Cómo está diseñado para no filtrar nada.
Una idea, llevada al límite: tu identidad real no debería salir nunca de la máquina — y no deberías tener que confiar en nosotros de que no lo hace. Aquí está el enrutado, el kill switch, las superficies exactas de huella que revoleamos, el anti-forense, y un mapa honesto de dónde terminan las garantías de un navegador WebKit.
Un interruptor que no puedes apagar.
Searxly estándar te deja subir la privacidad a Maximum cuando lo eliges. Maximum quita la elección: la app arranca en privacidad Maximum sobre Tor y se queda ahí. Cada petición o sale por Tor — o no sale en absoluto.
Seis defensas. Cada una falla cerrada.
El comportamiento real — lo que hace, la fuga que elimina y, donde la hay, el borde honesto.
Tor siempre activo, sobre SOCKS5h
Un cliente Tor va empaquetado y se lanza a través del helper sandboxed de la app. El almacén de datos de cada WebView y el upstream del motor de búsqueda local viajan por el proxy SOCKS de Tor en modo SOCKS5h — la «h» significa que los hostnames se resuelven en el proxy, de modo que tu Mac nunca emite una consulta DNS que pueda revelar lo que visitas.
Una sola puerta (PrivacyGate) decide el destino de cada petición saliente. En Maximum solo permite tráfico a través de Tor; en el instante en que Tor no está verificado como activo, las cargas de página, los fetch nativos y las búsquedas se rechazan en lugar de enviarse desde tu dirección real. Deliberadamente no hay un camino clearnet «solo esta vez».
Un circuito fresco para cada pestaña
Tor trata un par usuario/contraseña SOCKS como clave de aislamiento de flujo. Maximum entrega a cada pestaña su propio token aleatorio, de modo que dos pestañas abiertas en el mismo sitio viajan por circuitos distintos y salen por nodos distintos — cerrando la correlación cross-pestaña que el aislamiento solo por destino deja abierta.
En redes que bloquean Tor, los bridges de transporte enchufable (obfs4 y Snowflake, ambos servidos por el lyrebird empaquetado) disfrazan la conexión, y si un handshake directo se atasca, Maximum cae a Snowflake automáticamente.
Revoleada, y diluida en la multitud
Un script de endurecimiento se inyecta en cada página antes de que corran sus propios scripts, en cada frame. Las lecturas de alta entropía se perturban por lectura, la enumeración se topea y la pantalla se normaliza a un valor común — y cada shim se enmascara como código nativo para que Function.prototype.toString no pueda revelar la manipulación.
Navegación amnésica, solo en RAM
Activa el modo amnésico y toda la sesión vive en memoria: el historial y las capturas de pestañas abiertas no se escriben nunca, cookies y caché usan un almacén no persistente, y las nuevas entradas de historial de búsqueda se descartan. Sales, y se ha ido. Es un modo «arrancar dentro» — la bandera se fija una vez al lanzar, para que nunca termines a medias amnésico.
Lo que deliberadamente posees — marcadores, contraseñas guardadas, tus ajustes — se conserva. La amnesia olvida lo que hiciste, no lo que posees.
Anti-forense que el SO no te da
macOS normalmente etiqueta cada descarga con la URL exacta de la que vino (kMDItemWhereFroms — el «where-from» del Finder) y escribe tus ventanas abiertas a disco para restaurarlas. Maximum elimina la etiqueta de URL de origen de los archivos guardados — manteniendo intacta la bandera de cuarentena de Gatekeeper — y desactiva la restauración del estado de ventanas, para que tu navegación no quede registrada en silencio donde el modo amnésico no llega.
Un runtime y un actualizador en los que puedes confiar
Antes de que el binario de Tor se ejecute jamás, su firma de código se verifica contra el mismo equipo que firmó la app — un binario sustituido o parcheado se rechaza, y Tor no arranca. Es la única sustitución que podría derrotar en silencio todo el modelo, así que falla cerrada.
Las actualizaciones son igual de cuidadosas. La comprobación y la descarga van por Tor y se verifican con la clave de firma Ed25519 de la app, de modo que incluso actualizar nunca revela a un servidor clearnet que este Mac ejecuta Searxly Maximum.
Prueba, no una promesa de privacidad.
La afirmación más fuerte es la que no tienes que creer. Maximum incluye tres cosas que puedes comprobar tú mismo, dentro de la app:
- ✓Un registro de red en vivo — cada petición, el carril que tomó, y un recuento en marcha de «nada salió de tu IP real», solo en memoria
- ✓Un autotest de un toque que obtiene tu dirección por Tor y confirma que vuelve como salida Tor — por el mismo carril fail-closed, de modo que no puede filtrar al comprobar
- ✓Una comprobación de integridad del runtime que muestra que el binario Tor empaquetado es el que firmó Searxly
La función más segura es la que no está.
Todo lo que podría enviar datos fuera de tu Mac se elimina de esta edición — no se desactiva, se elimina — para que no se pueda reactivar, explotar ni filtrar por accidente. El binario bridge se excluye incluso del bundle cuando no hace falta.
Sin VPN gestionada
Sin túnel de pago, sin cuenta de nodo de salida, sin identidad de facturación. Tor es el único camino de red, y no necesita nada de ti.
Sin monedero
El monedero de autocustodia y todo su tráfico RPC y de mercado han desaparecido. Nada on-chain, nada indexado por dirección, nada que huellar.
Sin backend de IA
Searxly no incluye ningún modelo ni IA en la nube. La única inteligencia es la que tú aportas; el servidor Agentic Tools que le expone herramientas es local, solo loopback y desactivado por defecto.
Sin telemetría ni feedback
Sin analítica, sin balizas de crash, sin webhook de feedback, sin cuenta. Simplemente no queda código que llame a casa.
Dónde terminan las garantías de un navegador WebKit.
La seguridad no es marketing. Maximum eleva mucho el coste de rastrearte — pero está construido sobre WebKit, no sobre un motor parcheado, y preferimos trazar el borde a ocultarlo.
No es el Tor Browser
El Tor Browser incluye un motor endurecido y parcheado, afinado durante años para una huella uniforme. Maximum usa el WebKit de Apple, así que algunas superficies solo se pueden embotar desde JavaScript, no eliminar. Para los modelos de amenaza más duros — un adversario estatal dirigido — el Tor Browser sigue siendo la referencia, y lo decimos.
Algunos bits de huella permanecen
Las lecturas de canvas, audio y fuentes se farblean y la enumeración se topea, pero un script que mida la geometría real de un elemento a ancho completo, o que lea la cabecera Accept-Language que envía WebKit, aún puede recuperar unos bits. El letterboxing y el enmascarado de locale lo estrechan; no lo ponen a cero. Solo un motor modificado lo cierra del todo.
El SO guarda algunas notas
El modo amnésico y el retiro de procedencia de descargas cubren lo que registran la app y el Finder. Los informes de crash del sistema y la base de cuarentena de macOS los escribe el sistema operativo fuera del sandbox de la app — una app sandboxed puede minimizar lo que entrega, pero no puede entrar y limpiar lo que el SO almacena en otra parte.
Tor es Tor
Heredas el propio modelo de Tor: una salida maliciosa puede ver el tráfico sin cifrar (así que quédate en HTTPS y .onion), y Tor es más lento que la web clara. Maximum hace ese trato a propósito — prefiere ser lento y privado a rápido y rastreable.
Construido para que no haya nada en lo que confiar.
Siempre activo, fail-closed y abierto a inspección. Mira el resumen y el precio, o lee cómo está construido el resto de la arquitectura — cada capa documentada del mismo modo honesto.
Próximamente · sin cuenta · sin telemetría · código fuente publicado para revisión