DNS seguro: cómo cifrar tu DNS (DoH, DoT y DNSSEC explicados)
Cada vez que abres una web, tu dispositivo pide primero a un resolutor DNS que traduzca el nombre (como example.com) a una dirección IP. Por defecto esa consulta viaja sin cifrar — cualquiera entre tú y el resolutor puede leerla. El DNS seguro cierra ese hueco cifrando la consulta, de modo que la red ya no puede ver, registrar ni manipular los dominios que visitas. Esta guía explica cómo se filtra el DNS clásico, qué hacen realmente DoH, DoT y DNSSEC, cómo activar el DNS cifrado según la plataforma y qué resolutores públicos merecen la pena.
La respuesta corta
- El DNS clásico es un agujero de privacidad. El DNS clásico usa el puerto 53 en texto plano: tu ISP, el Wi-Fi público o cualquiera en la red ve cada dominio que resuelves.
- Cífralo con DoH o DoT. DNS over HTTPS (DoH) y DNS over TLS (DoT) cifran ambos tus consultas DNS. Hoy la mayoría de navegadores y sistemas operativos admiten al menos uno.
- DNSSEC es otra cosa. DNSSEC autentica las respuestas para impedir la suplantación — pero no las cifra. El cifrado (DoH/DoT) y la autenticación (DNSSEC) resuelven problemas distintos; lo ideal es tener ambos.
- Elige un resolutor de confianza. Cloudflare (1.1.1.1), Quad9 (9.9.9.9), Mullvad DNS, NextDNS y AdGuard DNS ofrecen todos puntos de acceso cifrados.
- Una VPN también cifra el DNS. Una buena VPN hace pasar todo tu tráfico, DNS incluido, por su túnel — la consulta ya no se filtra a nivel de red.
Por qué el DNS clásico es un problema
El DNS clásico se diseñó en los años 80 sin ninguna noción de privacidad. Las consultas salen en texto plano por el puerto 53 (UDP/TCP), lo que significa:
- Tu ISP puede ver y registrar cada dominio que resuelves — aunque la página en sí use HTTPS, el nombre del sitio que visitas queda expuesto en el momento de la consulta.
- Cualquiera en la misma red (Wi-Fi público, oficina, hotel) puede observar pasivamente tu tráfico DNS y reconstruir lo que haces en línea.
- El DNS puede manipularse. Sin autenticación, una red puede devolver una respuesta incorrecta — enviándote a un servidor malicioso o bloqueado (el secuestro de DNS y la censura se basan en esto).
HTTPS cifra el contenido de las páginas que cargas, pero no oculta qué sitios pides. El DNS clásico ya se ha filtrado antes incluso de establecer la conexión. Ese es el hueco que el DNS seguro viene a cerrar.
DoH vs DoT: las dos formas de cifrar el DNS
Tanto DNS over HTTPS como DNS over TLS envuelven tus consultas DNS en cifrado para que la red no pueda leerlas. La diferencia está sobre todo en cómo viajan:
- DNS over TLS (DoT) hace pasar el DNS por una conexión cifrada TLS en un puerto dedicado (853). Como tiene su propio puerto, un administrador de red puede ver fácilmente que haces DNS cifrado (aunque no pueda leerlo) y podría bloquear ese puerto. El ajuste «DNS privado» de Android usa DoT.
- DNS over HTTPS (DoH) envía las consultas DNS por una conexión HTTPS normal (puerto 443), el mismo puerto que todo el tráfico web. Eso hace que DoH sea más difícil de detectar y bloquear, porque se mezcla con la navegación habitual. La mayoría de navegadores implementan DoH.
Ninguno es universalmente «mejor». DoT es más limpio de gestionar en una red; DoH es más difícil de censurar. Para un particular que solo quiere ocultar sus consultas al ISP y a la red local, cualquiera de los dos es una gran mejora frente al DNS en texto plano por el puerto 53.
DNSSEC: autenticación, no cifrado
A menudo se confunde DNSSEC (DNS Security Extensions) con DoH/DoT, pero hace algo totalmente distinto. DNSSEC añade firmas criptográficas a los registros DNS para que tu resolutor pueda verificar que una respuesta proviene realmente de la fuente autoritativa y no fue falsificada ni modificada en tránsito. Protege contra la suplantación de DNS y el envenenamiento de caché.
La distinción honesta:
- DNSSEC = autenticación. Demuestra que la respuesta es genuina. No oculta tus consultas — el tráfico DNSSEC sigue siendo legible para la red.
- DoH/DoT = cifrado. Ocultan tus consultas a la red. No demuestran, por sí mismos, que la respuesta sea auténtica.
Son complementarios. Un resolutor validador al que se llega por DoH o DoT te da ambas cosas: consultas que la red no puede leer y respuestas que no puede falsificar.
Cómo activar el DNS seguro, por plataforma
Puedes activar el DNS cifrado en tres sitios: tu navegador, tu sistema operativo o tu router. Configurarlo a nivel de SO o de router cubre más aplicaciones que solo el navegador.
Navegador
- Firefox: Ajustes → Privacidad y seguridad → DNS mediante HTTPS. Elige un nivel de protección y un proveedor (Cloudflare y NextDNS están integrados).
- Chrome / Edge: Ajustes → Privacidad y seguridad → Seguridad → Usar DNS seguro. Puedes mantener tu proveedor actual o elegir uno de la lista.
El DoH del navegador solo protege el DNS de ese navegador — las demás aplicaciones del dispositivo siguen usando el resolutor del sistema.
Windows 11
Windows 11 admite DoH de forma nativa: Ajustes → Red e Internet → tu conexión → Asignación de servidor DNS → Editar, pon el DNS en Manual, introduce la IP de tu resolutor y configura DNS mediante HTTPS en Activado (plantilla automática) para un proveedor compatible.
Android
Android incorpora el DNS privado, que usa DoT: Ajustes → Red e Internet → DNS privado → Nombre de host del proveedor de DNS privado, y luego introduce el nombre de host del proveedor (por ejemplo dns.quad9.net o tu nombre de host de NextDNS/AdGuard). Esto se aplica a todo el sistema.
iOS y macOS
Apple no expone el DNS cifrado en la interfaz de ajustes estándar, pero lo admite mediante perfiles de configuración (un archivo .mobileconfig) con DoH o DoT. Proveedores como NextDNS, Quad9 y AdGuard distribuyen perfiles listos para instalar una vez; el ajuste se aplica luego a todo el sistema.
Router
Activar el DNS cifrado en tu router cubre todos los dispositivos de la red, incluidos los que no se pueden configurar individualmente (smart TVs, dispositivos IoT). La compatibilidad depende del firmware — muchos routers modernos y firmwares como OpenWrt pueden reenviar el DNS por DoT/DoH a un resolutor superior.
Resolutores públicos recomendados
Estos son resolutores públicos conocidos que ofrecen puntos de acceso cifrados (DoH/DoT). Elige según lo que valores — velocidad, filtrado de malware o personalización. No le des muchas vueltas: cualquiera de ellos es mejor que el DNS en texto plano por defecto de tu ISP.
- Cloudflare (
1.1.1.1/1.0.0.1) — un resolutor muy usado, conocido por ser rápido, con una postura centrada en la privacidad. Hay una app1.1.1.1y puntos de acceso DoH/DoT disponibles. - Quad9 (
9.9.9.9) — un resolutor sin ánimo de lucro, suizo, que bloquea dominios maliciosos conocidos mediante fuentes de inteligencia de amenazas. Una opción sólida si quieres filtrado de seguridad integrado. - Mullvad DNS — DNS cifrado público gestionado por el proveedor de VPN Mullvad, centrado en la privacidad, con variantes opcionales que bloquean anuncios/rastreadores/malware. No requiere cuenta para el resolutor público.
- NextDNS — un resolutor muy personalizable: creas una configuración y eliges tus listas de bloqueo, el registro y las reglas. Tiene un plan gratuito con un cupo mensual de consultas.
- AdGuard DNS — ofrece resolutores que bloquean anuncios y rastreadores a nivel de DNS, con puntos de acceso cifrados, además de una opción sin filtrado.
Una nota de honestidad: la velocidad real del DNS depende mucho de tu ubicación y tu red — así que desconfía de cualquier afirmación sobre el «resolutor más rápido»: la opción correcta es aquella cuyo modelo de confianza y filtrado encajen con tus necesidades.
Dónde encaja una VPN
El DNS cifrado oculta tus consultas, pero una VPN va más allá: cifra todo tu tráfico — DNS incluido — dentro de un único túnel hacia el servidor VPN, de modo que tu ISP y la red local no ven ni los dominios que resuelves ni lo que haces después. Una VPN bien hecha también enruta el DNS por sus propios resolutores dentro del túnel, lo que evita las fugas de DNS (ese fallo en el que tu dispositivo recurre en silencio al DNS en texto plano del ISP).
Preguntas frecuentes
¿Qué es el DNS seguro? El DNS seguro consiste en cifrar tus consultas DNS (normalmente con DoH o DoT) para que la red entre tú y el resolutor no pueda leer, registrar ni manipular los dominios que visitas. El DNS clásico envía esas consultas en texto plano por el puerto 53.
¿Es mejor DoH o DoT? Cifran el DNS igual de bien; la diferencia es el canal. DoH usa el puerto 443 (el puerto HTTPS normal), lo que lo hace más difícil de detectar y bloquear para una red. DoT usa un puerto dedicado (853), más fácil de gestionar pero también más fácil de detectar y bloquear. Para la privacidad frente a tu ISP, cualquiera de los dos es una gran mejora.
¿DNSSEC cifra mi DNS? No. DNSSEC autentica las respuestas DNS para impedir la suplantación, pero no las cifra — la red aún puede ver tus consultas. Para la privacidad necesitas DoH o DoT; para la autenticidad necesitas DNSSEC. Son complementarios.
¿Basta con cambiar de resolutor DNS para la privacidad? Es una mejora real — tus consultas pasan a estar cifradas y tu ISP ya no puede registrarlas — pero solo cubre el DNS. El resto de tu tráfico (y las IP a las que te conectas) sigue siendo visible a nivel de red. Una VPN cifra todo, DNS incluido, en un único túnel.
¿Qué resolutor de DNS seguro debería usar? Quad9 si quieres bloqueo de malware de una organización sin ánimo de lucro, Cloudflare para un resolutor generalista rápido, NextDNS o AdGuard si quieres personalizar el filtrado, o Mullvad DNS para un resolutor público centrado en la privacidad. Todos ofrecen puntos de acceso cifrados.
En resumen
El DNS clásico revela en silencio cada web que visitas a tu ISP y a cualquiera que esté en tu red. El DNS seguro — cifrado con DoH o DoT, idealmente sobre un resolutor que valide DNSSEC — cierra esa fuga, y puedes activarlo en tu navegador, tu SO o tu router en unos minutos. Elige un resolutor cuyo modelo de confianza te convenga (Cloudflare, Quad9, Mullvad, NextDNS o AdGuard), y si quieres cerrar la fuga para todo tu tráfico a la vez, hazlo pasar por una VPN sin registros.