Saltar al contingut principal

Sistema operatiu d'escriptori més privat (2026): Windows 11 vs macOS vs Ubuntu vs Fedora vs Mint vs Qubes vs Tails

Comparativa honesta de privadesa de set sistemes operatius d'escriptori: Windows 11, macOS Sequoia, Ubuntu, Fedora, Linux Mint, Qubes OS i Tails. Configuracions de telemetria per defecte, requisits de compte, xifratge, i quin triar segons el model d'amenaces — sense floriture.

Última actualització: 22 d’abril del 2026

Resum

  • Per a la majoria d'usuaris, la classificació de privadesa és: **Tails > Qubes OS > Linux Mint / Fedora / Ubuntu > macOS > Windows 11**.
  • **Windows 11** té la configuració per defecte més agressiva: compte de Microsoft obligatori, telemetria inevitable, Copilot+Recall fa captures de pantalla al hardware compatible. Es pot endurir però lluites contra la configuració per defecte.
  • **macOS Sequoia** és el sistema operatiu comercial més privat: seguretat al dispositiu sòlida, iCloud xifratge és opcional (Protecció de dades avançada), però és de codi tancat així que no pots verificar què fa realment.
  • **Linux d'escriptori** (Ubuntu, Fedora, Mint) és de codi obert, sense compte forçat, sense telemetria de la qual preocupar-se després de petites exclusions. Mint té la configuració per defecte més privada dels tres.
  • **Qubes OS** guanya per a usuaris d'alta amenaça que volen seguretat via compartimentació. **Tails** és la referència per a sessions temporals, amnèsiques i dirigides per Tor — no un sistema diari.

La resposta breu

Si la privadesa és la màxima prioritat i estàs disposat a canviar hàbits:

  • Model d'amenaces extrem (periodista protegint fonts, activista en un estat hostil, investigador de seguretat): Qubes OS per ús diari + Tails en un USB separat per sessions puntuals d'alt risc.
  • Enfocat en privadesa però pràctic (vols un ordinador d'aspecte normal que no truqui a casa): Linux Mint — ecosistema de software compatible amb Ubuntu, addicions de Canonical eliminades, configuració conservadora per defecte.
  • Millor sistema operatiu comercial per a la privadesa: macOS Sequoia amb Protecció de dades avançada habilitada. S'aplica la limitació de codi tancat, però la configuració per defecte és millor que Windows i la seguretat del dispositiu és excel·lent.
  • Has d'usar Windows per feina: Windows 11 Pro (no Home) amb Política de grup, BitLocker, Firefox, i un pas d'enduriment seriós. És possible executar un Windows 11 raonablement privat — només passes un cap de setmana configurant-lo, i deriva cap enrere a cada actualització major.

Tot el que hi ha a continuació és el detall darrere aquesta classificació — què fa cada sistema operatiu per defecte, què pots canviar, i què no pots.

Windows 11 — la línia de base anti-privadesa

Windows 11 és el pitjor de les opcions principals, no perquè sigui maliciós, sinó perquè el model de negoci de Microsoft tracta l'OS com un producte de dades. Específics:

Requisit de compte. Windows 11 Home requereix un compte Microsoft durant la configuració. Les solucions alternatives de compte local (l'ordre OOBE\BYPASSNRO, el truc no@thankyou.com) continuen sent corregides en actualitzacions cumulatives. Windows 11 Pro encara permet comptes locals durant la configuració si tries el camí "unir-se al domini".

Telemetria. Dos nivells: "Dades de diagnòstic necessàries" (sempre activades, no es poden desactivar via UI de Configuració — la Política de grup et permet restringir-ho, però alguns senyals encara flueixen) i "Dades de diagnòstic opcionals" (telemetria completa a nivell de navegació que pots desactivar però està ACTIVADA per defecte). Microsoft publica un diccionari de dades, que és més del que fan la majoria de proveïdors d'OS, però la línia de base és "Microsoft sap què estàs fent".

Copilot + Recall. Recall (en PCs Copilot+ amb NPUs) fa captures de pantalla cada pocs segons, les converteix amb OCR, i construeix un índex local cercable. Després de la reacció de seguretat del juny de 2024, Microsoft el va fer d'inclusió voluntària, va xifrar la base de dades, i va requerir autenticació Windows Hello per consultar-la. La capacitat subjacent roman integrada a l'OS. Cada actualització major reoperta la pregunta "Recall encara és realment d'inclusió voluntària?" Copilot mateix envia consultes a Azure OpenAI tret que deshabilitis explícitament la característica.

OneDrive per defecte. Les instal·lacions noves redireccionen silenciosament els teus Documents, Imatges, i Escriptori a %OneDrive%\ i comencen a sincronitzar. Milions d'usuaris tenen els seus fitxers personals al núvol de Microsoft sense prendre una decisió conscient de pujar-los.

Edge + Bing. El navegador per defecte envia consultes a Bing. Edge té característiques útils de privadesa (bloqueig de rastrejadors, InPrivate) però el seu comportament per defecte inclou enviar URLs al Defender SmartScreen de Microsoft.

Què pots fer. Windows 11 és l'OS més endurible perquè hi ha tant per desactivar:

  • Instal·la amb un compte local (Pro o un ajust de registre a Home)
  • Executa O&O ShutUp10++ — una llista curada de 100+ commutadors de privadesa amb valors per defecte "recomanats". Aplica canvis de Política de grup + registre que sobreviuen a les actualitzacions.
  • Desactiva la configuració d'OneDrive durant la instal·lació, elimina-la completament si no s'usa
  • Reemplaça Edge amb Firefox o Brave; canvia la cerca per defecte a DuckDuckGo, Kagi, o Startpage
  • Desinstal·la Cortana, Teams Consumer, i les aplicacions Xbox si no s'usen
  • BitLocker (només Pro) o VeraCrypt (Home) per FDE
  • Política de grup: Configuració de l'ordinador → Plantilles administratives → Components de Windows → Recollida de dades

Després d'aquest pas, Windows 11 es pot fer aproximadament tan privat com Ubuntu no modificat. L'impost continu és revisitar la teva configuració després de cada Actualització de característiques (20H2, 22H2, 23H2, 24H2 cada una va reintroduir alguns comportaments).

macOS Sequoia 15 — el millor sistema operatiu comercial per a la privadesa

macOS Sequoia és dramàticament millor que Windows 11 per defecte, però "millor que Microsoft" no és el mateix que "privat".

Telemetria d'Apple — Anàlisi, Anàlisi del dispositiu, i Anàlisi d'iCloud — estan desactivades per defecte en una instal·lació nova a la UE (GDPR), activades per defecte als EUA (les pots desactivar a Configuració → Privadesa i seguretat → Anàlisi i millores). Apple publica la seva política de privadesa i fa afirmacions específiques sobre el processament al dispositiu, però no pots verificar independentment aquestes afirmacions perquè l'OS és de codi tancat.

iCloud per defecte. Fotos, Contactes, Calendari, i iCloud Drive es sincronitzen per defecte si inicies sessió amb un Apple ID. Missatges a iCloud està desactivat tret que s'habiliti. Protecció de dades avançada (iCloud xifrat extrem a extrem per a la majoria de categories — Fotos, Notes, Drive, còpies de seguretat) és d'inclusió voluntària i requereix iOS 16.2+ / macOS 13+ a tots els teus dispositius. Apple la desemfasitza activament durant la configuració perquè habilitar-la significa que Apple no pot recuperar les teves dades si perds l'accés.

Siri + Spotlight. Les consultes s'envien a Apple per resolució. Apple diu que estan anonimitzades i no vinculades al teu Apple ID. Pots desactivar "Suggeriments de cerca d'Apple" a Safari per evitar que l'escriptura a la barra d'URLs arribi als servidors d'Apple.

Apple Intelligence (afegit 2024). Majoritàriament al dispositiu per models més petits, però algunes consultes s'envien a la infraestructura "Private Cloud Compute" d'Apple. PCC usa hardware attestat i binaris publicats — una arquitectura de privadesa genuïnament nova. És d'inclusió voluntària a la UE, d'inclusió voluntària arreu també a partir de macOS 15.

Gatekeeper + signatura de codi. Cada aplicació que executes obté una verificació de signatura contra el servei notari d'Apple. Les aplicacions de primera execució truquen a casa amb el hash del Developer ID — Apple pot (en teoria) registrar què està executant cada Mac i quan. Aquesta és una característica de seguretat (atrapa aplicacions conegudes malicioses) amb costos de privadesa. sudo spctl --master-disable desactiva l'aplicació de signatura però no és recomanat.

Fortaleses.

  • Apple Silicon + Secure Enclave = seguretat de dispositiu sòlida, desbloqueig biomètric vinculat al hardware
  • Les aplicacions de l'App Store tenen etiquetes de privadesa (auto-attestades pel desenvolupador, però encara mostren informació)
  • El model de permisos és estricte — les aplicacions han de demanar abans de llegir contactes, calendari, càmera, micròfon, localització
  • FileVault (FDE) és trivial d'habilitar i usa el Secure Enclave
  • Sense antivirus obligatori trucant a casa

Debilitats.

  • Codi tancat — les afirmacions de privadesa són la paraula d'Apple
  • Les exclusions d'iCloud estan escampades per panells de Configuració
  • La configuració de Protecció de dades avançada té molta fricció (Apple activament fa més difícil habilitar-la)
  • Bloqueig de hardware — si t'importa prou la privadesa per verificar-la, probablement vols estar en un Linux que puguis auditar

Configuració pràctica. Instal·lació nova → declina anàlisi opcionals → habilita FileVault → habilita Protecció de dades avançada si tots els teus dispositius la suporten → instal·la Firefox → no iniciïs sessió a iCloud fins que hagis decidit exactament quines categories sincronitzar.

Ubuntu 24.04 LTS — el Linux popular

Ubuntu és la distribució Linux més desplegada en escriptoris i una línia de base de privadesa raonable. Canonical té història barrejada en aquest tema.

La lent d'Amazon de 2013. Per un període breu, la cerca del Dash d'Unity d'Ubuntu enviava consultes a Amazon per "lents" de resultats de compres. Això va desencadenar una crisi de confiança de diversos anys a la comunitat. La característica va ser eliminada a 16.04 i Canonical no l'ha repetit. Val la pena saber-ho perquè colora com se senten els usuaris de Linux de llarga data sobre Ubuntu.

Telemetria actual.

  • Ubuntu Report — un resum anònim d'una sola vegada de hardware/software enviat durant la instal·lació. D'inclusió voluntària; veus el missatge abans que s'executi.
  • Apport — informe de fallades. Desactivat per defecte en llançaments; opta per participar per fallada.
  • Livepatch — parxes en calent del nucli. D'inclusió voluntària; requereix una subscripció Ubuntu Advantage.
  • PopCon — concurs de popularitat de paquets. Desactivat per defecte.
  • Telemetria Snap — la botiga snap de Canonical recull recomptes d'instal·lació/actualització. Menys invasiu que la telemetria del navegador però encara una trucada a Canonical per cada instal·lació snap.

Pantalles de molèstia ubuntu-advantage-tools. Les versions recents d'Ubuntu van afegir missatges "motd" quan fas SSH o obres un terminal, publicitant Ubuntu Pro. Molest però no un problema de privadesa (sense dades sortints). Eliminat o silenciat a 24.04 establint ENABLED=0 a /etc/default/ubuntu-advantage-tools.

Snap vs apt. Ubuntu 22.04+ lliura Firefox com un paquet snap. La botiga snap parla als servidors de Canonical; els paquets apt tradicionals parlen a qualsevol mirall que hagis configurat. Si l'enrutament "tot a través de Canonical" et molesta, canvia al paquet apt Firefox ppa:mozillateam/ppa, o instal·la Firefox directament des de flatpak.

Fortaleses. Codi obert, auditable, selecció massiva de paquets, gran suport de hardware, Wayland per defecte a 22.04+, GNOME 46 amb configuració de privadesa raonable per defecte.

Debilitats. Els interessos comercials de Canonical a vegades apunten a dades d'usuari; la telemetria Snap és inevitable si uses snaps; les molèsties de marca "Ubuntu Advantage" són visibles.

Configuració pràctica. Instal·lació nova → declina Ubuntu Report → desactiva Apport → desactiva PopCon → reemplaça Snap Firefox amb apt Firefox o Flatpak → habilita LUKS FDE durant la instal·lació → Firefox amb uBlock Origin.

Fedora 41 — el Linux upstream-first

Fedora és la distribució comunitària de Red Hat (IBM), usada com a upstream per RHEL. En privadesa és similar a Ubuntu amb algunes diferències.

Sense equivalent de Canonical. Red Hat / IBM no publicitenen una subscripció "Advantage" a usuaris d'escriptori; les llicències d'empresa viuen a RHEL, no Fedora. Sense pantalles de molèstia, sense missatges d'actualització forçada.

Telemetria per defecte. Mínima. Fedora Report (un cens de hardware) s'està introduint a 42 — debat comunitari en curs, l'estatus actual és d'inclusió voluntària. ABRT (informe de fallades) és d'inclusió voluntària; veuràs una notificació quan passi una fallada i pots decidir si enviar-la.

SELinux aplicant per defecte. Aquesta és una característica de seguretat, no privadesa per se — conté exploits a nivell de procés així una aplicació compromesa no pot llegir tot al teu sistema. Ubuntu usa AppArmor per al mateix propòsit però en una postura per defecte més permissiva. SELinux és més estricte.

Flatpak + dnf. Els gestors de paquets de Fedora. Els flatpaks Flathub parlen al CDN Flathub (no un senyal de telemetria, només una descàrrega); dnf parla als miralls de Fedora.

Wayland primer. Cada spin d'escriptori (GNOME, KDE, XFCE, etc.) lliura amb Wayland com la sessió per defecte, que té millor aïllament entre aplicacions GUI que X11 (les aplicacions no es poden fer captures de pantalla / enxampar pulsacions de tecles entre elles).

Fortaleses. Sense patrons comercials estil Canonical, SELinux aplicant, seguiment ràpid upstream (nucli/Mesa/GNOME són tots més nous que Ubuntu).

Debilitats. Última generació pot significar "alguna cosa es va trencar per una regressió de controlador"; cicle de suport de 13 mesos per llançament vs 5 anys d'Ubuntu LTS.

Configuració pràctica. Instal·lació nova → declina informes de fallades (obtens un missatge la primera vegada que un es dispara) → habilita LUKS durant la instal·lació → Firefox està pre-instal·lat i no és un flatpak a Fedora Workstation.

Linux Mint 22 — el millor Linux privat per defecte

Linux Mint és el debloat de llarga durada d'Ubuntu. Prenen Ubuntu LTS upstream, treuen les addicions de Canonical, reemplacen l'escriptori amb Cinnamon (o Xfce / MATE), i el lliuren. El que obtens:

Sense Snap per defecte. Mint elimina explícitament snap i bloqueja apt d'instal·lar el dimoni snap. Firefox està instal·lat com un paquet apt regular del PPA de Mozilla. Sense pantalles de molèstia.

Sense Ubuntu Report, sense ubuntu-advantage-tools. Mint desactiva o desinstal·la els bits comercials de Canonical.

Sense telemetria. Mint mateix no truca a casa. L'informe de fallades està desactivat. El gestor d'actualitzacions parla al mirall de Mint per actualitzacions — tràfic estàndard del gestor de paquets — però no informa ús.

Alternativa LMDE. Si vols una versió de Mint lliure de Canonical, LMDE (Linux Mint Debian Edition) usa Debian Stable com a base. Experiència d'escriptori idèntica, upstream diferent.

Cinnamon. Un fork de GNOME que prioritza un escriptori tradicional similar a Windows. Menys "modern" que GNOME, menys dirigit per teclat que KDE, però accessible per usuaris canviant des de Windows.

Fortaleses. La configuració de privadesa per defecte més conservadora de qualsevol distribució principal. Comunitat enorme. Estable. Bon suport de hardware via la base Ubuntu.

Debilitats. Més lent a adoptar nova tecnologia (Wayland encara és d'inclusió voluntària a Mint 22, per defecte a X11). Cinnamon té menys contribuïdors que GNOME o KDE. L'upstream Ubuntu significa que hereges els errors d'Ubuntu, només no la seva telemetria.

Configuració pràctica. Instal·lació nova → habilita LUKS durant la instal·lació → actualitza → instal·la Firefox (ja està allà) + uBlock Origin → això és tot. Mint és la distribució on "instal·la i usa" et dóna una postura de privadesa raonable sense més feina.

Qubes OS 4.2 — compartimentació com el model d'amenaces

Qubes està en la seva pròpia categoria. En lloc d'intentar fer un OS més privat, Qubes assumeix que qualsevol sistema únic serà compromès i aïlla el radi d'explosió usant virtualització.

Com funciona. Qubes s'executa en metall nu via l'hipervisor Xen. Cada "VM" (anomenada qube en la seva terminologia) executa un userspace Linux d'un sol ús — típicament plantilles Fedora o Debian. Quan cliques un adjunt de correu, s'obre en una DisposableVM que es destrueix després de tancar-la. La teva banca passa a la seva pròpia AppVM amb accés de xarxa només al teu banc. Navegar enllaços aleatoris passa en una qube Whonix-Workstation que enruta a través de Tor.

El cost UX. Copiar-enganxar entre qubes requereix una drecera de teclat explícita (Ctrl+Shift+V) que confirma la transferència. Els fitxers moguts entre qubes passen per un diàleg FileCopy dedicat. Perds l'assumpció "tot simplement funciona al mateix escriptori" d'un OS normal — però guanyes límits de seguretat reals.

Propietats de seguretat.

  • Un exploit de navegador a la qube de treball no pot arribar a fitxers a la qube personal.
  • Un lector PDF compromès no pot exfiltrar la teva cartera cripto.
  • Un llapis USB connectat es munta en una qube sys-usb dedicada — si està carregat amb malware, dona la VM d'un sol ús, no dom0 (el domini de control de confiança).
  • dom0 no té accés a internet en absolut; literalment no pots executar un navegador a dom0.

Requisits de hardware. 16 GB de RAM mínim (Qubes recomana 16 GB), 32 GB pràctic. SSD ràpid (NVMe preferit). CPUs Intel amb VT-x + VT-d; portàtils específics són a la llista de compatibilitat de hardware (Thinkpads més nous, Framework, System76 Oryx Pro).

Integració Tor via Whonix. Des del primer moment, Qubes lliura amb plantilles Whonix — una configuració de dues VMs on una VM fa enrutament Tor i l'altra executa el teu navegador, sense manera perquè el navegador aprengui la IP real fins i tot si totalment explotat. Millor arquitectura Tor excepte Tails.

Fortaleses. Model de seguretat estàndard d'or per usuaris d'alta amenaça. Codi obert. Snowden i periodistes d'alt valor l'usen públicament.

Debilitats. Corba d'aprenentatge pronunciada (2-4 setmanes per sentir-se còmode). Requisits de hardware pesats. Suport de hardware limitat — llistes de portàtils específics més que "la majoria de hardware modern". Sense software comercial; estàs només en aplicacions Linux.

Configuració pràctica. La guia d'instal·lació pròpia de Qubes és excel·lent. Preveu un cap de setmana per a la primera instal·lació i aprendre el model qube. Emparella amb un portàtil compatible (comprova la seva llista HCL — no compris hardware aleatori).

Tails 6.x — sessions amnèsiques en USB

Tails (The Amnesic Incognito Live System) és un OS viu basat en Debian que arrenca des d'un USB i oblida tot quan apagas. Cada connexió sortint és forçada a través de Tor — si un error en una aplicació intenta fer una connexió directa, falla més que filtrar.

Com l'uses. Arrenca una màquina objectiu des d'un USB Tails. Usa-la. Reinicia. El disc dur de la màquina mai es toca (tret que optis explícitament). Cap rastre de la sessió roman enlloc excepte en memòria humana.

Emmagatzematge persistent. D'inclusió voluntària, al mateix USB, xifrat amb LUKS. Et permet mantenir una carpeta específica, configuració de ponts Tor, i una llista curta d'aplicacions entre reinicis. Tot la resta continua amnèsic.

Enrutament Tor. Tot el tràfic. Sense "túnel dividit", sense "exempció basada en domini". Les aplicacions que no poden usar Tor simplement no es poden connectar. Això és estricte i ocasionalment molest (algunes videoconferències es trenquen, la majoria de llocs bancaris bloquegen sortides Tor) però és la propietat de seguretat.

Fortaleses. Amnèsic per disseny — un USB mal col·locat no filtra la teva sessió. Tor per defecte — cap manera d'accidentalment filtrar la teva IP real. Superfície d'atac petita — pila de software mínima. Ben mantingut per una organització sense ànim de lucre.

Debilitats. No un controlador diari. Arrencar des d'USB és més lent. La selecció de software és intencionadament limitada. La latència Tor trenca molts serveis comercials. Sense estat persistent del sistema entre reinicis tret que optis.

Millor per a.

  • Creuar fronteres (reinicia a OS normal abans de duanes)
  • Reunir-se amb fonts periodístiques
  • Investigar un tema sensible que no s'hauria de barrejar amb la teva identitat diària
  • Qualsevol sessió on "el que estàs fent ara no ha de ser vinculable a qui ets la resta del temps"

Configuració pràctica. Descarrega Tails des de tails.net, verifica la signatura (crític), grava a un USB ≥ 8 GB, arrenca la màquina objectiu des d'ell (pot requerir ajust BIOS/UEFI). Estableix una contrasenya d'administrador si necessites executar ordres sudo durant la sessió.

Taula de comparació

OS Telemetria (per defecte) Compte requerit Codi obert FDE per defecte Cloud per defecte Puntuació privadesa
Windows 11 Home Sempre activa + només exclusió voluntària Sí (Microsoft) No A vegades (auto Xifratge dispositiu) OneDrive actiu ★☆☆☆☆
Windows 11 Pro Reduïble via Política de grup No (opció unir-se domini) No Sí (BitLocker) OneDrive actiu ★★☆☆☆
macOS Sequoia Exclusió voluntària UE, actiu per defecte EUA Recomanat (Apple ID) No No (usuari ha d'habilitar FileVault) iCloud actiu per Fotos ★★★☆☆
Ubuntu 24.04 Només inclusió voluntària moment instal·lació No Opcional a la instal·lació Cap (telemetria snap) ★★★★☆
Fedora 41 Informes fallades inclusió voluntària No Opcional a la instal·lació Cap ★★★★☆
Linux Mint 22 Cap No Opcional a la instal·lació Cap ★★★★★
Qubes OS 4.2 Cap No Sí (LUKS obligatori) Cap ★★★★★
Tails 6.x Cap No Vol persistent opcional Cap (enrutat Tor) ★★★★★

(Les estrelles són un compost aproximat de "càrrega telemetria + penalització codi tancat + FDE per defecte + lock-in núvol". No l'única cosa que importa — un Windows 11 Pro endurit pot ser més privat que una instal·lació Ubuntu descuidada.)

La nostra recomanació per cas d'ús

1. Consumidor conscient de privadesa que també necessita software principal (Adobe, jocs, Office, Zoom, etc.). Windows 11 Pro amb BitLocker + O&O ShutUp10++ + Firefox + compte local. O dual-boot Windows per les aplicacions que ho requereixen i Linux Mint per tot la resta.

2. Treballador del coneixement, desenvolupador, estudiant, escriptor. Linux Mint amb LUKS + Firefox + uBlock Origin. El noranta per cent dels fluxos de treball Windows/macOS es mapegen netament a Mint. LibreOffice per a la majoria de documents, OnlyOffice si necessites millor compatibilitat Microsoft Office.

3. Creador de contingut / dissenyador que usa Adobe Creative Cloud. macOS Sequoia amb FileVault + Protecció de dades avançada + Firefox. El suport Adobe és real a macOS; és estrany a Linux (Wine/Bottles funcionen per algunes aplicacions, no totes). El rendiment Apple Silicon en treball de vídeo és genuïnament el millor de les tres opcions comercials.

4. Periodista / activista / investigador manejant material sensible. Qubes OS en hardware compatible per treball diari + Tails en un USB per sessions puntuals d'alt risc. Usa dispositius físics separats per a la "identitat pública" vs "identitat de treball sensible" si és possible.

5. Sessió ocasional d'alt risc (creuar una frontera, reunir-se amb una font, investigar un tema). Tails en un USB, arrencat en una màquina neta, apagat després. No reutilitzis l'USB entre diferents escenaris de risc sense netejar el volum persistent.

6. Avi aprenent a usar un ordinador. ChromeOS en un Chromebook per simplicitat, O Linux Mint Cinnamon si hi ha algun membre de la família que pugui fer configuració inicial. Evita Windows 11 Home — la configuració de compte Microsoft sola és confusa i la feina de neteja no val la pena per a un usuari lleuger.

El que realment executem

Divulgació completa: l'equip ipdrop.io executa una barreja — macOS per contingut/disseny/treball diari, Linux Mint en una màquina separada per desenvolupament/treball sensible, i un USB Tails en un calaix que s'usa potser 3-4 vegades a l'any. Qubes el respectem però no l'usem diàriament — la fricció és real i el nostre model d'amenaces no ho requereix.

Sigui el que sigui que triïs, el moviment de privadesa més important no és l'OS — és habilitar xifratge complet del disc, usar un gestor de contrasenyes, i no barrejar identitats sensibles al teu navegador quotidià. L'elecció d'OS és el marc; els hàbits són la imatge.

Relacionat

Com endurir qualsevol sistema operatiu d'escriptori per a la privadesa

Una llista de verificació agnòstica de plataforma que cobreix els guanys de privadesa 80/20 independentment del sistema operatiu que tinguis. La majoria d'aquestes prenen menys d'una hora.

  1. Habilita el xifratge complet del disc:BitLocker (Windows 11 Pro — no Home), FileVault (Configuració del sistema macOS → Privadesa i seguretat → FileVault), o LUKS durant la instal·lació de Linux. Sense FDE, un portàtil perdut és una violació de privadesa. Usa una contrasenya de 18+ caràcters aleatoris (no una contrasenya que recordis — emmagatzema la contrasenya al teu gestor de contrasenyes i la clau de recuperació impresa en una caixa forta física).
  2. Desactiva la telemetria que no necessitis:Windows 11 → Configuració → Privadesa i seguretat → desactiva tots els interruptors que no necessitis activament; executa O&O ShutUp10++ per ajustos més profunds de Política de grup. macOS → Configuració → Privadesa i seguretat → Anàlisi i millores → desactiva tota la compartició. Ubuntu/Fedora → opta per no participar durant l'instal·lador (caselles "Ajuda a millorar...") i desactiva l'informe de fallades. Linux Mint → res a desactivar, però re-verifica després d'actualitzacions majors.
  3. Canvia el teu navegador per defecte a Firefox o Brave, no Chrome/Edge/Safari:Chrome envia cada URL a Google per Safe Browsing per defecte (existeix exclusió voluntària). Edge envia a Microsoft. Safari és menys dolent però encara centrat en Apple. Firefox amb mode estricte i un bloquejador d'anuncis (uBlock Origin) és el millor equilibri de privadesa i compatibilitat. Brave té valors per defecte més durs però l'angle de recompenses de xarxa publicitària fa que alguns es sentin incòmodes. Instal·la el navegador PRIMER en un sistema operatiu nou abans d'iniciar sessió en res.
  4. Usa un gestor de contrasenyes amb xifratge extrem a extrem:Proton Pass o Bitwarden — tots dos de codi obert, tots dos xifrats E2E. Habilita 2FA al gestor de contrasenyes mateix. Mai reutilitzis contrasenyes. Veu la nostra comparativa Proton Pass vs Bitwarden per quin triar.
  5. Afegeix un VPN per a xarxes no confiables (i considera sempre actiu):El teu proveïdor de serveis d'Internet / cafeteria / aeroport / xarxa d'empresa pot veure cada domini al qual et connectes. Un VPN (Proton VPN o Mullvad, no gratuïts) xifra el tràfic al servidor VPN i reemplaça el teu ISP amb un intermediari de confiança. Per privadesa específicament — no només desbloqueig geogràfic — considera deixar-lo activat fins i tot a casa.
  6. Configura còpia de seguretat al núvol xifrada o deixa de sincronitzar carpetes sensibles al núvol:Si estàs a Windows 11 OneDrive està activat per defecte i escaneja cada fitxer que deixes caure a la teva carpeta Documents. macOS fa similar amb iCloud Drive tret que optis per no participar. Opcions, classificades per privadesa — (a) còpia de seguretat local només a una unitat externa xifrada, (b) Proton Drive amb el seu xifratge d'accés zero, (c) Bitwarden Send o Magic Wormhole per transferències xifrades ocasionals. Desactiva la sincronització al núvol per defecte per qualsevol carpeta que contingui documents financers, mèdics o d'identitat.
  7. Audita les extensions del navegador i aplicacions instal·lades trimestralment:Les extensions són un camí clàssic d'exfiltració — el mateix permís que permet a un bloquejador d'anuncis llegir cada pàgina també permet a una extensió compromesa fer el mateix. Cada 90 dies, revisa tres coses — extensions del navegador instal·lades (elimina qualsevol que no hagis usat en 30 dies), aplicacions instal·lades (desinstal·la qualsevol que no reconeguis), i la teva llista d'aplicacions connectades "Inicia sessió amb Google / Facebook / Apple" (revoca les obsoletes).
  8. Fes que els serveis de localització siguin d'inclusió voluntària per aplicació:En cada sistema operatiu, vés a Configuració → Privadesa → Serveis de localització i estableix el valor per defecte a "Denega" per aplicacions tret que ho necessitis activament (p. ex. Mapes, Temps). Un navegador no hauria de necessitar localització tret que hagis clicat un missatge "permetre" en un lloc específic. macOS i Linux ho fan bé; Windows 11 requereix commutació més deliberada perquè moltes aplicacions incloses per defecte tenen "Permetre".
  9. Per màxima privadesa, separa identitats en màquines separades:El millor moviment d'higiene de privadesa és deixar de barrejar una identitat personal amb una identitat de treball/professional al mateix dispositiu i perfil de navegador. O usa perfils de navegador separats amb aïllament agressiu de cookies, o millor — un segon dispositiu físic (un portàtil antic executant Linux Mint costa 100-200€ usat) per investigació sensible, banca, periodisme. Qubes OS ho fa a nivell d'OS amb VMs Xen, però fins i tot "dos portàtils" et dóna el 90% allà.

Preguntes freqüents

Articles relacionats

Llista de Privacitat

Què és una VPN?

Correu Electrònic Xifrat

Emmagatzematge Xifrat

Proton Pass vs Bitwarden (2026): Comparació honesta — Seguretat, funcions, preu