Personalizaciones interesantes

Control parental con AdGuard Home: perfiles, horarios y algo de mano izquierda

Ya lo decía la KGB: "Confía pero comprueba"

Si en casa conviven niños, pantallas y conexión a Internet, tarde o temprano acabas planteándote algún tipo de control parental. La buena noticia es que, si ya tienes AdGuard Home montado como filtro DNS, tienes bastante margen para poner orden sin ir uno por uno cambiando cosas en cada dispositivo.

En este post voy a centrarme en cómo usar AdGuard Home para crear perfiles por dispositivo, aplicar reglas distintas según quién sea el “dueño” y jugar con horarios y servicios bloqueados.

    ¡¡CUIDADO!!

No es magia, no sustituye a hablar en casa sobre pantallas, pero sí ayuda a que las normas no dependan solo de tu memoria y tu paciencia.
Siempre, siempre, siempre es mejor EDUCAR que PROHIBIR.

Qué tiene sentido hacer (y qué no) con control parental DNS

Lo que sí puedes conseguir con AdGuard Home

AdGuard Home no es un “control parental total” al estilo de las soluciones que se instalan en cada dispositivo, pero cubre bastante terreno:

  • Bloquear categorías de contenido (adultos, apuestas, etc.) a nivel de DNS.
  • Limitar o cortar servicios concretos: redes sociales, YouTube, TikTok, etc.
  • Definir reglas distintas por dispositivo o grupo de dispositivos (niños, salón, invitados…).
  • Aplicar horarios: que ciertas webs o servicios solo funcionen a determinadas horas.

Todo esto sin instalar nada en tablets, consolas o Smart TV, simplemente haciendo que pasen por tu AdGuard Home para resolver DNS.

Limitaciones importantes (para no frustrarse)

También es importante tener claras las fronteras:

  • Si una app se conecta a un servicio a través de la misma API que usa para otras cosas, bloquear ese dominio puede romper más de lo que querías. Recordad que nos pasaba lo mismo cuando una App usaba la misma dirección para contenido legítimo y para servir anuncios…
  • Hay plataformas que cambian dominios y endpoints con frecuencia, así que algún ajuste fino de vez en cuando es inevitable.
  • AdGuard Home no ve tráfico cifrado más allá del nivel DNS; si una app usa técnicas para saltarse el DNS de la red (por ejemplo, resolviendo por DoH a un servidor propio), vas a tener que pelear desde el router/firewall. O mejor aún y más efectivo, hablar con tus hijos.

Por eso, para cosas muy críticas (por ejemplo, límite de tiempo de pantalla en un móvil concreto) puede tener sentido combinar esto con controles del propio sistema operativo (Android, iOS, etc.).

Preparar el terreno: clientes bien identificados

Antes de hablar de perfiles y horarios, necesitamos que AdGuard Home sepa qué es cada cosa dentro de tu red.

De IPs anónimas a “iPad_peque”

Nada más montar AdGuard Home, en el panel verás clientes del estilo 192.168.1.23 o android-123456.
Para poder aplicar reglas diferentes por dispositivo toca poner un poco de orden:

  • Dar nombre a cada cliente desde AdGuard Home (asociando IP o MAC). Yo te recomiendo MAC, ya que esa dirección no cambia nunca1.
  • Poner reservas DHCP en el router para que los dispositivos importantes siempre tengan la misma IP. En lugar de fijar la IP en el dispositivo la fijas a nivel DHCP dándole siempre la misma.

El objetivo es acabar con algo tipo:

  • Tablet_peque
  • Portatil_estudios
  • Switch_salon
  • SmartTV_ninos

y que en las estadísticas veas esos nombres en lugar de IPs sueltas. Aunque no apliques control parental, siempre es buena idea tener tus dispositivos de confianza correctamente identificados. Así si se conecta algo “nuevo” siempre lo tendrás localizado (ya haremos otro artículo para monitorización de esos casos).

Grupos lógicos: niños, salón, invitados

Una vez tienes los dispositivos identificados, puedes agruparlos mentalmente (y, en parte, en la configuración):

  • Niños: tablets, portátiles compartidos, consolas que usan ellos.
  • Salón: Smart TV principal, consola familiar, reproductores multimedia.
  • Trabajo: portátil personal, ordenador de trabajo, etc.
  • Invitados: dispositivos que entran y salen, móviles de visitas, todo lo que no caiga en otro grupo.

Aunque AdGuard Home no maneja “grupos” como tal de forma muy sofisticada, sí puedes aplicar configuraciones similares a varios clientes repetidos o usar etiquetas según cómo veas que evoluciona el producto. La idea es tener junto todo lo que se tiene que comportar igual.

Perfiles por dispositivo: qué opciones da AdGuard Home

Aquí es donde empieza lo divertido: definir reglas distintas para cada cliente o conjunto de clientes.

Client settings: el centro neurálgico

En la interfaz de AdGuard Home tienes una sección que, según la versión, suele llamarse algo como “Clients” o “Client settings”. Desde ahí puedes:

  • Darle un nombre legible (por ejemplo, Tablet_peque).
  • Asignarle etiquetas para luego usarlas en las reglas de filtrado.
  • Identificar qué va a componer este cliente y asignarle:
    • una IP concreta (192.168.1.50),
    • un rango (192.168.1.50-192.168.1.60),
    • o una MAC (si quieres que dé igual la IP que coja por DHCP o asignación manual). Para mí la preferida y más robusta.
  • Activar opciones específicas de filtrado sólo para ese cliente.

Y cuando hablamos de cliente, no nos referimos a un único dispositivo. Como podemos añadir más de un identificador, pueden ser 1 a n dispositivos.

La idea es que los clientes que quieras controlar de forma más estricta tengan su propia entrada aquí, no dependan solo de la configuración global.

Bloqueo por categorías y listas “parental”

AdGuard Home, de serie, se apoya en listas de bloqueo externas para filtrar dominios de publicidad, trackers, malware y contenido adulto. Esto ya lo vimos en el post anterior sobre AdGuard

Para la parte “parental” puedes jugar con:

  • Listas específicas de contenido adulto.
  • Listas de categorías (adultos, apuestas, violencia) que algunas comunidades mantienen.
  • La propia funcionalidad de “Parental Control” o “Safe Search” en ciertas integraciones de AdGuard.

Lo más cómodo es:

  • Mantener una configuración global para todos los clientes (publicidad, trackers, malware).
  • Añadir capas extra sólo a los clientes que nos interesen (listas de adultos, apuestas, etc.).

Así no sufres tanto con falsos positivos en tus dispositivos personales, pero sí subes el listón para los de los peques, por ejemplo.

Bloqueo de servicios concretos

Además de listas de dominios, AdGuard Home permite bloquear “servicios” concretos como redes sociales, mensajería, plataformas de vídeo, etc., mapeando esos servicios a conjuntos de dominios. Esto es especialmente útil para cosas tipo:

  • Bloquear TikTok, Instagram o Snapchat en los dispositivos de los niños.
  • Cortar YouTube en la Smart TV de su habitación.
  • Limitar el acceso a ciertos juegos online muy específicos.

La ventaja de bloquear por servicio es que te ahorras perseguir dominios uno a uno.
La desventaja es que, si el proveedor cambia la infraestructura, puede que se cuele algo o que se rompa más de lo esperado, así que toca vigilar y ajustar.

Horarios y normas: cómo limitar por tiempo

Hasta ahora hemos hablado de qué, pero no de cuándo. Ahí entran los horarios y las reglas temporales.

Programar el bloqueo por horarios

AdGuard Home ha ido añadiendo con el tiempo opciones para programar el bloqueo de ciertos servicios o listas según franjas horarias, aunque parte de la discusión y evolución está en issues y foros.

La filosofía general es:

  • Definir qué quieres bloquear (lista o servicio).
  • Decir en qué horario se aplica o se levanta ese bloqueo.

Ejemplo típico:

  • Perfil Tablet_peque.
  • Servicios bloqueados: YouTube y TikTok.
  • Horario:
    • De lunes a viernes, permitidos solo de 18:00 a 19:00.
    • Fines de semana, de 10:00 a 12:00 y de 18:00 a 20:00.

Según ha ido evolucionando AdGuard Home, esto se puede configurar cada vez más desde la propia web o tirando de reglas algo más manuales si aún no está cubierto. En cualquier caso, la idea es seguir el patrón: reglas permanentes (contenido adulto) + reglas horarias (entretenimiento).

Reglas temporales “de emergencia”

Más allá de la programación fina, hay un uso muy realista: el botón de “hoy no hay X”.

  • Por ejemplo, cortar acceso a ciertas redes sociales durante una tarde si hace falta bajar el nivel de distracciones.
  • O bloquear juegos online en época de exámenes.

En muchos casos basta con desactivar temporalmente un servicio o lista desde el panel de AdGuard Home, y dejarte apuntado un recordatorio para volver a activarlo. No es elegante ni automático, pero funciona y te evita entrar dispositivo por dispositivo. Y tranquilo, que cuando pase el castigo ya se preocuparán de recordarte el activarlo de nuevo.

Integración con Home Assistant (para los muy cafeteros o juguetones)

Si tienes Home Assistant en casa estás de suerte, y si no, lo veremos en otro artículo. Puedes integrarlo con AdGuard Home y convertir estos bloqueos y desbloqueos en automatizaciones o botones físicos/virtuales:

  • Exponer a Home Assistant el estado de AdGuard Home (listas activas, número de queries, etc.).
  • Crear scripts o automatizaciones que activen/desactiven ciertas reglas para clientes concretos.

Ejemplo muy de homelab:

  • Botón “Recompensa” en la app de Home Assistant o en un botón físico.
  • Al pulsarlo, se habilita YouTube en el perfil de los niños durante 60 minutos y luego se vuelve a bloquear automáticamente.

Veremos en otra serie dedicada a Home Assistant cómo hacer algo parecido.

Revisar, ajustar y no volverse loco

El control parental DNS no es algo que configuras una vez y te olvidas para siempre. Hay que asumir que vas a tener que retocar cosas.

Qué mirar en las estadísticas

El panel de AdGuard Home, en la parte de estadísticas, es tu aliado para ver si las normas están funcionando o te has pasado de frenada, aunque probablemente te des cuenta porque te han dejado de funcionar cosas:

  • Consultas totales y bloqueadas por cliente.
  • Dominios más bloqueados por cada dispositivo.
  • Picos extraños de tráfico hacia dominios raros.

Si de repente el Portatil_estudios aparece con muchos bloqueos a dominios que no deberían estar en listas de adultos o apuestas, probablemente tengas un falso positivo y toque revisar. Probablemente vaya acompañado de un “¡No funciona internet!”

Ejemplo real de adolescente sufriendo sin internet:

Play

Afinar normas sin romper el streaming

Un clásico: te vienes arriba, montas listas “parental” muy agresivas, y de repente dejan de funcionar plataformas de streaming, apps educativas o servicios de la escuela.

Algunas estrategias que suelen ayudar:

  • Separar dispositivos: no es lo mismo la Smart TV del salón (uso familiar) que la TV de la habitación de los niños.
  • Mirar en el log qué dominios se están bloqueando justo cuando el servicio falla. Suele ayudar hacer una prueba en vivo y monitorizar los logs en ese momento.
  • Mover esos dominios concretos a la allowlist del perfil correspondiente, en lugar de relajar toda la lista. Si están en allowlist, siempre va a dejar, lo trata como exclusiones.

La idea es mantener la protección a nivel general, pero limar los bordes en los pocos casos donde la realidad se lleva mal con las listas genéricas.

El santo grial. Comunicación y expectativas (modo padre/madre)

Puede ser tentador “esconder” AdGuard Home y presentar los bloqueos como misterios de Internet. O venderlos como que los duendes de los bits han hecho de las suyas. Pero ya hemos dicho que no es magia, no lo vendamos como tal.

A corto plazo puede llegar a funcionar, pero siempre es mejor explicar qué has montado y por qué. No restringimos porque sí, sino como medida de protección. Y sed igualmente conscientes de que en algún momento habrá que ir relajando esas medidas.

Montar AdGuard Home te da pie a conversaciones interesantes. Y aunque no lo montes, son conversaciones que deberías tener:

  • Por qué existen los rastreadores y qué hacen con tus datos → privacidad
  • Por qué necesitamos poner límites u horarios a ciertas apps o contenidos → responsabilidad
  • Cómo algo invisible (DNS) afecta a todo lo que haces en Internet → curiosidad

No vas a resolver la guerra de las pantallas con un filtro DNS, pero al menos las reglas dejan de depender sólo de “cuando me acuerdo de mirar el móvil”.

Y no me cansaré de repetirlo, habla con tus hijos.

Mi receta personal con AdGuard Home

En mi caso, la idea de fondo es mantener la red lo más simple posible, pero con algunos cinturones de seguridad básicos.
Si ya has leído el post anterior sobre AdGuard, verás que aquí solo estamos aprovechando todo lo que ya teníamos montado como filtro DNS para añadir una capa más.

Una receta razonable (ajústala a tu casa y tu caso):

  • Configuración global:
    • Listas de publicidad, tracking y malware activas para todos.
    • Alguna lista de adultos a nivel global si no hay dispositivos “sensibles” que dependan de servicios raros.
  • Perfiles:
    • Perfil “Niños”:
      • Listas de adultos y apuestas más estrictas.
      • Bloqueo de ciertos servicios (TikTok, redes sociales, etc.).
      • Horarios de YouTube y juegos online.
    • Perfil “Salón”:
      • Algo más relajado con streaming, pero manteniendo bloqueo de adultos en la Smart TV que usan ellos.
    • Perfil “Trabajo”:
      • Bastante menos restricciones, pero con control de trackers y malware. Y si tienes VPN en el trabajo, no te aplicará…
  • Operativa rutinaria:
    • Revisar estadísticas de vez en cuando para detectar falsos positivos.
    • Ajustar allowlist para servicios críticos (banca, escuela, trabajo).
    • Usar bloqueos temporales como herramienta de apoyo, no como única medida.

Con esto no conviertes tu casa en un gulag, pero sí pones un poco de estructura alrededor de algo tan pegajoso como las pantallas y proteges a los menores (y mayores) de tu casa.

Y, ya que tenías un AdGuard Home haciendo de filtro DNS para toda la red, lo normal es exprimirlo un poco más.

Footnotes

  1. Sí, ya sé que se puede modificar la dirección MAC y falsearla de mil maneras. Pero si tu chaval ha aprendido hasta ese punto, tu control parental a nivel DNS te va a servir de poco.