Cómo sincronizar archivos de forma segura con Syncthing y Tailscale

En una era donde los gigantes tecnológicos escanean activamente nuestras nubes públicas para entrenar modelos de Inteligencia Artificial y monetizar nuestros metadatos, el deseo de proteger nuestra información personal ha dejado de ser paranoia para convertirse en una necesidad práctica. Para cualquier profesional o entusiasta técnico consciente de la seguridad, sincronizar archivos de forma ágil, automática y —sobre todo— privada, es el pilar fundamental de su soberanía digital. Aunque herramientas excepcionales de código abierto como Syncthing nos permiten descentralizar este proceso eliminando intermediarios, su configuración por defecto recurre a servidores de descubrimiento y relays públicos que exponen metadatos críticos a la red pública.

Para resolver esta filtración de privacidad sin perder la comodidad de la sincronización automatizada, la solución definitiva consiste en fusionar el motor P2P de Syncthing con una red privada mesh basada en WireGuard. Al utilizar herramientas como Tailscale o su equivalente 100% autoalojado y de código abierto, Headscale, es posible crear un entorno completamente privado y blindado contra ojos ajenos. En esta editorial técnica, analizaremos por qué los mecanismos de conexión por defecto de Syncthing son un riesgo de privacidad y cómo puedes reconfigurar tu ecosistema de sincronización paso a paso para un aislamiento absoluto.

El peligro oculto en la configuración estándar de Syncthing

Syncthing es una obra de arte de la ingeniería de software descentralizada. Funciona mediante criptografía de extremo a extremo, asegurando que tus datos viajen cifrados entre tus dispositivos. Sin embargo, para lograr esa sincronización mágica e instantánea a través de internet sin que el usuario tenga que configurar aperturas de puertos en el router o lidiar con cortafuegos complejos, Syncthing depende de una infraestructura pública global para facilitar las conexiones:

• Servidores de Descubrimiento Global (Global Discovery): Cuando tus dispositivos no están en la misma red local, anuncian sus identificadores de nodo (Device IDs) y sus direcciones IP externas actuales a servidores de directorio públicos gestionados por la comunidad de Syncthing. Aunque el payload de tus datos sigue cifrado, cualquier atacante o tercero con acceso a estos servidores puede mapear la relación entre tus dispositivos, conocer tu ubicación aproximada mediante tu IP pública y registrar tu frecuencia de conexión.
• Descubrimiento Local (Local Discovery): Para encontrar dispositivos dentro del hogar o la oficina, Syncthing realiza escaneos continuos mediante paquetes de broadcast y multicast en tu red Wi-Fi o ethernet. En computadoras de escritorio esto no suele ser un problema, pero en clientes móviles (como smartphones Android o iOS), esta actividad constante de red impide que el procesador entre en modo de bajo consumo, drenando drásticamente la duración de la batería.
• Servidores de Relay Públicos (Public Relays): Si dos dispositivos se encuentran detrás de cortafuegos restrictivos, NATs simétricos o tecnologías como CG-NAT (común en conexiones de fibra y redes móviles), y no pueden establecer una conexión directa, Syncthing recurre a un servidor de relay intermedio. Estos servidores retransmiten el tráfico cifrado. No pueden leer tus archivos, pero actúan como un cuello de botella masivo que limita la velocidad de transferencia a apenas un par de megabits por segundo, además de centralizar tu flujo de datos en servidores de terceros.

La Red de Malla como Escudo: Tailscale y Headscale

Para mitigar estas vulnerabilidades sin renunciar a la automatización, la respuesta no es dejar de usar Syncthing, sino forzarlo a operar de forma exclusiva dentro de un túnel virtual privado. Aquí es donde entran en juego las redes mesh de WireGuard. Tailscale crea una red privada superpuesta (un tailnet) donde cada dispositivo registrado obtiene una dirección IP interna única (dentro del rango 100.64.0.0/10). Todos los dispositivos se comunican entre sí mediante túneles WireGuard cifrados de punto a punto, cruzando NATs de forma transparente gracias a técnicas avanzadas de UDP hole punching.

Para los puristas del self-hosting que no desean depender de los servidores de control de Tailscale Inc., existe Headscale, una implementación de código abierto del servidor de coordinación que puedes alojar en tu propio VPS o servidor doméstico. Al acoplar Syncthing con tu tailnet privada (sea mediante Tailscale o Headscale), puedes indicarle a Syncthing que apague todos sus sistemas de comunicación pública y utilice únicamente el túnel cifrado para buscar y sincronizar tus dispositivos de manera directa.

Cómo sincronizar archivos de forma privada paso a paso

A continuación, detallamos el procedimiento técnico para configurar este entorno blindado en tus dispositivos. Asumiremos que ya tienes tus dispositivos conectados a tu red privada de Tailscale o Headscale y que cada uno posee una IP asignada o un nombre DNS resoluble dentro de la red (por ejemplo, homeserver.tail y laptop.tail).

Paso 1: Restringir las interfaces de escucha (Bind Addresses)

Por defecto, Syncthing escucha en todas las interfaces de red disponibles en la computadora mediante la dirección general tcp://0.0.0.0:22000. Esto significa que cualquier dispositivo en tu red local física podría intentar conectarse al puerto de sincronización. Para restringirlo estrictamente a tu canal privado, debemos forzar a Syncthing a escuchar únicamente en la IP asignada por tu túnel VPN.

1. Abre la interfaz gráfica de usuario (GUI) web de Syncthing en tu navegador (por lo general, en http://127.0.0.1:8384).
2. Dirígete a Acciones -> Configuración -> Conexiones.
3. En el campo de Direcciones de escucha del protocolo de sincronización (Sync Protocol Listen Addresses), verás la palabra default. Reemplázala especificando explícitamente tu dirección IP de Tailscale o Headscale. Por ejemplo:

   tcp4://100.64.0.2:22000, quic4://100.64.0.2:22000

   (Asegúrate de cambiar 100.64.0.2 por la IP de red privada correspondiente a la máquina que estás configurando).

Paso 2: Desactivar los mecanismos de descubrimiento público y relaying

Una vez que Syncthing solo escucha dentro del túnel privado, es momento de cortar toda conexión con la infraestructura pública de internet.

• En la misma pestaña de Conexiones en la configuración de Syncthing, localiza y desmarca las siguientes opciones:
  • Descubrimiento global (Global Discovery): Apágalo para evitar que tu dispositivo anuncie su IP pública a los servidores externos de Syncthing.
  • Descubrimiento local (Local Discovery): Apágalo para detener el escaneo continuo de multicast en redes Wi-Fi locales, lo cual beneficiará enormemente la batería de tus dispositivos móviles.
  • Habilitar retransmisión (Enable Relaying): Desactívalo por completo. No necesitas relays públicos lentos porque Tailscale/Headscale se encargarán de abrir conexiones directas entre tus dispositivos sin importar los cortafuegos que se interpongan.
• Haz clic en Guardar para aplicar los cambios de inmediato.

Paso 3: Forzar el direccionamiento estático de los dispositivos remotos

Al haber desactivado los servidores de descubrimiento global y local, Syncthing ya no sabe de forma dinámica en qué dirección IP se encuentra el resto de tus dispositivos. Por lo tanto, debemos indicarle manualmente la dirección exacta de cada nodo remoto a través de tu tailnet.

1. En el panel principal de Syncthing, ve a la sección de Dispositivos remotos en la parte inferior derecha, selecciona el dispositivo que deseas emparejar y haz clic en Editar.
2. Haz clic en la pestaña de Avanzado.
3. En el campo de Direcciones (Addresses), verás el valor por defecto: dynamic. Reemplázalo ingresando la dirección de protocolo segura de tu dispositivo de destino utilizando su dirección IP de la VPN o su nombre DNS privado (MagicDNS). Por ejemplo:

   tcp://100.64.0.3:22000

   o si utilizas MagicDNS de forma nativa en tu red privada:

   tcp://laptop.tail:22000

4. Guarda la configuración. Repite este paso de forma cruzada en todos los dispositivos de tu red para que se busquen únicamente en sus respectivas IPs privadas.

Los beneficios prácticos de un entorno de sincronización aislado

Este nivel de configuración puede parecer más restrictivo al principio, pero las ventajas que aporta a nivel de privacidad, rendimiento y eficiencia técnica compensan con creces el esfuerzo inicial de la puesta en marcha:

• Privacidad de metadatos impenetrable: Tus IDs de nodo, la frecuencia con la que se sincronizan tus dispositivos y tus patrones de conexión quedan completamente protegidos dentro de tu red WireGuard privada. Absolutamente nadie fuera de tus dispositivos autorizados sabrá que estás sincronizando archivos.
• Optimización extrema de batería: Al apagar el descubrimiento local (Local Discovery), tu dispositivo móvil (ya sea Android o iOS) dejará de inundar la red Wi-Fi buscando otros nodos mediante multicast en segundo plano. El sistema operativo puede mantener la aplicación Syncthing durmiendo de forma eficiente y despertarla solo cuando sea estrictamente necesario.
• Velocidades de transferencia sin límites artificiales: Al prescindir de los relays públicos de Syncthing (que suelen estar severamente limitados en ancho de banda para evitar abusos), la velocidad de sincronización estará dictada únicamente por el ancho de banda real de tu conexión a internet. Gracias a las avanzadas técnicas de penetración NAT de Tailscale, tus conexiones siempre serán lo más directas y veloces posibles.

KeePassXC y la sincronización de máxima seguridad

Una de las aplicaciones prácticas más potentes de este ecosistema es el mantenimiento de bases de datos de contraseñas locales cifradas, como las de KeePassXC. Muchos usuarios desconfían con justa razón de almacenar sus bóvedas de contraseñas en nubes comerciales propietarias. Con este método, puedes sincronizar archivos de bases de datos críticas entre tu computadora de escritorio, tu servidor local y tu smartphone sin que una sola clave cifrada toque un servidor de terceros. Todo el proceso de replicación ocurre dentro de tu red privada segura.

Consideraciones avanzadas de autohospedaje

Para aquellos que llevan su infraestructura de hogar inteligente o homelab al siguiente nivel, la combinación de Syncthing con Headscale abre la puerta a un aislamiento de red impecable. Puedes habilitar características avanzadas como el File Versioning (Control de Versiones de Archivos) en el nodo que actúe como servidor central. De esta manera, si eliminas accidentalmente un archivo en tu teléfono móvil o en tu laptop de viaje, el servidor central mantendrá copias de seguridad incrementales históricas sin que corras el riesgo de perder información de forma irreversible.

Asimismo, puedes designar un nodo remoto como “Introducer” (dispositivo de introducción) en redes más complejas de más de tres dispositivos. Un nodo central (por ejemplo, un servidor doméstico Proxmox o un NAS Synology) configurado como “Introducer” facilitará el emparejamiento automático de nuevos clientes en tu tailnet sin tener que configurar manualmente cada enlace cruzado, ahorrando tiempo y simplificando el mantenimiento de tu nube privada.

Conclusión: Tu soberanía digital empieza por el aislamiento

La combinación de un motor de sincronización de archivos peer-to-peer y un túnel privado mesh es la cúspide de la infraestructura de TI personal. Al forzar a Syncthing a comunicarse únicamente a través de direcciones IP de red privada (Tailscale o Headscale), recuperas el control absoluto de tus metadatos, optimizas los recursos de hardware de tus dispositivos y disfrutas de transferencias rápidas y estables libres de restricciones de terceros. Transforma tu flujo de trabajo digital hoy mismo, apaga las conexiones públicas y opera bajo tus propias reglas.