Endurecimiento de privacidad en Windows 11 paso a paso

Windows 11 puede filtrarte mucha más información personal de la que crees si lo dejas con la configuración de serie. Telemetría, historial de actividad, anuncios personalizados, sincronización con la nube, permisos excesivos de apps… todo suma. La buena noticia es que el propio sistema incluye un montón de controles que, bien ajustados, permiten dejarlo bastante “cerrado” sin dejar de ser usable.

Este artículo reúne y reorganiza de forma práctica todo lo que explican las guías oficiales de Microsoft y los manuales avanzados de privacidad y cómo preconfigurar Windows 11 mediante scripts para Windows 10/11, junto con recomendaciones más “de la vida real” (RGPD, buenas prácticas, trucos rápidos y algún que otro comando). La idea es que puedas hacer un endurecimiento de privacidad serio en Windows 11, tanto si eres usuario doméstico como si administras equipos en una empresa.

Qué datos recopila Windows 11 y por qué te debe importar

Antes de empezar a desactivar cosas a lo loco conviene entender qué está recogiendo Windows 11 de ti, en qué categorías se organiza y hasta dónde puedes llegar a limitar esa recopilación. Microsoft distingue entre datos requeridos y datos opcionales, pero desde el punto de vista de tu privacidad conviene revisar ambos bloques.

Los datos de diagnóstico requeridos son el “mínimo obligatorio” que el sistema envía a Microsoft para mantener Windows actualizado, comprobar compatibilidades con nuevas versiones, validar licencias, controlar errores críticos y garantizar cierto nivel de seguridad. Aquí entran datos sobre el hardware, la versión de Windows, drivers, estado general del dispositivo y poco más; se envían de forma agregada y no puedes desactivar completamente esta parte.

Los datos de diagnóstico opcionales ya son otra historia: incluyen más detalles sobre el uso que haces del equipo, las aplicaciones que ejecutas, cómo rinden, qué errores sufren, parte de tu actividad en la web (sobre todo si usas Edge), preferencias de configuración o información avanzada de rendimiento. Estos datos son útiles para Microsoft, pero para ti son más bien un riesgo extra de huella digital.

A todo eso hay que sumarle otras fuentes de datos personales: historial de actividad, localización, búsquedas en la nube, diccionario personalizado, OneDrive, experiencias personalizadas, ID de publicidad, voz, escritura, navegación, sincronización entre dispositivos, “Encuentra mi dispositivo”, Cortana (donde sigue disponible) y un largo etcétera de experiencias conectadas.

Si trabajas bajo RGPD o cualquier normativa de protección de datos, tu objetivo debería ser aplicar el principio de minimización: compartir solo lo estrictamente necesario. Lo bueno de Windows 11 es que casi todo esto se puede modular con opciones de Configuración, directivas de grupo o MDM, e incluso auditar con herramientas como el Visor de datos de diagnóstico.

Controlar diagnósticos, telemetría y comentarios en Windows 11

El primer frente para endurecer la privacidad en Windows 11 es la telemetría, es decir, los datos de diagnóstico y uso que se envían a Microsoft de forma más o menos constante. Aquí vas a tocar tanto la parte visible para el usuario como, si te interesa, el nivel “pro” con directivas y comandos.

Desde la aplicación Configuración puedes recortar bastante la información que sale de tu equipo. Entra en Configuración > Privacidad y seguridad > Diagnósticos y comentarios (en algunas traducciones aparece como Comentarios y diagnósticos) y revisa con calma cada apartado. El objetivo es dejar solo los datos requeridos.

En la sección de Datos de diagnóstico marca la opción más restrictiva disponible, normalmente llamada “Datos de diagnóstico necesarios” u “Obligatorios”. Esto impide que se envíe información opcional sobre aplicaciones, navegación y otros detalles finos. Aunque no puedas apagar del todo la telemetría, reduces muchísimo la exposición.

Desactiva también las funciones adicionales ligadas a la telemetría: la opción de “Mejorar la entrada manuscrita y la escritura” hace que se recopilen ejemplos de cómo escribes para afinar el reconocimiento; “Experiencias personalizadas” usa tus datos de diagnóstico para recomendaciones y anuncios; y el propio “Visor de datos de diagnóstico” puede llegar a reservar hasta 1 GB de disco local para almacenar registros que en muchos casos no necesitas.

No te olvides del botón de eliminar datos de diagnóstico. En ese mismo panel tienes una opción “Eliminar datos de diagnóstico” que ordena a Microsoft borrar los datos ya almacenados en sus servidores para ese dispositivo. Si tienes una política de privacidad seria, conviene pulsarlo de forma periódica (por ejemplo, una vez al mes o tras cambios importantes de configuración).

Si prefieres el camino rápido y no te importa usar la consola, consulta la guía de telemetría en PowerShell, puedes dejar la telemetría prácticamente en coma con dos servicios clave: DiagTrack y dmwappushservice. Abre símbolo del sistema como administrador y ejecuta:

sc config DiagTrack start= disabled
sc config dmwappushservice start= disabled

Estos comandos cambian el modo de inicio de los servicios de seguimiento de diagnóstico y de envío push a deshabilitado, lo que recorta todavía más el envío de datos. Si en algún momento quieres revertirlo, basta con repetir los comandos cambiando disabled por enabled.

Ajustar historial de actividad, búsqueda y experiencias conectadas

Windows 11 viene preparado para recordar prácticamente todo lo que haces: qué apps ejecutas, qué documentos abres, qué webs visitas y hasta lo que buscas localmente y en la nube. Es cómodo para retomar tareas, pero es también una mina de información sobre tus hábitos.

El Historial de actividad se configura en Configuración > Privacidad y seguridad > Historial de actividad. Aquí puedes impedir que el sistema registre tus actividades y sincronice esa información entre dispositivos asociados a tu cuenta. Desmarca la opción de almacenar el historial en el dispositivo y utiliza el botón para borrar el historial ya guardado, y considera también herramientas para limpiar perfiles huérfanos.

En el bloque de Permisos de Windows encontrarás varios interruptores clave. Entra primero en General y revisa estas opciones:

• ID de publicidad: cuando permites que las apps muestren anuncios personalizados con tu identificador publicitario, estás dando vía libre a un seguimiento bastante fino de tus intereses. Lo sensato para un endurecimiento de privacidad es desactivarlo.
• Contenido relevante según idiomas: autoriza a los sitios web a leer tu lista de idiomas configurados en Windows. No es lo más grave del mundo, pero también es información de perfilado; puedes apagarlo sin problema.
• Seguimiento de inicios de aplicaciones: permite que Windows monitorice qué programas abres para mejorar los resultados del menú Inicio. Si no quieres que Microsoft tenga ni ese dato, desmarca la casilla.
• Contenido sugerido en Configuración: básicamente recomendaciones y promos internas; también lo puedes quitar sin perder funcionalidad real.

Luego, entra en Permisos de búsqueda dentro de Privacidad y seguridad. Aquí puedes:

• Desconectar las búsquedas online integradas en el propio cuadro de búsqueda de Windows, evitando que cada término que escribes se vaya a Bing.
• Bloquear o limitar la búsqueda de contenido en la nube (OneDrive, SharePoint, Outlook), algo importante si manejas datos sensibles.
• Desactivar el historial de búsqueda en este dispositivo y borrar lo ya registrado, para que no haya un log local de todo lo que has buscado.

En la sección “Buscando en Windows” puedes gestionar cómo se indexan tus archivos locales. El índice es muy útil para encontrar cosas rápido, pero a cambio genera un mapa completo de qué tienes y dónde. Aquí podrás elegir el modo de indexación y, sobre todo, añadir carpetas en la lista de exclusiones para que su contenido no se indexe ni aparezca en los resultados (ideal para documentos delicados o archivos de trabajo).

Otro punto delicado es “Encontrar mi dispositivo”, que también vive en Privacidad y seguridad. Esta función usa la ubicación de tu equipo para poder localizarlo en caso de pérdida o robo. En portátiles puede tener sentido mantenerla activa si aceptas la cesión de datos, pero en un sobremesa suele ser totalmente prescindible; desactivarla evita que Windows envíe coordenadas de forma periódica a Microsoft.

Voz, escritura, teclado y reconocimiento: qué desactivar

Windows 11 intenta aprender de cómo hablas y escribes para personalizar la experiencia, desde las sugerencias de texto hasta el reconocimiento de voz. Esto suena muy bien pero implica recopilar muestras de voz, escritura y tecleo que, de una forma u otra, acaban procesadas por Microsoft.

Ve a Configuración > Privacidad y seguridad > Voz y localiza el ajuste de Reconocimiento de voz en línea. Desactivarlo impide que las apps que usan el motor de voz en la nube de Microsoft envíen tus comandos y dictados a sus servidores para procesarlos. Si además quieres eliminar otras funciones basadas en IA, puedes ver cómo quitar la IA de Windows 11. Seguirás teniendo reconocimiento de voz local donde se soporte, pero sin exponer grabaciones externas.

Debajo de Voz encontrarás la sección “Personalización de entrada manuscrita y escritura”. Aquí Windows utiliza lo que escribes (con teclado o lápiz) para crear un diccionario personalizado que mejore las sugerencias. Microsoft afirma que estos datos se guardan de manera local y, como mucho, se sincronizan con tu OneDrive; aun así, si quieres la vía más segura, desactiva el almacenamiento de esta lista de palabras y elimina los datos ya creados.

La parte buena es que desactivar estas opciones no rompe el sistema: simplemente perderás algo de comodidad en las sugerencias o en el reconocimiento. Si priorizas privacidad sobre confort, es un sacrificio bastante asumible, especialmente en equipos de trabajo o que manejan datos confidenciales.

En entornos corporativos puedes ir todavía más lejos controlando estos mismos aspectos vía directiva de grupo o MDM. Microsoft documenta políticas como AllowInputPersonalization para bloquear la personalización de entrada, o ajustes específicos para impedir el reconocimiento de voz en línea en todos los equipos de la organización desde un punto central.

Localización, encontrar mi dispositivo y permisos de aplicaciones

Uno de los frentes más criticados en Windows 11 es la cantidad de permisos que reciben las aplicaciones por defecto: ubicación, cámara, micrófono, notificaciones, acceso a documentos… Si quieres un endurecimiento de privacidad serio, toca hacer limpieza a fondo en este apartado.

Empieza por los permisos de Windows relacionados con la ubicación. Ve a Configuración > Privacidad y seguridad > Permisos de Windows > Ubicación (o dentro de Permisos de aplicaciones, según versión). Desde aquí puedes:

• Cortar el acceso global del dispositivo a la ubicación, de forma que ni el sistema ni las apps puedan leerla.
• Permitir que Windows acceda a la ubicación pero filtrar después qué apps concretas pueden usarla.
• Borrar el historial de ubicaciones registrado en el equipo.

Para la mayoría de usuarios que quieren privacidad alta, tiene sentido desactivar la ubicación globalmente y encenderla solo de forma puntual cuando haga realmente falta (por ejemplo, en un portátil de viaje y para una app concreta).

Ahora baja hasta el bloque “Permisos de la aplicación” dentro de Privacidad y seguridad. Aquí verás una lista larga de categorías: Ubicación, Cámara, Micrófono, Activación por voz, Notificaciones, Información de cuenta, Contactos, Calendario, Llamadas telefónicas, Historial de llamadas, Correo electrónico, Tareas, Mensajes, Señales de radio (Bluetooth, etc.), Otros dispositivos, Diagnósticos de la aplicación, Descargas automáticas de archivos, Documentos, Descargas, Música, Imágenes, Vídeos, Sistema de archivos, Bordes de captura de pantalla, Capturas de pantalla y aplicaciones…

El patrón es siempre el mismo en cada permiso:

• Primero, un interruptor para permitir que el dispositivo use ese tipo de recurso (por ejemplo, cámara).
• Segundo, otro interruptor para autorizar o no que las aplicaciones puedan pedir acceso.
• Por último, una lista con todas las apps que han solicitado ese permiso, con su propio interruptor individual.

Si quieres ser agresivo, puedes desactivar el acceso de las apps a la mayoría de categorías y dejar activas solo las que tengan sentido. Por ejemplo, micrófono y cámara únicamente para tu cliente de videollamadas de confianza, y aprende a saber si tu cámara está bloqueada cuando sospeches un uso indebido. Sistema de archivos solo para gestores de archivos o programas de copia de seguridad concretos, etc. Verás también opciones para limpiar historiales relacionados (p.ej. uso previo de ubicación).

Recuerda que algunas aplicaciones preinstaladas vienen con permisos más amplios de lo razonable, especialmente en instalaciones limpias. Es bastante habitual encontrar varias apps con acceso a ubicación, cámara o micrófono sin que el usuario haya abierto nunca esas aplicaciones. Un repaso manual aquí puede marcar una gran diferencia en tu perfil de exposición; puedes limpiar permisos con O&O AppBuster cuando proceda.

Anuncios personalizados, cuenta de Microsoft, OneDrive y experiencias en la nube

La otra gran pata de la privacidad en Windows 11 es todo lo que tiene que ver con la cuenta de Microsoft y los servicios en la nube: sincronización de ajustes, copia de seguridad, publicidad personalizada, OneDrive, experiencias compartidas en varios dispositivos, etc.

Lo primero que deberías valorar es si quieres usar una cuenta local en lugar de una cuenta Microsoft. Cuando inicias sesión con tu MSA (correo @outlook, @hotmail, etc.) el sistema sincroniza preferencias, contraseñas, historial y otros datos entre equipos, pero también liga tu actividad a esa identidad online. Para cambiar, ve a Configuración > Cuentas > Tu información y elige la opción “Iniciar sesión con una cuenta local en su lugar”. Sigue el asistente y, si usas BitLocker, asegúrate de tener copias de las claves de recuperación a salvo.

En el terreno de la publicidad, ya has desconectado el ID de anuncios desde Privacidad > General, pero aún quedan algunos flecos. Es recomendable revisar también el panel de privacidad en la web de tu cuenta Microsoft, donde puedes ajustar anuncios personalizados en servicios como Outlook, Xbox, Bing o Edge y borrar datos de navegación asociados a tu MSA.

OneDrive merece un capítulo aparte. Es muy útil como copia de seguridad automática, pero a efectos de privacidad implica que tus documentos acaban almacenados en servidores externos. Si no lo utilizas o no te interesa que tus archivos salgan del equipo, haz clic en el icono de OneDrive en el área de notificación, entra en Configuración > Cuenta y pulsa en “Desvincular este equipo”. Los archivos que ya estén en la nube no se borran por arte de magia, pero el PC dejará de sincronizar.

Windows Backup (Copia de seguridad de Windows) también puede subir información a la nube sobre tus preferencias, apps y configuración. En Configuración > Cuentas > Copia de seguridad de Windows desactiva las opciones “Recordar mis preferencias” y “Recordar mis aplicaciones” si quieres que el sistema deje de almacenar esos datos en la cuenta Microsoft.

Otra función a desactivar para endurecer la privacidad es “Compartir entre dispositivos”, que permite que apps compatibles sincronicen información entre varios equipos donde usas la misma cuenta. Entra en Configuración > Aplicaciones > Configuración avanzada de aplicaciones y apaga la opción de compartir entre dispositivos y revisa apps como Phone Link para ajustes adicionales. Menos sincronización, menos superficie de exposición.

VPN, proxy, DNS y conexiones a servicios de Microsoft

Todo lo anterior controla lo que Windows recopila y envía, pero falta el canal por el que sale la información: tu conexión a Internet. Aquí hay tres herramientas que merece la pena ajustar: VPN, proxy y servidores DNS.

Configurar una VPN a nivel de sistema hace que todo el tráfico del equipo pase por un túnel cifrado, ocultando tu IP real a las webs que visitas y dificultando el rastreo por parte de terceros. En Windows 11 la configuras en Configuración > Red e Internet > VPN, donde puedes agregar una conexión nueva indicando servidor, tipo de VPN y credenciales. Es preferible usar un proveedor de confianza (o montar tu propia VPN) frente a servicios gratuitos, que a menudo viven de explotar los datos que supuestamente protegen.

En el mismo apartado de Red e Internet tienes la sección Proxy. Desde ahí puedes:

• Permitir que Windows detecte automáticamente la configuración de proxy (útil en redes corporativas).
• Definir manualmente un servidor proxy por el que pasarán tus peticiones HTTP/HTTPS.
• Usar un script de configuración si tu organización lo proporciona.

El uso de proxy te permite interponer un servidor intermedio entre tu equipo e Internet, lo que añade una capa extra de anonimato según cómo esté configurado y quién lo gestione.

Por último, cambiar de DNS puede mejorar tanto la privacidad como la seguridad. De serie usas los DNS de tu operador, que pueden registrar tus consultas e incluso aplicar bloqueos. Algunos proveedores de DNS públicos se centran en la privacidad, eliminan logs con rapidez y filtran dominios maliciosos. Para cambiarlo, abre el panel clásico de “Conexiones de red”, entra en las propiedades de tu adaptador, selecciona Protocolo de Internet versión 4 (TCP/IPv4) y especifica manualmente las direcciones de DNS que quieras utilizar.

Si estás en una empresa y te preocupa el número de puntos de conexión a servicios de Microsoft, merece la pena revisar la documentación de “Administrar conexiones desde componentes del sistema operativo Windows hasta servicios Microsoft” y, en particular, la “línea base de funcionalidad limitada”. Esa guía explica qué endpoints se pueden bloquear sin romper por completo el sistema, y qué sacrificios de funcionalidad conlleva cada ajuste.

Herramientas avanzadas: Visor de datos de diagnóstico y directivas de grupo

Cuando quieres ir más allá del “clic clic” en Configuración y necesitas auditar o controlar docenas o cientos de equipos, entran en juego dos piezas clave: el Visor de datos de diagnóstico (Diagnostic Data Viewer) y las directivas administrativas (GPO/MDM).

El Visor de datos de diagnóstico es una aplicación oficial de Microsoft, disponible desde la Store, que te permite ver en tiempo real qué datos envía Windows desde tu dispositivo. Para activarlo, ve a Configuración > Privacidad y seguridad > Diagnósticos y comentarios, habilita la opción “Ver datos de diagnóstico” y luego abre el enlace para descargarlo desde la Store.

Una vez dentro verás los registros organizados por eventos, en formato JSON, con campos como fecha, tipo de evento (Windows Kernel, General Windows, informes de errores, etc.) y contenido detallado. Puedes usar el buscador para localizar términos concretos como “micrófono” o “ubicación”, y aplicar filtros por categoría para no perderte en la marea de datos.

Un truco avanzado consiste en “forzar” el vaciado de datos pendientes y partir de cero deteniendo el servicio de seguimiento de diagnósticos con PowerShell: Stop-Service -Force DiagTrack. A continuación, revisas en el visor qué se ha generado y, si ves algo que no te cuadra, vuelves a afinar la configuración de privacidad. Incluso puedes exportar los JSON críticos a un documento cifrado para mantener un registro auditable de lo que está saliendo del sistema.

Para administradores de TI, las directivas de grupo (GPO) y las políticas MDM ofrecen un control mucho más fino sobre todos estos ajustes. Microsoft documenta, por ejemplo:

• Permitir telemetría / Permitir datos de diagnóstico: define el nivel de datos (desde mínimo hasta opcional) que se envía desde todos los equipos unidos al dominio.
• Desactivar el ID de publicidad para impedir identificadores publicitarios a nivel de sistema.
• Bloquear Cortana, experiencias personalizadas, ubicación, reconocimiento de voz online o el envío de actividades a la nube.
• Restringir que el usuario pueda rebajar (o subir) el nivel de datos de diagnóstico por su cuenta.
• Impedir que el usuario elimine los datos de diagnóstico si la organización necesita conservarlos por cumplimiento interno, o justo lo contrario: forzar la eliminación.

Además, existe una configuración específica llamada “procesador de datos de diagnóstico de Windows” para entornos empresariales en Windows 10/11 Enterprise, Pro y Education. Esta opción permite que la organización asuma el rol de responsable del tratamiento (controller) de esos datos según el RGPD, con capacidades para atender solicitudes de acceso, exportación y eliminación asociadas a identidades de Microsoft Entra (Azure AD).

En ese contexto, Microsoft recomienda también limitar el uso de cuentas Microsoft personales en los dispositivos corporativos, restringir el envío de comentarios desde la app Centro de opiniones y gestionar con cuidado cualquier servicio adicional que pueda escapar a la gobernanza de esos datos de diagnóstico.

Más allá de Windows: navegador, buscador y software que instalas

Aunque dejes Windows 11 extremadamente endurecido, tu privacidad puede seguir en juego por culpa de lo que haces en Internet. Navegador, buscador y aplicaciones de terceros son igual o más importantes que los ajustes del sistema operativo.

En cuanto al navegador, valora usar uno que priorice la privacidad o, al menos, configura el tuyo para reducir el rastreo: bloquear cookies de terceros, desactivar el envío de datos de uso, ajustar las opciones de autocompletado y sincronización, y revisar qué extensiones instalas. Aunque uses Edge o Chrome, puedes endurecer la configuración para que no envíen más información de la necesaria a sus respectivos proveedores.

El buscador por defecto también tiene mucho que decir. Google y Bing son muy potentes, pero su modelo se basa en perfilarte para mostrarte anuncios, y eso implica recopilar tus consultas y clics. Existen motores alternativos que prometen no rastrear ni construir perfiles, y que pueden ser un buen complemento a las medidas de privacidad en Windows 11.

Por último, ten cuidado con el software que instalas. Aunque controles los permisos del sistema, una aplicación maliciosa o demasiado curiosa puede intentar bordear las restricciones. Revisa siempre la procedencia, léete los permisos que pide, huye de cracks y programas dudosos, y cuando puedas apuesta por herramientas de código abierto con cierta reputación, cuyo funcionamiento se puede auditar.

Si combinas todos estos ajustes de Windows 11 con una navegación prudente, buenas prácticas de instalación y el uso de VPN/DNS privados, puedes reducir de forma muy significativa la cantidad de datos que tu PC comparte con Microsoft, con otras grandes plataformas y con terceros que ni siquiera conoces, manteniendo al mismo tiempo un sistema estable, actualizado y razonablemente cómodo para el día a día; además, aplicando técnicas para hacer debloat seguro en Windows mejorarás aún más tu superficie de exposición.