secure-os.org
Todas las guíasQubes OSTailsWhonixLinux endurecidoCifrado de discoModelo de amenaza
linux

Wayland vs X11: ¿cuál es más seguro? (2026)

secure-os· Actualizado 9 de julio de 2026· 4 min de lectura #linux#wayland#x11#hardening
Una ventana de editor de código en una pantalla iluminada con luz cálida

En un escritorio Linux centrado en la seguridad, un componente decide en silencio si una app puede espiar a otra: el servidor de pantalla. Durante décadas fue X11 (el X Window System), diseñado en los años 80 sin ningún aislamiento entre programas. Wayland es el reemplazo moderno construido justo para corregir eso. Esto es lo que hace cada uno, las salvedades honestas y por qué un escritorio endurecido debería preferir Wayland.

El problema de fondo de X11

X11 se creó para un mundo de programas de confianza en una máquina compartida, así que da a cada app conectada acceso a casi todo lo que hay en pantalla. En X11, cualquier programa en ejecución puede, por diseño:

  • Registrar cada pulsación que escribes, en cualquier ventana, sin privilegios especiales.
  • Capturar el contenido de cualquier otra ventana, incluido un gestor de contraseñas o una pestaña bancaria.
  • Inyectar entradas sintéticas en otras aplicaciones, haciendo clic y escribiendo como si fueras tú.

No es un fallo - es cómo funciona X11, y herramientas estándar como xdotool y xinput dependen de ello. La consecuencia para la seguridad es seria: una sola app maliciosa o comprometida en una sesión X11 puede vigilar y controlar todo lo demás que haces.

Una ventana de editor de código en una pantalla - en X11, cualquier otra app en ejecución puede leer el contenido de esta ventana y tus pulsaciones.

Cómo lo cambia Wayland

Wayland invierte el valor por defecto. Una app Wayland normalmente solo puede ver sus propias ventanas y la entrada dirigida a ella - no las ventanas de otras apps, ni tus pulsaciones globales. El compositor media en todo, así que no hay un libre albedrío compartido. Hacer una captura de pantalla o compartir tu pantalla requiere un portal explícito (vía xdg-desktop-portal) que pide tu consentimiento.

Eso importa más de lo que parece. Los sandboxes de aplicaciones como Firejail y Flatpak solo son tan fuertes como la capa de pantalla que hay debajo: en X11, una app en sandbox aún puede registrar pulsaciones y capturar la pantalla a través del servidor de pantalla, derrotando en silencio el sandbox. Wayland cierra esa vía de escape.

Un teclado retroiluminado bajo una pantalla estilo terminal - en X11, cualquier programa en ejecución puede registrar en silencio cada tecla que pulsas; Wayland lo bloquea por defecto.

Las salvedades honestas

Wayland es una mejora real, no un escudo mágico. Ten claros los límites:

  • XWayland. Muchas apps aún corren por XWayland, una capa de compatibilidad con X11. Las apps dentro de XWayland aún pueden espiarse entre sí - aunque no a las apps Wayland nativas. Mantén las apps sensibles en Wayland nativo cuando puedas.
  • Algunas herramientas necesitan amplio acceso. Grabadores de pantalla, escritorio remoto, automatización y herramientas de accesibilidad legítimamente necesitan más. Existen portales para ello, pero la experiencia es más tosca que el todo-vale de X11.
  • Es aislamiento de pantalla, no de procesos. Wayland detiene el espionaje de pantalla y teclado; no detiene a una app maliciosa que corre como tu usuario y lee tus archivos. Combínalo con un sandbox y un modelo de amenazas claro.

Qué escritorios usan Wayland por defecto

En las distribuciones modernas, GNOME y KDE Plasma usan Wayland por defecto (Fedora, Ubuntu reciente y otros). Algunas configuraciones aún inician una sesión X11 - instalaciones antiguas, o ciertos casos de controladores en gran parte resueltos. Puedes comprobar tu sesión con:

echo $XDG_SESSION_TYPE   # imprime "wayland" o "x11"

¿Deberías cambiar?

Para un escritorio consciente de la seguridad, sí: prefiere una sesión Wayland y ejecuta las apps sensibles de forma nativa en lugar de por XWayland. Elimina toda una clase de espionaje cotidiano, y complementa el resto de tu configuración - cifrado completo del disco, sandboxes de aplicaciones y las medidas de nuestra guía de endurecimiento de Linux. Trátalo como una capa, elegida a propósito, no una bala de plata.

En resumen

El diseño abierto de X11 permite que cualquier app vigile todo tu escritorio - tus pulsaciones y cada ventana. Wayland cierra eso aislando las apps y poniendo la captura de pantalla tras un consentimiento explícito. Prefiere Wayland, mantén las apps sensibles fuera de XWayland y combínalo con un sandbox y un modelo de amenazas. No es una cura para todo, pero elimina una de las formas más fáciles de que una app maliciosa espíe todo lo que haces.