Whonix

Whonix es el sistema operativo de anonimato por compartimentación de dos VM — un sistema operativo centrado en la seguridad que se ejecuta como dos máquinas virtuales lado a lado: una VM de Estación de Trabajo donde haces tu trabajo real, y una VM de Puerta de Enlace que maneja todo el enrutamiento Tor. La Estación de Trabajo nunca ve la internet pública — solo puede comunicarse con la Puerta de Enlace, que luego enruta a través de Tor. Calificado como Grade A porque Whonix ocupa una postura de confianza estructuralmente única: incluso si tus aplicaciones, tu navegador o tu propio sistema operativo están comprometidos, no pueden filtrar tu IP real porque no tienen acceso a una red que conozca tu IP real. Se combina mejor con Qubes OS para la configuración de anonimato persistente más estricta; Tails es la alternativa efímera-amnésica para diferentes modelos de amenaza.

Background. Whonix fue creado en 2012 por Patrick Schleizer (seudónimo: adrelanos) y continúa siendo mantenido por el Whonix Project con un equipo de contribuidores. Distribuido como imágenes de VirtualBox, imágenes KVM y como la capa de anonimato canónica dentro de Qubes OS (donde Whonix es recomendado por el propio Qubes Project). Código abierto bajo GPLv3; el código está en github.com/Whonix. Financiado por donaciones y subvenciones de Open Tech Fund en el pasado; el equipo ha resistido la comercialización que comprometería los principios de privacidad primero. El modelo de amenaza contra el que Whonix está diseñado es sofisticado: no solo "vigilancia a nivel de ISP" (Tor Browser resuelve eso), sino "compromiso a nivel de aplicación" — ¿qué pasa si tu navegador tiene un día cero, si tu lector de PDF filtra tu IP a través de un widget JavaScript incrustado, si el propio sistema operativo está infectado con malware? La compartimentación de Whonix significa que esos compromisos no pueden filtrar tu IP porque el software comprometido no tiene forma de descubrirla.

What you trust. Compartimentación de red — la VM de Estación de Trabajo no tiene acceso directo a la red; tiene un adaptador de red virtual que se conecta solo a la VM de Puerta de Enlace. Incluso el acceso root en la Estación de Trabajo no puede eludir esto porque la red virtual no tiene ruta a la internet pública. Tor manejado en la Puerta de Enlace — todo el tráfico de la Estación de Trabajo se fuerza a través de Tor en la capa de Puerta de Enlace; ninguna aplicación puede optar por no usarlo. Aislamiento de flujo — las conexiones a diferentes destinos utilizan automáticamente diferentes circuitos Tor (así que una filtración en una pestaña del navegador no desanonimiza una sesión de correo electrónico separada). Valores predeterminados endurecidos — Whonix-Workstation incluye Tor Browser endurecido, perfiles AppArmor, aplicaciones en sandbox, parámetros de kernel endurecidos. Compilaciones reproducibles — las versiones de Whonix son reproducibles desde el código fuente; el proceso de compilación está documentado y es verificable. La base es Debian + Tor + Kicksecure — el sistema operativo está construido sobre Debian (base bien auditada), Tor (la red de anonimato canónica) y Kicksecure (la distribución complementaria de Debian endurecida del Whonix Project). Lo que no confías: el sistema operativo anfitrión — Whonix se ejecuta como VMs sobre un anfitrión (tu anfitrión VirtualBox/KVM). Si el anfitrión está comprometido, la compartimentación de Whonix puede ser eludida (el malware a nivel de anfitrión puede ver la pantalla, las pulsaciones de teclas, los archivos de la Estación de Trabajo). Para la postura más fuerte, ejecuta Whonix en Qubes OS (donde cada VM está aislada por hipervisor, eliminando la suposición de confianza en el anfitrión).

Operational specs. Plataformas: VirtualBox (multianfitrión: macOS, Windows, Linux); KVM (Linux nativo); la capa de anonimato canónica para Qubes OS (Qubes-Whonix). Modelo de VM: Whonix-Gateway (ejecuta Tor, expone una interfaz de red local) + Whonix-Workstation (tu entorno de escritorio real, solo se comunica con Gateway). Requisitos de recursos: 4GB de RAM mínimo, 8GB recomendado; 100GB de disco para ambas VMs combinadas; CPU de 64 bits con extensiones de virtualización. Entorno de estación de trabajo: escritorio XFCE (ligero, endurecible), con Tor Browser preinstalado, Thunderbird con Enigmail, OnionShare, KeePassXC y otras herramientas de privacidad. Actualizaciones: gestionadas a través del sistema de paquetes Whonix; las actualizaciones se enrutan a través de Tor (la ruta de actualización de Gateway utiliza servicios onion cuando están disponibles). Persistencia: a diferencia de Tails (que es amnésico por defecto), Whonix es persistente — los archivos guardados en la Estación de Trabajo persisten a través de reinicios. Esto es una característica para flujos de trabajo de varios días y un compromiso para usuarios que necesitan amnesia por defecto (usa Tails para eso). Múltiples estaciones de trabajo: puedes ejecutar múltiples VMs de Estación de Trabajo lado a lado, cada una con diferentes contextos de identidad, todas enrutando a través de la misma Puerta de Enlace. Difuminación de tiempo: Whonix aleatoriza ligeramente el reloj del sistema para prevenir la toma de huellas digitales basada en el tiempo. Aleatorización de dirección MAC: al arrancar, la Estación de Trabajo genera una MAC virtual aleatoria.

Philosophy. El diferenciador editorial de Whonix es el enfoque de aislamiento estructural para el anonimato. Tor Browser coloca la lógica anti-desanonimización dentro de una sola aplicación (y la aplicación es tu superficie de confianza). Tails extiende eso a todo un sistema operativo, con almacenamiento amnésico por defecto. Whonix lo extiende aún más: el sistema operativo se compartimenta en dos VMs, la capa de aplicación no puede alcanzar una red que conozca tu IP, y los modos de fallo cambian de "esta aplicación filtró tu IP" a "el hipervisor o el anfitrión está comprometido" — un ataque estructuralmente más difícil. El compromiso: complejidad operativa. Gestionas dos VMs en lugar de una, equilibras la memoria entre ellas, manejas el portapapeles con cuidado. Para modelos de amenaza donde el compromiso a nivel de aplicación es un vector de ataque creíble — periodismo sofisticado, activismo en regiones de alta vigilancia, infraestructura anónima de larga duración — la complejidad está justificada. Para la privacidad de navegación diaria, solo Tor Browser es suficiente.

Grade rationale. El Grade A refleja: más de 13 años de continuidad operativa (desde 2012); código abierto bajo licencia GPLv3; compilaciones reproducibles documentadas; construido sobre Debian + Tor + Kicksecure (base bien auditada); compartimentación estructural de red (la Estación de Trabajo no puede llegar directamente a internet); capa de anonimato canónica recomendada por el Qubes OS Project; aislamiento de flujo entre aplicaciones; valores predeterminados endurecidos (AppArmor, parámetros del kernel); almacenamiento persistente para flujos de trabajo de varios días; múltiples VMs de Estación de Trabajo para aislamiento de contexto de identidad; mantenedor nombrado (Patrick Schleizer / adrelanos) con identidad pública y trayectoria; listado en los directorios de pares de Privacy Guides y web3privacy. Espejo onion Tor en dds6qkxpwdeubwucdiaord2xgbbeyds25rbsgr73tbfpqpt4a6vjwsyd.onion. Última verificación: 2026-05-13.

Useful when. Estás ejecutando infraestructura anónima persistente — un servicio .onion de larga duración, un flujo de trabajo de investigación anónimo, una investigación de varios días — donde el modo amnésico por defecto de Tails perdería tu trabajo. Estás en un modelo de amenaza donde el compromiso a nivel de aplicación es un vector de ataque creíble (periodismo sofisticado, activismo, investigación anti-vigilancia). Ya estás ejecutando Qubes OS y quieres la integración canónica de capa de anonimato Qubes-Whonix. Quieres aislamiento de flujo entre aplicaciones para que una filtración en una no desanonimice a otra. Estás probando o desarrollando herramientas de anonimato y quieres un entorno controlado para validarlas. Quieres compartimentar identidades ejecutando múltiples VMs de Estación de Trabajo lado a lado (una para identidad anónima personal, una para trabajo periodístico, una para activismo, etc.) compartiendo una sola Puerta de Enlace. No estás satisfecho con el anonimato de una sola aplicación (Tor Browser) y quieres aislamiento de red a nivel de sistema operativo.

Caveats. Configuración más pesada que Tor Browser o Tails — requiere VirtualBox o KVM, requiere entender la arquitectura de dos VMs, requiere gestionar recursos de VM. Viniendo de "solo instala Tor Browser", Whonix es un paso significativo en complejidad. El sistema operativo anfitrión es el eslabón débil — la compartimentación de Whonix protege contra el compromiso a nivel de aplicación, pero el sistema operativo anfitrión (macOS, Windows, Linux) que ejecuta VirtualBox puede ver todo en las VMs. Para la postura más fuerte, ejecuta Whonix en Qubes OS, donde el aislamiento del hipervisor hace que el anfitrión sea menos preocupante. Sobrecarga de rendimiento — ejecutar dos VMs es más pesado que un solo sistema operativo; lo sentirás en una laptop de gama baja. Se recomiendan 8GB+ de RAM y un SSD para una experiencia cómoda. La persistencia es opcional para algunos casos de uso, desactivada para otros — a diferencia de Tails, Whonix persiste archivos por defecto; si necesitas amnesia por defecto para sesiones específicas, puedes usar Whonix-Live (el modo amnésico de Whonix) o apagar y revertir desde una instantánea limpia. VirtualBox requiere confianza no trivial en el anfitrión — VirtualBox de Oracle ha tenido vulnerabilidades históricamente; para el modelo de amenaza más estricto, usa KVM (nativo de Linux) o Qubes OS (basado en Xen) en su lugar. Sin móvil — Whonix es solo para escritorio; los usuarios móviles deben usar Tor Browser para Android, u Orbot + una distribución Android endurecida como GrapheneOS. La descarga inicial es grande — las imágenes de VM son de 1-2GB cada una; la primera instalación sobre una conexión lenta es dolorosa. No protege contra amenazas de acceso físico — Whonix es solo software; si tu laptop es incautada y las VMs están desbloqueadas, los datos son legibles. Combínalo con cifrado de disco completo (VeraCrypt o FDE del sistema) para protección de acceso físico. Las actualizaciones requieren atención — como cualquier sistema operativo, Whonix necesita actualizaciones periódicas de seguridad; permanecer en una versión antigua significa permanecer en Tor antiguo + Debian antiguo + navegador antiguo, todo lo cual es una superficie de ataque real.