Guía práctica · Evasiones comunes
Cómo bloquear el modo incógnito sin apps invasivas
Publicado el · Actualizado el
El modo incógnito suele aparecer como el enemigo principal, pero en realidad es solo un síntoma: cuando el control parental depende del navegador, cualquier cambio de app, perfil o ajuste local puede abrir una vía de escape. La forma más robusta de reducir evasiones es mover parte del control a la red y complementar con reglas por dispositivo cuando hace falta.
Por qué el modo incógnito no es el problema real
En muchos hogares el modo incógnito se usa para evitar historial, saltar extensiones o abrir sesiones fuera del control visible de los padres. Pero aunque desactives una opción del navegador, el problema persiste si el filtrado no controla DNS, categorías, horarios y actividad de red. Cambiar el navegador, usar otra app o abrir un enlace desde un juego puede dejarte en el mismo punto.
Por eso LocalGuard se enfoca en el entorno, no solo en la interfaz del navegador. La idea es que las reglas importantes viajen con la red y con el dispositivo, no con un botón del menú.
Estrategia recomendada para reducir evasiones
- Filtrado DNS y por categorías a nivel de red local.
- Perfiles distintos por hijo o por equipo, con horarios propios.
- Agente en Windows y Linux para reforzar visibilidad y control de tiempo.
- Bloqueo de apps y dominios de alto riesgo cuando realmente aporten valor.
- Revisión periódica de excepciones en lugar de reglas globales demasiado rígidas.
Qué hace LocalGuard en la práctica
LocalGuard no promete “hacer desaparecer” el modo incógnito en todos los sistemas. Lo que sí hace es disminuir su utilidad como mecanismo de evasión. Si el filtrado está en la red y las políticas relevantes se aplican por perfil o por dispositivo, abrir una ventana privada deja de ser una salida efectiva para saltar categorías bloqueadas, horarios o dominios sensibles.
Este enfoque encaja especialmente bien si ya has decidido usar un control parental sin nube y si el despliegue lo vas a hacer con Raspberry Pi o Docker.
El problema real: DNS-over-HTTPS y evasiones avanzadas
Un punto que se ignora frecuentemente: algunos navegadores modernos (Firefox, Chrome en ciertas configuraciones) pueden activar DNS-over-HTTPS (DoH) de forma automática. Cuando DoH está activo, las peticiones DNS no pasan por el servidor local de la Pi, sino que se cifran y van directamente a servidores externos como Cloudflare (1.1.1.1) o Google (8.8.8.8). El resultado es que tu filtrado DNS queda completamente bypaseado sin que el adolescente haya hecho nada especialmente técnico.
La forma más efectiva de contrarrestar DoH sin bloquear todo el HTTPS es bloquear a nivel de firewall los dominios de DoH conocidos (cloudflare-dns.com, dns.google, etc.) y forzar que todo el DNS pase por el resolvedor local. Esto se puede hacer desde el router o complementando LocalGuard con reglas de red adicionales.
Otras evasiones habituales y cómo afrontarlas:
- VPN personal del hijo: el tráfico VPN cifrado es difícil de filtrar por contenido. La estrategia más práctica es bloquear los puertos y dominios de las VPN más populares (Mullvad, ProtonVPN, NordVPN) desde el firewall de la red.
- Datos móviles del teléfono: cuando el dispositivo usa 4G/5G en lugar del WiFi de casa, sale completamente de la red local y el filtrado DNS no actúa. El agente de LocalGuard en el dispositivo añade una capa adicional independiente de la red.
- Cambio de servidor DNS manual: un adolescente con acceso a la configuración de red del dispositivo puede poner 8.8.8.8 a mano. La solución es redirigir todo el tráfico UDP/TCP al puerto 53 en el router, de forma que incluso si cambian el DNS, el tráfico llega a la Pi.
- Hotspot desde otro dispositivo: compartir la conexión de un móvil sin restricciones. Difícil de controlar técnicamente; requiere conversación y acuerdo familiar.
Limitaciones que conviene asumir
Ninguna herramienta gana sola contra un adolescente motivado. El objetivo realista es elevar mucho el coste de la evasión, tener visibilidad y reducir los huecos más habituales sin convertir tu red en una cárcel técnica imposible de mantener. Un sistema que requiere demasiado mantenimiento acaba desactivado.
La combinación más equilibrada suele ser: filtrado DNS a nivel de red para bloqueos categóricos, agente en el dispositivo para visibilidad y horarios, y una conversación familiar honesta sobre las reglas y sus razones. El control técnico funciona mejor como respaldo de un acuerdo, no como sustituto.
Comparativa: bloqueo en el navegador vs. control de red
| Método | Cómo se bypassea | Dificultad de evasión |
|---|---|---|
| Extensión del navegador | Cambiar de navegador o perfil | Muy baja |
| Configuración del navegador | Modo incógnito, otro navegador | Muy baja |
| Control parental del SO | Cuenta de usuario diferente | Baja–media |
| Filtrado DNS local (LocalGuard) | DoH, cambio manual de DNS, VPN | Media |
| DNS + agente en dispositivo | Datos móviles, hotspot externo | Alta |
Checklist rápido para familias
- Define qué quieres bloquear: categorías, apps, horarios o una mezcla.
- Configura la red local para que el filtrado no dependa del navegador.
- Aplica perfiles distintos según edad y uso del dispositivo.
- Habla con tus hijos sobre qué se bloquea y por qué.
- Revisa semanalmente alertas y ajustes, en lugar de improvisar castigos técnicos.
Siguiente paso recomendado
Si tu problema hoy es “mi hijo usa incógnito para saltarse reglas”, la solución más estable no está en una extensión, sino en una política de red y dispositivo coherente. Puedes empezar desde la lista de funciones o ir directo a probar el flujo completo.