resultados (“restaurantes cerca de mí”, contenidos sujetos a licencias regionales, resultados locales, etc.), obtiene una ubicación aproximada que coincide razonablemente con la zona del usuario.

Este enfoque pasa la llamada “prueba de la pizzería local”: incluso con los servicios de localización desactivados y Relay Privado encendido, una búsqueda como “pizza cerca de mí” debería devolver resultados útiles y cercanos, sin necesidad de exponer tu ubicación exacta ni compartir coordenadas precisas con la web.

Para mejorar la precisión, los nodos de salida de Relay Privado favorecen IPv6 siempre que haya registros AAAA disponibles. Las IP IPv6 suelen estar mejor geolocalizadas que muchas IPv4 heredadas, lo que ayuda a afinar la ubicación aproximada sin comprometer la privacidad. Si administras un servidor, exponer tu origen por IPv6 contribuirá a una mejor precisión geográfica para usuarios de Relay Privado.

En lo que respecta al rendimiento, añadir “saltos” intermedios no tiene por qué empeorar la velocidad. Redes como la de Apple y Cloudflare están muy bien peeringueadas con el resto de Internet, y utilizan tecnologías modernas como TLS 1.3, QUIC y MASQUE para minimizar la latencia y aprovechar las rutas más rápidas disponibles.

Cloudflare, por ejemplo, emplea sistemas como Argo Smart Routing para elegir rutas óptimas basadas en métricas en tiempo real de rendimiento en Internet. Esto hace que, en muchos escenarios, acceder a un sitio a través de Relay Privado pueda ser igual de rápido o incluso más que conectar directamente desde una red muy congestionada o mal enrutable.

Cómo activar y configurar Relay Privado en iPhone, iPad y Mac

Relay Privado forma parte de iCloud+, así que el primer requisito es tener una suscripción de pago activa, ya sea contratando almacenamiento extra (desde 50 GB por una cuota mensual baja) o a través de Apple One. Cualquier miembro de un grupo de En familia con iCloud+ puede aprovechar la función en iPhone, iPad y Mac.

En iPhone y iPad, la activación es muy directa. Una vez con iCloud+ activo, ve a Ajustes > tu nombre > iCloud > Relay Privado y activa el interruptor. A partir de ese momento, Safari utilizará los dos relays para enrutar tu tráfico siempre que la función sea compatible con la red a la que estés conectado.

En macOS (Monterey, Ventura o versiones posteriores), la ruta es similar: abre Ajustes del Sistema (o Preferencias del Sistema en Monterey), accede a tu ID de Apple, entra en iCloud y busca la opción “Relay Privado de iCloud”. Al activarla, tu Mac empezará a utilizar el servicio para el tráfico de Safari sin que tengas que cambiar nada más en tu día a día.

Un punto clave es la especificidad de la ubicación de tu dirección IP. En las opciones de Relay Privado puedes elegir que la IP de salida mantenga una ubicación aproximada dentro de tu ciudad/región o que solo refleje el país y la franja horaria. La primera opción prioriza resultados locales más afinados; la segunda maximiza la privacidad sacrificando algo de precisión geográfica.

Además de la activación global, macOS, iOS y iPadOS permiten ajustar Relay Privado por red. El ajuste se llama “Limitar rastreo de dirección IP” y actúa como un control contextual para cada wifi o línea de datos móviles a la que te conectas, algo muy útil si te mueves entre redes domésticas, de trabajo y públicas.

Configurar Relay Privado por red en macOS, iOS y iPadOS

En muchas ocasiones, el conflicto entre Relay Privado y determinados servicios no se resuelve desactivándolo a nivel global, sino ajustándolo por red. Por ejemplo, puedes querer usarlo en casa pero no en la red corporativa con filtrado estricto o en una wifi universitaria que exige inspección de tráfico.

En iPhone o iPad, puedes controlar la función por wifi así: abre Ajustes > Wi-Fi, toca el botón de información (la “i”) junto a la red a la que estás conectado y baja hasta el conmutador “Limitar rastreo de dirección IP”. Activarlo implica que Safari intentará usar Relay Privado en esa red; desactivarlo hará que tu IP real sea visible para el sitio y el proveedor de red.

Para redes móviles en iOS/iPadOS, entra en Ajustes > Datos móviles, elige tu línea principal (y en iOS 18 o anterior, toca “Opciones”) y después “Limitar rastreo de dirección IP”. Al igual que en wifi, el ajuste se aplica específicamente a esa SIM o eSIM.

En macOS Ventura y versiones posteriores, el control por red se encuentra en Ajustes del Sistema > Red. Selecciona el servicio de red en uso (por ejemplo, Wi‑Fi o Ethernet), pulsa en “Detalles” junto al nombre de la red y desmarca “Limitar rastreo de dirección IP” si quieres que Relay Privado deje de operar en esa red concreta.

En macOS Monterey, el flujo es ligeramente distinto: abre Preferencias del Sistema > Red, selecciona la red de la lista y desmarca la casilla “Limitar rastreo de dirección IP”. El efecto práctico es el mismo: permitir o no que esa conexión utilice Relay Privado.

Ten en cuenta un detalle importante: si desactivas Relay Privado para una red específica, ese ajuste se propagará al resto de tus dispositivos Apple donde tengas activada la función, siempre que utilicen esa misma red o esa misma línea móvil. Si cambias a menudo entre múltiples wifis, doble SIM o interfaces (Wi‑Fi/Ethernet), conviene revisar cada red por separado.

Gestionar webs problemáticas: excluir un dominio de Relay Privado

No todos los sitios web están preparados para funcionar sin fricción con iCloud Private Relay. Algunas páginas utilizan filtrado de IP, limitación de velocidad por dirección, georrestricciones muy estrictas o mecanismos de seguridad antifraude que se basan en tu IP real. En otros casos, ciertos servicios muestran contenido de la región equivocada o añaden pasos extra de verificación al iniciar sesión.

Antes de iOS 16.2, iPadOS 16.2 y macOS 13.1 Ventura, si un sitio se llevaba mal con Relay Privado tenías prácticamente una única opción: desactivar el servicio entero. A partir de esas versiones, Apple añadió un mecanismo mucho más fino que permite omitir Relay Privado solo para la web problemática.

En iPhone y iPad, el proceso es muy sencillo: con la página abierta en Safari, toca el icono de “AA” (menú de vista) en la barra de direcciones y selecciona “Mostrar dirección IP”. El sistema recargará la página exponiendo tu dirección IP real al sitio actual mientras permanezcas dentro de ese dominio.

En Mac, el equivalente está en la barra de menús de Safari. Ve al menú “Ver” y elige “Recargar y mostrar dirección IP” para ese sitio. Safari te avisará de que, al hacerlo, tu proveedor de red y la web concreta podrán ver tu IP y el dominio que estás visitando, aunque el contenido de la página seguirá protegido por HTTPS.

Este bypass es temporal: si recargas la pestaña o cambias a otro subdominio relevante, el sistema puede volver a activar Relay Privado para ese dominio. Es un mecanismo pensado para resolver bloqueos puntuales sin perder la protección en el resto de tu navegación.

Cuando Relay Privado no es compatible: mensajes de error y apps en conflicto

En algunos Macs, sobre todo tras actualizar a versiones beta o mayores de macOS, es relativamente frecuente ver avisos del tipo “Algunas de las configuraciones de tu sistema impiden que la retransmisión privada funcione” o “Tu sistema tiene extensiones o configuraciones instaladas que son incompatibles con la retransmisión privada”.

Estos mensajes suelen indicar que hay extensiones de red, VPNs o software de filtrado instalados que interfieren con el funcionamiento de Relay Privado. Pueden ser aplicaciones de seguridad que usan extensiones de kernel antiguas, reglas avanzadas de filtrado de paquetes o soluciones de control parental a nivel de sistema, temas abordados en guías sobre actividad sospechosa en macOS.

macOS detecta que la pila de red ya está siendo interceptada o modificada por un tercero y, para evitar comportamientos impredecibles o fugas, desactiva Relay Privado y muestra esa alerta. En muchos casos, el usuario no sabe exactamente qué app es la responsable, porque el aviso no la identifica directamente.

La recomendación de Apple es clara: si quieres utilizar Relay Privado en el Mac, debes desactivar o desinstalar las aplicaciones que inyectan extensiones de red incompatibles. Si no es posible prescindir de ellas (por política corporativa, requisitos de seguridad o similares), asumiremos que en ese Mac no se podrá utilizar Private Relay mientras esas apps estén activas.

En entornos administrados (empresas, escuelas, universidades), es habitual que estos sistemas de filtrado y VPN corporativos estén obligados por normativa. En esos casos, el administrador puede incluso bloquear Relay Privado a nivel de red, de modo que los dispositivos Apple conectados a esa infraestructura no lo utilicen en absoluto.

Impacto de Relay Privado en cortafuegos, redes corporativas y filtrado

Desde el punto de vista de un administrador de red o firewall, Relay Privado cambia bastante las reglas del juego. Al cifrar completamente el tráfico de Safari y encapsularlo a través de los relays de Apple y sus socios, el cortafuegos pierde visibilidad sobre los dominios a los que se accede, y no puede inspeccionarlos ni filtrarlos según sus políticas habituales.

Esto puede entrar en conflicto con requisitos de cumplimiento normativo que exigen mantener registros de navegación, aplicar controles estrictos de contenido en redes educativas o detectar actividad sospechosa a nivel de DNS/HTTP. No es casualidad que muchos entornos corporativos decidan bloquear los servicios de proxy y túneles cifrados por defecto, y Relay Privado entra de lleno en esa categoría.

Apple ofrece documentación específica para preparar redes y servidores web para Relay Privado, explicando cómo deben adaptarse los sistemas que dependen fuertemente de la dirección IP como señal de seguridad o control de abuso. La filosofía es tratar el tráfico de Private Relay como si viniera de grandes pasarelas web compartidas o sistemas Carrier‑Grade NAT, donde muchas conexiones comparten pocas direcciones IP públicas.

Para mitigar problemas de abuso o fraude, los operadores deberían apoyarse más en identificadores a nivel de usuario (cookies, tokens de sesión, datos de geolocalización aproximada) y menos en límites basados únicamente en IP. Soluciones como Cloudflare ajustan automáticamente sus modelos de aprendizaje automático y heurísticas de seguridad cuando detectan IP muy compartidas, evitando falsos positivos masivos.

Apple indica además que solo dispositivos y cuentas válidas pueden usar Relay Privado, lo que añade una capa adicional de confianza sobre las conexiones que pasan por el servicio. Si, pese a ello, se quiere restringir o bloquear el uso de Private Relay en una red concreta, el método recomendado es actuar sobre la resolución DNS de los dominios implicados.

Ejemplo práctico: permitir o bloquear Relay Privado desde un FortiGate

Si administras un firewall FortiGate, puedes decidir conscientemente si tu red permitirá o no el uso de iCloud Private Relay. Dependiendo de la política de la organización, tocará abrir ese tráfico o bloquearlo a nivel de DNS y reglas de filtrado.

Para permitir Relay Privado en FortiGate cuando tienes filtrado web o DNS activo, lo habitual es que los servidores proxy se bloqueen por razones de seguridad. En ese caso, puedes crear «address objects» específicos para los dominios utilizados por Private Relay y luego agruparlos en un «address group» al que se le permita el paso sin inspección.

Los dominios clave que conviene incluir como objetos de dirección FQDN son, entre otros: captive.apple.com, gateway.icloud.com, mask-api.icloud.com, mask.icloud.com y mask-h2.icloud.com. Una vez creados, se agrupan en un addrgrp llamado, por ejemplo, «iCloudRelay» y se utiliza ese grupo como destino en una regla de firewall sin inspección profunda, colocada por encima de otras reglas más restrictivas.

Si la decisión es bloquear completamente Relay Privado en esa red, la estrategia pasa por añadir filtros comodín en el perfil de filtro DNS de FortiGate para impedir la resolución de los dominios de retransmisión. Se suelen incluir patrones como mask.icloud.com, mask-h2.icloud.com, mask.apple-dns.net, mask-api.fe.apple-dns.net o mask-t.apple-dns.net, entre otros relacionados.

Al hacer esto, los dispositivos Apple no podrán contactar con los relays necesarios, por lo que detectarán que la función no es utilizable en esa red y la deshabilitarán de forma automática en el dispositivo cuando esté conectado a ese entorno. Desde el punto de vista del usuario, verá un aviso en los ajustes de Private Relay indicando que esa red no admite la función o que ha sido bloqueada.

Este enfoque es especialmente útil para redes de empresa, centros educativos o instituciones con obligaciones legales de registrar la actividad de navegación o aplicar filtrados muy específicos. Aun así, el bloqueo suele reconocerse en cuestión de segundos o minutos; durante ese periodo de detección, es posible que el usuario note brevemente falta de conectividad o comportamientos extraños al cargar páginas.

Relay Privado frente a una VPN tradicional: ¿se complementan o se solapan?

Una de las confusiones más habituales es pensar que iCloud Private Relay es simplemente “la VPN de Apple”. Aunque comparten ciertas similitudes (ocultar IP, cifrar tráfico, interponer un intermediario), en la práctica su enfoque y capacidades son bastante diferentes.

Relay Privado está enfocado a la privacidad en la navegación con Safari y a limitar el rastreo. No te permite elegir país ni “fingir” que estás en otra región para acceder a catálogos extranjeros de streaming o saltarte bloqueos geográficos. La IP de salida siempre estará razonablemente alineada con tu país y zona horaria, con la opción de mantener incluso una ubicación aproximada a nivel de ciudad.

Una VPN clásica, como las ofrecidas por proveedores tipo NordVPN u otros, cifra todo el tráfico de tu sistema o, como mínimo, de todas las apps configuradas para usarla. Además, te deja seleccionar servidores en distintos países para cambiar tu localización aparente. Esto suele implicar más impacto en la velocidad y una mayor complejidad de configuración, pero ofrece capacidades de “desbloqueo” que Private Relay nunca pretende cubrir.

Ambos servicios pueden coexistir sin problema en muchos escenarios, pero hay matices: si tienes una VPN activa a nivel de sistema, es posible que Relay Privado no pueda funcionar o que macOS lo desactive por incompatibilidad, especialmente cuando la VPN instala extensiones de red profundas o modifica el enrutamiento de forma agresiva.

Si tu prioridad absoluta es la privacidad y el anonimato en toda la actividad online (no solo en Safari), una VPN bien configurada puede tener más sentido. Si lo que quieres es una capa extra de privacidad sin perder geolocalización local ni complicarte la vida con apps adicionales, Relay Privado es una solución muy equilibrada, rápida y bien integrada con el ecosistema Apple.

Buenas prácticas para administradores de sitios web y redes

Si gestionas un sitio web, una API pública o una red corporativa, adaptarte a Relay Privado es cada vez más importante, porque una parte creciente de tus usuarios llegará con su IP enmascarada a través de estos relays. Ignorar este fenómeno puede provocar bloqueos inesperados, falsos positivos de seguridad o mala experiencia de usuario.

Lo primero es mantener actualizadas tus bases de datos de geolocalización IP. Apple y proveedores como Cloudflare trabajan directamente con los principales vendors de geolocalización para registrar correctamente las IP de salida de Relay Privado. Si usas versiones antiguas de estas bases de datos, podrías ver a estos usuarios como si estuvieran en otro país o incluso como tráfico sospechoso.

También es recomendable exponer tus servicios por IPv6 para aprovechar la mejor precisión geográfica de muchas direcciones IPv6. Dado que los nodos de salida de Relay Privado prefieren IPv6 cuando está disponible, ofrecer esa pila puede ayudarte a servir contenido local más relevante sin exponer datos adicionales del usuario.

En cuanto a mecanismos de seguridad y antispam/antibots, conviene ajustar tus sistemas para tratar las IP de Relay Privado como recursos compartidos por muchos usuarios. En lugar de basar límites estrictos o bloqueos permanentes únicamente en la IP, incorpora identificadores de sesión, cookies, información de navegador y señales basadas en comportamiento.

Si utilizas Cloudflare delante de tu sitio, ya llevas ventaja: el proveedor adapta automáticamente su WAF, limitación de velocidad y gestión de bots para IP compartidas y tráfico que proviene de su propio AS (AS13335), donde se mezcla tráfico de Relay Privado, puerta de enlace web empresarial y VPNs de consumidor como WARP. A nivel de facturación y métricas, todo ese tráfico se cuenta igual que cualquier otro, pero tus reglas de seguridad ya tienen en cuenta que muchas personas pueden salir desde la misma IP.

En redes donde no sea posible o deseable permitir Relay Privado, asegúrate de bloquear correctamente los dominios de máscara y gateways a nivel de DNS, informar a tus usuarios de que la función se desactivará en esa infraestructura y documentar las razones (cumplimiento, auditorías de tráfico, legislación local, etc.). Eso evitará confusiones cuando alguien llegue con su Mac o iPhone y se encuentre con que Private Relay deja de funcionar al conectarse a tu wifi.

En definitiva, Relay Privado de iCloud+ aporta una capa muy potente de privacidad para el usuario de Safari, pero no vive aislado: interactúa con VPNs, firewalls como FortiGate, políticas corporativas y soluciones de seguridad perimetral. Entender cómo está construido, qué información oculta, cómo se configura por dispositivo y por red, y de qué manera puede ser permitido o bloqueado en infraestructuras profesionales es la clave para sacarle todo el partido sin sacrificar compatibilidad, rendimiento ni control donde realmente hace falta.