Si te preocupa la privacidad y quieres que tu actividad en Internet sea lo más anónima posible, tarde o temprano terminas encontrándote con Tails. No es una distro al uso para instalar en el disco duro y olvidarte, sino un sistema pensado para arrancar desde un USB y dejar tu equipo exactamente igual que estaba cuando lo apagas.
Con Tails todo lo que hagas se ejecuta en la memoria RAM y desaparece al reiniciar, de modo que no queda rastro de tus documentos, historial o configuraciones, salvo que tú decidas lo contrario usando su sistema de persistencia cifrada. Es ideal para navegar de forma privada, hacer auditorías, pentesting ligero o simplemente llevar tu “ordenador seguro” en el bolsillo.
Qué es Tails y por qué es tan distinto a otras distros
Tails (acrónimo de “The Amnesic Incognito Live System”) es una distribución GNU/Linux basada en Debian Stable, diseñada desde cero para que todo el tráfico salga por la red Tor y para no dejar huellas en el ordenador donde se ejecuta. Su filosofía es muy clara: mejor sacrificar comodidad que comprometer el anonimato y la privacidad.
A diferencia de una distro estándar, Tails está preparada para funcionar como Live DVD o Live USB. Eso significa que se carga en memoria, no usa el disco duro ni la partición de intercambio (swap) del equipo, y al apagarlo borra todo lo que se haya hecho durante la sesión, salvo que uses un espacio de persistencia cifrado de forma deliberada.
Otro punto clave es que la totalidad de las conexiones de red se fuerzan a través de Tor; si lo necesitas, puedes consultar cómo instalar Tor Browser y empezar a navegar. Cualquier intento de salir a Internet de otro modo, Tails lo bloquea por defecto. De esta forma, si una aplicación intenta conectarse fuera de Tor, no habrá fuga de IP ni de metadatos, a menos que tú explíctamente desactives esa protección.
Además, Tails viene ya equipado con un conjunto de herramientas orientadas a la seguridad, anonimato y criptografía: cifrado de discos y USB, correo cifrado, mensajería instantánea segura, destrucción segura de archivos y un navegador endurecido con complementos centrados en proteger tu identidad.
Un detalle importante es que Tails está pensado para arquitecturas x86 y x64 (procesadores Intel/AMD habituales). No funciona en PowerPC ni ARM, así que olvídate de usarlo directamente en dispositivos tipo Raspberry Pi con esta misma imagen.
Ventajas clave de usar Tails como sistema anónimo
El principal atractivo de Tails es que toda la actividad de red se canaliza por Tor. Esto hace que tu IP real quede oculta frente a los servicios a los que accedes, y el tráfico entre tu equipo y la red de nodos Tor vaya cifrado. De esta manera, cualquiera que pinche tu conexión desde tu red local o proveedor (ISP) verá ruido cifrado, no el contenido de tus sesiones.
Cualquier conexión que no pase por Tor es bloqueada de manera automática. Este cortafuegos interno impide que un programa mal configurado, un fallo del navegador o una aplicación de terceros “se salte” Tor sin que te des cuenta, reduciendo mucho la probabilidad de fugas de identidad.
Todo el sistema se ejecuta desde el medio Live (DVD/USB) y la RAM del equipo. Tails no escribe en el disco duro ni en la swap, así que, al apagar, la memoria se borra y con ella desaparecen el historial del navegador, las sesiones de mensajería, las configuraciones temporales y cualquier archivo que no hayas guardado en un espacio cifrado adicional.
El USB o DVD desde el que arrancas Tails, por defecto, no tiene persistencia. Eso implica que cualquier paquete que instales, cualquier documento que guardes en la carpeta personal o cualquier ajuste que hagas se perderá al apagar el sistema, salvo que se use un volumen de persistencia bien configurado. Es molesto si quieres comodidad, pero perfecto para no dejar rastro.
La distribución trae de serie utilidades pensadas para proteger tu información: LUKS para cifrar memorias USB o discos externos, OpenPGP para correos y ficheros, OTR para cifrar chats, herramientas como Nautilus Wipe para destruir archivos de forma segura, y extensiones tipo HTTPS Everywhere para maximizar el cifrado al navegar.
Como se ejecuta desde un USB, puedes literalmente llevar tu entorno de trabajo en el bolsillo. Conectas el pendrive en cualquier PC compatible, arrancas desde él, y tienes siempre tu mismo sistema seguro. Incluso si pierdes el USB, si está bien cifrado nadie debería poder leer el contenido sin la contraseña adecuada.
Requisitos mínimos antes de lanzarte a instalar Tails
Antes de preparar tu USB anónimo, conviene comprobar que tu equipo cumple unas condiciones mínimas. Tails puede funcionar con poca máquina, pero si te quedas corto de recursos la experiencia puede ser bastante lenta o directamente inestable.
Lo recomendado es tener al menos 1 GB de memoria RAM. Con menos, el sistema puede arrancar, pero es fácil que vaya muy justo, sobre todo si abres varias pestañas del navegador o usas herramientas pesadas como suites ofimáticas o editores de imagen.
En cuanto al procesador, Tails está pensado para arquitecturas x86 y x64. Cualquier PC de sobremesa o portátil medianamente moderno debería entrar en esta categoría. Quedan fuera procesadores PowerPC y ARM, que son habituales en ciertos servidores antiguos y en muchísimos dispositivos móviles o placas de bajo consumo.
La BIOS o UEFI del equipo debe permitir el arranque desde USB. Es algo estándar en casi todos los ordenadores actuales, pero en modelos antiguos puede que tengas que recurrir a un DVD en lugar de pendrive. Si tu firmware no ofrece opción de arrancar desde USB, revisa actualizaciones o busca el modo de usar un medio óptico.
Por último, vas a necesitar una memoria USB de al menos 2 GB de capacidad para poder copiar la imagen de Tails y ejecutarlo. A efectos prácticos, hoy en día es mejor usar 8 GB o más, sobre todo si piensas crear un volumen de persistencia para guardar documentos y configuraciones cifradas.
Descargar y verificar la imagen ISO de Tails
El primer paso para montar tu USB anónimo es descargar la ISO oficial de Tails desde su web. En la página de descarga puedes elegir varios métodos: descarga directa, uso de un cliente Torrent, etc. Muchas personas optan por el torrent porque suele ser más estable si la conexión va justa.
Cuando termina la descarga, normalmente tendrás la imagen ISO de Tails y, en algunos casos, un archivo adicional con extensión .key o similar que se utilizará en la verificación criptográfica. La ISO ocupa en torno a 900 MB, así que no es exagerado, pero tampoco es una imagen mínima.
La validación de la ISO no es obligatoria, pero sí muy recomendable si te tomas la seguridad en serio. El objetivo es asegurarte de que nadie ha modificado el archivo ni ha insertado código malicioso entre el servidor de Tails y tu ordenador. Este paso comprueba la firma digital que acompaña a la descarga.
Desde la sección de verificación de la web de Tails puedes descargar la clave de firma (Tails signing key). Una vez la guardes en tu carpeta personal (por ejemplo, en tu /home), toca abrir una terminal en tu sistema actual e importar dicha clave con un comando gpg, algo como:
cat tails-signing.key | gpg –keyid-format long –import
Después se lanza la verificación de la imagen usando gpg y el archivo de firma asociado a la ISO, con una orden del tipo: gpg –keyid-format long –verify archivo.iso.pgp archivo.iso. Tendrás que ajustar los nombres de archivo reales según la versión de Tails que te hayas bajado.
Si todo va bien, gpg te mostrará un mensaje de firma correcta de la clave de Tails. Es probable que también avise de que la clave no está certificada por una entidad de confianza; es normal, simplemente te recuerda que esa clave no ha sido verificada en una red de confianza propia. Lo que nos importa es que la firma coincida y la ISO no haya sido alterada.
Crear el primer USB de Tails desde otro Linux
Una vez tengas la ISO verificada, llega el momento de preparar un USB booteable. Hay herramientas gráficas genéricas como Unetbootin, pero con Tails suelen dar problemas: detección incorrecta de núcleos, funciones deshabilitadas, fallos con la persistencia, etc. Lo más fiable es seguir el método recomendado por el propio proyecto.
Antes de nada, asegúrate de tener instalado el paquete syslinux en tu distro actual. En sistemas basados en Debian o Ubuntu puedes hacerlo con: sudo apt-get install syslinux. En muchas distribuciones ya viene preinstalado, pero conviene comprobarlo.
Ahora necesitas dos pendrives. El primero se usará para generar un Live USB inicial de Tails y el segundo será el USB definitivo con todas las funcionalidades completas y, si quieres, persistencia cifrada.
Conecta uno de los USB al ordenador y abre una terminal para identificar cómo lo detecta Linux. El comando df -h o herramientas como lsblk te mostrarán una lista de dispositivos. Verás algo tipo /dev/sdf1 que corresponda a tu pendrive, con un tamaño aproximado a su capacidad (por ejemplo, 1.9G).
La parte importante es quedarte con el nombre de dispositivo sin el número de partición, es decir, /dev/sdf en lugar de /dev/sdf1. Cualquier error aquí podría acabar sobreescribiendo tu disco duro principal, así que conviene ir con mucho cuidado y revisar el tamaño y el punto de montaje.
Con el dispositivo identificado, se usa isohybrid para preparar la ISO y luego se vuelca de forma directa al USB, con comandos similares a:
isohybrid ‘/home/usuario/tails-x.xx.iso’ –entry 4 –type 0x1c
sudo cat ‘/home/usuario/tails-x.xx.iso’ > /dev/sdf && sync
Obviamente, las rutas y nombres de archivo debes adaptarlos a tu caso, y el /dev/sdf debes cambiarlo por el dispositivo que realmente corresponda a tu pendrive. El parámetro sync se encarga de vaciar la caché de escritura para asegurarse de que los datos se han grabado completamente en el USB.
Tras unos minutos, el proceso concluye y ya tienes un primer USB de Tails arrancable. A partir de aquí puedes reiniciar el equipo, configurar la BIOS o UEFI para que arranque desde ese pendrive y cargar Tails por primera vez.
Configurar BIOS/UEFI y arrancar Tails por primera vez
Con el USB creado, toca decirle al ordenador que arranque desde el pendrive en lugar de hacerlo desde el disco duro. Para ello hay que entrar en la BIOS o UEFI del equipo (normalmente pulsando teclas como F2, Supr, F12, Esc, dependiendo del fabricante) nada más encenderlo.
En el menú de configuración del firmware, entra en la sección de Boot o Arranque y ajusta el orden de dispositivos para que el USB quede por delante del disco duro interno. Algunos equipos también tienen un menú de inicio rápido (boot menu) accesible con una tecla concreta para seleccionar el dispositivo de arranque solo en esa sesión.
Una vez guardados los cambios, reinicia con el pendrive de Tails conectado. Si todo está correcto, lo primero que verás será un menú de arranque de Tails, donde habitualmente aparece una entrada principal llamada Tails seleccionable con las flechas del teclado y confirmable con Enter.
Tras unos instantes de carga, aparecerá la pantalla de bienvenida de Tails. Desde ahí puedes elegir el idioma del sistema, el diseño de teclado y alguna que otra opción extra, como ciertas configuraciones de red, aunque lo habitual para empezar es simplemente seleccionar el idioma y pulsar el botón de iniciar.
Cuando el sistema termina de arrancar, te encontrarás en el escritorio de Tails, que usa un entorno basado en GNOME clásico. Desde ese momento, todo lo que hagas se ejecutará bajo las políticas de anonimato y seguridad del sistema.
Clonar Tails a un segundo USB y disponer de todas las funciones
En este primer arranque Tails ya es perfectamente utilizable, pero si lo has creado con el método de volcado directo, puede que algunas funciones avanzadas no estén disponibles al 100 %, especialmente las relacionadas con la persistencia y el instalador propio de Tails.
La forma recomendada de tener un USB completamente funcional es usar el propio instalador de Tails para clonar la sesión actual a un segundo pendrive. Para eso, una vez en el escritorio, conecta la segunda memoria USB que vayas a usar como destino definitivo.
En el menú de aplicaciones, ve a Aplicaciones / Tails / Tails Installer. Se abrirá un asistente gráfico que detectará el medio desde el que estás ejecutando Tails y te ofrecerá varias opciones, entre ellas la de clonar el sistema que tienes en marcha a otra memoria USB.
Selecciona la opción de clonar el Tails actual y, en el campo de dispositivo de destino, elige cuidadosamente el pendrive que acabas de enchufar (fíjate bien en su tamaño para no equivocarte). Cuando pulses en instalar, el programa te advertirá de que el contenido del USB de destino se borrará.
Confirma la operación y espera a que termine el proceso de copiado. Dependiendo de la velocidad de los USB y del puerto (2.0 o 3.0), puede tardar desde unos pocos minutos hasta algo más. Al finalizar, tendrás un nuevo USB con la versión completa de Tails instalada, lista para arrancar en cualquier equipo compatible.
A partir de ese momento no necesitarás el primer pendrive que usaste como base. Puedes reutilizarlo para otra cosa, ya que el segundo será tu medio principal de Tails, con soporte adecuado para actualizaciones, creación de volumen persistente y todas las características oficiales.
Crear un volumen de persistencia cifrada en Tails
Por defecto, cada vez que apagas Tails, se borra toda la configuración, los paquetes instalados y los archivos guardados dentro del sistema. Esto es perfecto para no dejar rastro, pero en el día a día puede ser un poco desesperante tener que repetir siempre las mismas configuraciones o perder documentos entre sesiones.
Para equilibrar seguridad y comodidad, Tails permite crear un volumen de persistencia cifrada dentro del propio USB. Esa zona cifrada servirá para almacenar datos que quieras conservar entre reinicios: documentos personales, claves GPG, configuraciones de red, marcadores del navegador, paquetes descargados, etc.
Una vez arrancado Tails desde el USB definitivo, ve al menú Applications / Tails / Configure persistent Volume. El sistema analizará el espacio libre del pendrive y te mostrará cuántos gigabytes puede usar para crear dicho volumen. De forma predeterminada, propone usar todo el espacio disponible que no está ocupado por el sistema.
Al crear este volumen, Tails te pedirá que introduzcas una contraseña de cifrado robusta. Esa contraseña será la llave para abrir la zona persistente en futuros arranques. Si la pierdes, no podrás acceder a los datos, lo que es bueno para tu seguridad pero desastroso si no recuerdas la clave, así que elige algo fuerte y memorizable.
Tras unos instantes, el volumen se habrá generado y aparecerá un asistente para seleccionar qué tipos de datos quieres que se guarden en esa zona cifrada. No todo es persistente por defecto; tú decides qué se conserva y qué se sigue borrando en cada inicio.
Entre las categorías que puedes activar están:
- Personal Data: permite almacenar archivos personales, documentos de trabajo, fotos y carpetas dentro del volumen persistente.
- GnuPG: guarda las claves OpenPGP creadas o importadas, de modo que siempre las tengas disponibles sin recrearlas.
- SSH Client: conserva claves SSH, hosts conocidos y archivos de configuración para conexiones remotas seguras.
- Pidgin: hace persistentes las cuentas, claves de cifrado OTR y el historial de chats del cliente de mensajería.
- Claws Mail: mantiene la configuración de correo y los mensajes almacenados en el cliente de email.
- Gnome Keyring: almacena en el volumen persistente el contenido del anillo de claves, como contraseñas WiFi y otras credenciales.
- Network Connections: guarda los perfiles de conexión de los puntos de acceso (por ejemplo WLAN_xx) para no reconfigurarlos cada vez.
- APT Packages: conserva los paquetes descargados con apt-get o Synaptic, acelerando futuras reinstalaciones porque no habrá que volver a descargarlos de Internet.
- APT Lists: hace persistentes las listas de repositorios y paquetes que se obtienen con apt-get update.
- Browser Bookmarks: mantiene los marcadores del navegador (por ejemplo enlaces a sitios .onion ocultos o páginas que uses a menudo).
- Dotfiles: permite que determinados archivos de configuración ubicados en una ruta concreta se reflejen en tu carpeta personal.
- Custom Directory: ofrece elegir cualquier carpeta para que su contenido se almacene en el volumen persistente.
Una vez marques las opciones que te interesen y pulses en guardar, Tails te pedirá que reinicies el sistema para que los cambios entren en vigor. A partir de entonces, cada vez que arranques desde ese USB, se te preguntará si quieres habilitar la persistencia e introducir la contraseña del volumen.
También existe la posibilidad de montar el volumen en modo solo lectura si en algún momento quieres consultar datos sin arriesgarte a que se modifiquen o se deje alguna traza adicional.
Software incluido en Tails para privacidad y uso diario
Aunque Tails está centrado en el anonimato, no deja de ser un sistema relativamente completo para tareas de uso diario. No está pensado como distro generalista, pero sí trae de serie un buen conjunto de aplicaciones para navegar, trabajar con documentos, editar multimedia y gestionar criptografía.
En el apartado de red y comunicaciones, Tails incluye el propio Tor y su configuración específica, un gestor de red GNOME para conectarte a WiFi o cable, el navegador endurecido (derivado de Firefox, históricamente Iceweasel), el cliente de mensajería Pidgin con soporte OTR para cifrado de chats, el cliente de correo Claws Mail, un lector de feeds como Liferea, herramientas colaborativas como Gobby y utilidades de auditoría inalámbrica como Aircrack. También puede integrar I2P para redes anónimas alternativas.
En la parte ofimática y multimedia, encontrarás OpenOffice o LibreOffice (según la versión), editores gráficos como Gimp e Inkscape, maquetación con Scribus, edición de audio con Audacity, edición de vídeo con Pitivi, herramientas de escaneo como Simple Scan y Sane, grabación de discos con Brasero y extracción de audio con Sound Juicer, entre otros.
El bloque más potente es el de criptografía y privacidad. Ahí Tails integra LUKS y herramientas gráficas tipo Palimpsest para gestionar discos cifrados, GnuPG para cifrado de correos y archivos, gestores de contraseñas como KeepassX, utilidades de generación segura de claves (PWGen), mecanismos de compartición segura de secretos como Shamir’s Secret Sharing, teclado virtual Florence para evitar keyloggers de hardware, MAT para limpiar metadatos de documentos y complementos de navegador que fuerzan el uso de HTTPS siempre que sea posible.
El sistema también incluye utilidades específicas para eliminar archivos de forma irrecuperable y limpiar espacio libre. Estas herramientas sobrescriben los datos con patrones que dificultan enormemente su recuperación, lo que encaja con la filosofía “amnesic” de Tails.
Limitaciones y riesgos que hay que tener en cuenta al usar Tails
Por muy potente que sea Tails, no es una varita mágica. Hay que tener claro qué problemas soluciona y cuáles no, y cuáles son los riesgos que siguen existiendo, sobre todo si el usuario baja la guardia o instala cosas a lo loco.
Lo primero: aunque todo el tráfico pasa por Tor, el tramo de salida desde el nodo de salida Tor hasta el servidor web no siempre va cifrado. Si la web no usa HTTPS correctamente, alguien en medio puede capturar el tráfico y ver lo que estás haciendo, incluso manipularlo. Tor no encripta automáticamente ese último tramo si el servicio no lo hace.
Tu proveedor de Internet y el administrador de la red local pueden ver que estás usando Tor, aunque no sepan fácilmente a qué webs exactas accedes. La red Tor no está pensada para ocultar el uso de Tor en sí, sino para ocultar el origen y destino concretos del tráfico que pasa por ella.
Los sitios web pueden comprobar si una IP pertenece a un nodo de salida de Tor usando listas públicas. Eso significa que ciertas páginas pueden bloquear el acceso o aplicar medidas adicionales de seguridad (captchas agresivos, limitaciones, etc.) cuando detectan que entras desde Tor.
Tampoco estás a salvo de ataques de tipo Man in the Middle. Un nodo de salida malicioso podría intentar espiar o modificar el tráfico no cifrado entre Tor y el servidor web. O un atacante en la ruta podría explotar vulnerabilidades en el navegador o en plugins si no estás al día en actualizaciones.
Otro punto crítico es que Tails no cifra tus documentos o correos de manera automática. El sistema te proporciona herramientas para cifrar, pero eres tú quien debe usarlas bien: configurar PGP, cifrar volúmenes con LUKS, proteger tus contraseñas, etc. Si guardas texto plano en la persistencia y pierdes la contraseña o alguien la obtiene, el cifrado deja de servir de mucho.
Si quieres cambiar de identidad a mitad de sesión, lo más seguro es cerrar Tails y arrancarlo de nuevo. Funciones como “Nueva identidad” en herramientas asociadas a Tor tienen limitaciones: cambian la ruta de nodos para conexiones nuevas, pero no necesariamente limpian todas las cookies, sesiones y datos acumulados en el navegador si no reinicias el entorno por completo.
La persistencia es muy útil, pero también abre puertas. Si alguien se hace con tu USB y logra romper o adivinar la contraseña, podría acceder a los archivos almacenados en el volumen cifrado. Además, cuantas más cosas persistas y más información acumules, mayor será el impacto si ese pendrive termina en manos ajenas.
Instalar paquetes adicionales en Tails puede comprometer sus garantías de anonimato. La distro está muy afinada para minimizar fugas, y añadir software no revisado o que se comunique de formas poco transparentes puede abrir agujeros inesperados. Lo ideal es instalar lo mínimo imprescindible y siempre entender qué estás añadiendo.
Por último, Tails evoluciona de manera constante. Las actualizaciones corrigen fallos de seguridad y vulnerabilidades, así que es fundamental mantener el sistema al día. Un Tails desactualizado puede estar expuesto a exploits conocidos que un atacante con algo de paciencia podría aprovechar.
Al final, Tails es una pieza muy sólida dentro de una estrategia de privacidad, pero la seguridad depende en gran medida del propio usuario: de sus hábitos, de cómo gestiona sus contraseñas, de lo que comparte en la red y de cómo configura las herramientas que el sistema pone a su disposición.
Conociendo todo lo anterior, Tails se convierte en una opción muy potente para quien necesita un entorno de trabajo aislado, portable y centrado en el anonimato: desde quienes simplemente quieren navegar con algo más de tranquilidad hasta perfiles más avanzados que requieren un sistema operativo amnésico para labores delicadas sin dejar huellas en los equipos donde trabajan.
