Little Snitch Linux: controla tu conexión de red
Little Snitch para Linux es una herramienta de monitoreo de red desarrollada por Objective Development que permite ver y controlar qué aplicaciones se conectan a internet. Usa eBPF en el kernel para inspeccionar tráfico en tiempo real sin latencia perceptible. Lanzada en 2026, combina componentes open source (kernel + interfaz web) con un backend propietario. Es gratuita, no requiere suscripción, y corre en kernel Linux 6.12+ con soporte para Intel/AMD, ARM64 y RISCV64.
En 30 segundos
- Herramienta gratuita que muestra qué aplicaciones se conectan a internet, con reglas por app
- Usa eBPF en el kernel para monitoreo de red sin latencia, compatible con Linux 6.12+
- Mezcla componentes GPL v2 (kernel + web UI) con backend propietario de Objective Development
- Disponible para Ubuntu 25.04+, Debian y otras distros (paquetes .deb Intel/ARM64/RISCV64)
- Alternativas: OpenSnitch (100% open source), Portmaster (más simple), Douane (legacy pero funciona)
¿Qué es Little Snitch para Linux y por qué importa?
Ponele que dejás tu navegador abierto y de repente ves que hay 14 conexiones de red en segundo plano que no pediste. Algunos son legítimos (publicidades, analytics), pero otros son remisos: ¿qué está haciendo Spotify con mi dirección IP? ¿Por qué mi editor de texto se conecta a un servidor en Rumania?
Little Snitch para Linux es exactamente para eso. Objective Development lanzó en 2026 la versión Linux de su herramienta clásica de macOS, que lleva 20 años haciendo control de red granular. En Linux, el juego cambió: en lugar de usar netfilter (la forma antigua), se enganchó a eBPF (Extended Berkeley Packet Filter) en el kernel, que es lo que usan ahora los profes de seguridad para inspeccionar tráfico a velocidad kernel-space.
La idea no es nueva (OpenSnitch hace años que la practica), pero esta versión tiene un diferencial: UI web integrada, modo de reglas jerárquico, y el peso de 20 años de pulido. No es tool de hardening para adversarios determinísticos. Es para saber. Y para controlar.
Componentes open source y arquitectura
Acá viene lo técnico. Objetivo Development liberó parte del código bajo GPL v2, pero no todo.
Lo que es 100% open source:
- eBPF kernel program — el corazón. Se carga en el kernel y mapea cada conexión de red al proceso que la originó. Sin esto, no ves nada. Disponible en GitHub bajo GPL v2.
- Web UI — interfaz JavaScript que corre localmente (puerto 8765 por defecto). También GPL v2. Acá ves el tráfico, armás reglas, setupeás blocklists.
Lo que es propietario:
- Daemon backend — servicio en userspace que gestiona reglas, maneja blocklists comunitarias, cachea decisiones, y habla con el programa eBPF. Este no está abierto.
No es un proyecto “abierto de verdad”, pero tampoco está cerrado. Los componentes críticos (inspección kernel + interfaz) son libres. El backend propietario es donde Objective Development agregó lógica de negocio: detección de patrones de malware, performance tuning, integración con su base de datos de conocimiento.
Cómo funciona en el kernel
El flujo es bastante directo. Tu aplicación abre una conexión: socket.connect(8.8.8.8:53). Antes de que eso se serialice en paquetes IP, el programa eBPF entra en acción.
eBPF intercepta el evento connect() en el kernel, mapea la conexión a su PID (process ID), al usuario que la originó, protocolo, y direcciones IP/puerto. Guarda eso en mapas kernel clave-valor que el daemon en userspace lee constantemente. El daemon consulta sus reglas: “¿tengo una regla para Spotify conectarse a 192.0.2.x?” Si no hay regla, muestra un popup (o lo bloqueaquiet, según config). Vos decidís: permitir, bloquear, o “permitir solo esta vez”. La decisión se cachea. La próxima vez que Spotify haga la misma conexión, el kernel ya sabe qué hacer sin volver a userspace. Para más detalles técnicos, mirá mantener agentes ejecutándose localmente.
Sin latencia perceptible. Un usuario reportó en Hacker News que el overhead es menor al 1% en CPU.
Requisitos de sistema e instalación
Acá va lo técnico sin rodeos: necesitás Linux kernel 6.12 o superior. No es negociable. Si tu distro corre kernel 6.11 o anterior, no te carga el programa eBPF.
Por distro:
- Ubuntu 25.04+ — recomendado. Kernel 6.12+ by default. Apt install de paquete .deb oficial.
- Debian testing/unstable — va, aunque kernel puede que venga por atrás.
- Fedora 41+ — funciona bien.
- Arch Linux — paquete en AUR.
Arquitecturas soportadas:
- Intel/AMD x86_64
- ARM64 (Raspberry Pi 5, servidores ARM)
- RISCV64
Costo: cero. Gratis. No hay suscripción, no hay freemium, no hay “plan pro”. Según el blog oficial de Objective Development, la versión Linux es completamente gratuita. La versión macOS cuesta USD 50 (compra única) o USD 10/año si la sacas del subscriptor suite.
Instalación es lo de siempre: descargar .deb, dpkg -i o tu gestor de paquetes, y listo. El daemon se registra en systemd. Desde la web UI setupeás tu primera regla.
Alternativas: qué else hay en el mercado
Little Snitch Linux no es la única opción. De hecho, fue OpenSnitch (100% open source) el que inspiró a Objective Development a portear la herramienta.
| Herramienta | Licencia | Kernel requerido | UI | Mejor para |
|---|---|---|---|---|
| Little Snitch Linux | GPL v2 (parcial) + propietario | 6.12+ | Web (JavaScript) | Usuarios que vienen de macOS / quieren UI pulida |
| OpenSnitch | GPL v3 (100%) | 4.15+ | GTK + web | Máxima libertad / servidores headless |
| Portmaster | Freemium (core open source) | 4.15+ | Web + SPA | Simplicidad / usuarios nuevos |
| Douane | GPL v3 | Cualquiera (netfilter legacy) | GTK 3 | Distros viejas / ARM antiguo |
OpenSnitch es probablemente la competencia más seria. Es 100% open source, inspecciona con eBPF (si kernel >= 5.x), y tiene comunidad activa. Interfaz menos pulida que Little Snitch, pero funciona. Si te importa la libertad software por encima de todo, acá está tu respuesta.
Portmaster sale más minimalista. Es un proyecto suizo enfocado en privacidad, con app de escritorio y modo headless. Freemium: lo básico es gratis, lo avanzado cuesta. Para usuarios que no quieren configurar 47 reglas custom.
Douane es legacy pero no muere. Usa netfilter (la forma antigua de inspeccionar tráfico en Linux), que es más lento que eBPF pero corre en kernels viejos (3.x+). Si estás en Raspberry Pi 3, Douane quizás sea tu única opción. Complementá con proteger tu privacidad de red.
Casos de uso reales donde esto tiene sentido
No es una tool de defensa contra ataques determinísticos. Pero tiene tres o cuatro usos donde es oro puro.
Privacidad en escritorio personal. Instalás Little Snitch, dejás abierta la web UI, y ves en tiempo real qué está haciendo cada app. Discord intenta conectarse a 1.2.3.4:443. ¿Vos autorizaste eso? No. Bloqueás. Mismo con Telegram, con herramientas de telemetría, con lo que sea. No vas a bloquear el tracking del casino, pero al menos sabés qué está pasando.
Auditoría en servidor Nextcloud o media server personal. Corres un Nextcloud en casa o en VPS baratija, y querés ver si algún plugin hace conexiones no autorizadas a terceros. Little Snitch te lo muestra al instante. “Aplicación X se conectó a cloudflare.com” — ¿esperabas eso? No, borrá el plugin.
Compliance y auditoría de aplicaciones legacy. En una pyme, corres un software de hace 10 años que nadie sabe qué hace. La norma dice que tenés que auditar qué conexiones abre. Little Snitch lo documenta. Tráfico por aplicación, dirección destino, puerto, protocolo. Eso te da evidencia documentada para pasar la auditoría sin analizar pcaps.
Debugging de aplicaciones en desarrollo. Escribís un script Python y querés saber por qué es lento. ¿Hace 100 conexiones HTTP que no esperabas? Little Snitch te lo grita. Debuggeás 20 minutos en lugar de 3 horas.
Qué Little Snitch NO hace (limitaciones reales)
Acá hay que ser honesto: esto no es una fortaleza. No es WAF, no es IDS, no es firewall perimetral. Si un malware entra a tu máquina con privilegios root, Little Snitch puede quedar en la lista de cosas que lo primero que hace es desactivar. Cubrimos ese tema en detalle en supervisar el acceso de aplicaciones.
Tampoco inspecciona HTTPS/TLS a nivel de payload. Ves que una app se conecta a google.com:443, pero no ves qué específicamente pregunta. El payload está encriptado. (Eso es en realidad bueno para privacidad, pero malo si la app intenta exfiltrar data.)
Y es reactive, no proactive. No detecta malware. No hace heurística de comportamiento. Si una aplicación hace 10 millones de conexiones cortas en serie, Little Snitch no te avisa “esto se ve raro”. Vos ves el volumen, pero no hay alerta automática.
Resumido: es visibilidad y control granular. No es defensa seria.
Errores comunes que comete la gente
1. Pensar que bloquear conexiones “sospechosas” es seguridad
Ves que Spotify intenta conectarse a IP 4.5.6.7 que no reconocés. “Bloqueá eso, es malware.” No, es CDN de Spotify. Bloquear conexiones sin entender qué son es un juego peligroso. El 99% de las IPs “raras” que ves son legítimas (CDNs, content delivery networks, servidores de terceros que usa la app).
2. Armar demasiadas reglas custom y después olvidarse de ellas
Hoy decidís “bloquear X para siempre”. Pasan 6 meses, la app updatea, y de repente no funciona nada. ¿Por qué? Olvidaste que hace 6 meses bloqueaste su IP porque un blog te asustó. Las reglas hay que documentarlas o van a volverse deuda técnica en tu máquina.
3. Usar Little Snitch sin actualizaciones de kernel
Instalás en kernel 6.12, después pasa un año, el kernel está en 6.19, hay exploits nuevos de eBPF. “No me importa.” Sí te importa. Si actualizás el kernel, actualizá también Little Snitch. Los vulnerabilidades eBPF se parchean rápido, pero solo en versiones nuevas.
Preguntas Frecuentes
¿Little Snitch para Linux es lo mismo que la versión macOS?
No. La versión Linux usa eBPF en el kernel (forma nueva), la versión macOS usa syscall hooking + Network Extension API (Apple’s kernel interface). El UX es similar (Web UI en las dos, reglas por app), pero el engine es completamente diferente. En Linux, eBPF es más rápido y menos intrusivo. En macOS, Apple controla más de cerca qué puede tocar el kernel. Relacionado: analizar amenazas en tus conexiones.
¿Puedo usar Little Snitch sin interfaz gráfica en un servidor?
Sí. Corre el daemon sin la web UI, y configurá reglas vía JSON o config file. La documentación oficial tiene ejemplos. Es útil para servidores headless donde no querés overhead de web browser.
¿Funciona si tengo VPN activa?
Sí, pero con matiz. Little Snitch ve tráfico pre-VPN (tráfico a nivel de socket). La VPN encripta lo que sale después. Si configurás una regla “bloquear conexión a 8.8.8.8”, se bloquea antes de que la VPN la toque. Esto es ventajoso: podés bloquear leaks de DNS sin que la VPN interfiera.
¿Qué pasa si mi kernel no es 6.12+?
No carga. El programa eBPF requiere BPF Type Format (BTF), soporte de mapas kernel, y otras features que son nuevas. Opciones: upgradear el kernel, o usar OpenSnitch (corre en kernel 4.15+, menos rápido pero funciona).
¿Es gratis de verdad, sin trampas?
Sí. Objective Development anunció en 2026 que la versión Linux es gratuita sin suscripción. La versión macOS cuesta USD 50 (compra única), pero en Linux decidieron regalarlo. No hay modelo freemium, no hay publicidades, no hay versión “lite” limitada. Cuesta nada.
Qué significa para usuarios en Latinoamérica
Latinoamérica tiene un problema tradicional: mucho software pirata (que lleva malware) y poco conocimiento de dónde están los datos de cada usuario. Little Snitch es herramienta útil para auditar máquinas que tenés en la oficina o en casa sin necesidad de ser un especialista en análisis de tráfico.
Si trabajás en seguridad, IT, o compliance en una pyme, Little Snitch te ahorra 40 horas de análisis manual. Si sos usuario personal que quiere saber qué hace cada app, es gold. La barrera de entrada: kernel 6.12+, que es reciente pero ya está en Ubuntu 25.04 LTS (lanzada hace poco).
Conclusión
Little Snitch para Linux llegó a llenar un vacío: herramienta de monitoreo de red con UI pulida, soporte kernel moderno (eBPF), y precio cero. Objective Development llevó 20 años haciendo control de red en macOS, y decidió traerlo a Linux con arquitectura nueva (eBPF en lugar de netfilter).
No es fortaleza de seguridad. Es visibilidad. Y la visibilidad es el primer paso para tomar decisiones sobre qué permitís y qué no en tu máquina. Si corres un servidor, querés auditar aplicaciones, o simplemente querés saber qué está haciendo cada proceso en la red, esto hace el trabajo. OpenSnitch sigue siendo alternativa 100% open source si eso te importa. Pero para usuarios que quieren algo listo para usar, Little Snitch es probablemente la mejor opción en Linux hoy.
Fuentes
- Repositorio oficial de Little Snitch para Linux en GitHub — código eBPF y web UI bajo GPL v2
- Blog oficial de Objective Development — anuncio de Little Snitch para Linux
- OMGUbuntu — cobertura de lanzamiento y requisitos de kernel
- Hacker News — discusión técnica de Little Snitch Linux y comparativa con OpenSnitch
- Repositorio de OpenSnitch — alternativa open source para monitoreo de red
