DNS over HTTPS (DoH) cifra las consultas que tu navegador hace cada vez que escribes una dirección web, de modo que tu proveedor de internet deja de leer a dónde vas. Activarlo cuesta dos minutos y no necesitas ser informático. El DNS cifrado en el navegador tapa una de las fugas de privacidad más antiguas y menos comentadas de internet: las peticiones DNS viajaban en texto plano desde los años 80, visibles para cualquiera en la red. Tu operadora sabía que entrabas en la web de tu médico, tu banco o ese foro raro de las tres de la mañana. Configurar DoH rompe esa vigilancia silenciosa. En esta guía verás cómo activar DNS seguro en el navegador en Chrome, Firefox, Edge, Android, iOS y Windows, con los pasos exactos y sin humo.
Qué es DNS over HTTPS y por qué deberías activarlo
El DNS es la agenda de contactos de internet. Cuando escribes mataspam.es, tu equipo pregunta a un servidor DNS qué dirección IP corresponde a ese nombre. El problema: esa pregunta viajaba sin cifrar.
Cualquiera entre tu router y el servidor podía leerla. Tu proveedor de internet, el dueño del WiFi de la cafetería, o un atacante con un portátil y malas intenciones. DoH mete esa consulta dentro de una conexión HTTPS, la misma tecnología del candadito de tu banco.
Las ventajas concretas son tres. Primero, privacidad: tu operadora ya no construye un perfil de tu navegación a partir del DNS. Segundo, seguridad: dificulta el secuestro de DNS, una técnica donde el atacante te redirige a una web falsa. Tercero, resistencia a la censura básica basada en bloqueo DNS.
No es magia. El DNS cifrado en el navegador oculta el contenido de la consulta, pero el servidor DoH que elijas sí ve tus peticiones. Cambias quién te vigila, así que elige bien el proveedor. Y sigue existiendo el SNI sin cifrar y el propio destino IP, que delatan parte del tráfico. Privacidad mejorada, no invisibilidad total.
Cómo configurar DoH en tu navegador paso a paso
Cada navegador lo lleva en un sitio distinto. Aquí van los cuatro grandes. Antes de elegir servidor, conviene entender qué resolvers DoH existen.
| Proveedor | URL del servidor DoH | Nota |
|---|---|---|
| Cloudflare | https://cloudflare-dns.com/dns-query | Rápido, política de no-logs auditada por KPMG |
| https://dns.google/dns-query | Fiable, pero es Google leyendo tu DNS | |
| Quad9 | https://dns.quad9.net/dns-query | Bloquea dominios maliciosos conocidos |
| Mullvad | https://dns.mullvad.net/dns-query | Enfocado en privacidad, con opciones de bloqueo de anuncios |
Google Chrome
- Abre Configuración → Privacidad y seguridad → Seguridad.
- Baja hasta Usar DNS seguro y actívalo.
- Elige un proveedor de la lista o pega una URL personalizada (las de la tabla funcionan).
Mozilla Firefox
- Ve a Ajustes → Privacidad y seguridad → abajo del todo, Activar DNS sobre HTTPS.
- Selecciona el modo: Protección máxima recomienda no caer en DNS sin cifrar.
- Firefox fue pionero en activar DoH por defecto en EE. UU. desde 2020, con Cloudflare como resolver inicial.
Microsoft Edge
Mismo motor que Chrome. Ve a Configuración → Privacidad, búsqueda y servicios → Seguridad → Usar DNS seguro. Idéntico procedimiento.
Safari
Safari no tiene ajuste propio de DoH. Hereda la configuración del sistema (macOS o iOS), así que el cifrado se gestiona desde un perfil de configuración o desde los ajustes de red del dispositivo, como verás más abajo.
Activar DNS cifrado en todo el dispositivo
Configurarlo solo en el navegador deja al descubierto el resto de apps. Para tapar todo el equipo, actúa a nivel de sistema.
Windows 11 soporta DoH nativo. Ve a Configuración → Red e Internet → tu adaptador → Asignación de servidor DNS → editar → activa Cifrado preferido. Microsoft lo introdujo en builds desde 2021.
Android 9 o superior usa una variante llamada DNS-over-TLS. Ve a Ajustes → Red e internet → DNS privado e introduce el nombre del host, por ejemplo dns.quad9.net. Listo para todas las apps.
iOS y macOS no traen interfaz directa, pero aceptan perfiles de configuración. Cloudflare y Mullvad ofrecen perfiles firmados que instalas en dos toques. También sirve su app oficial 1.1.1.1, que monta el DNS seguro sin tocar nada técnico.
Si gestionas una red doméstica, configurar DoH en el router cubre todos los dispositivos de golpe. Routers con OpenWrt o firmware moderno lo permiten. Para quienes montan automatizaciones de hogar, repasar buenas prácticas de red en blogs especializados como esta guía de domótica marca la diferencia: el DNS limpio reduce ruido y telemetría de los cacharros conectados.
Errores comunes y cómo evitarlos
El fallo número uno: activar DoH y olvidar que el resolver elegido ahora lo ve todo. Si pones Google como servidor para huir de tu operadora, has cambiado de vigilante. Elige un proveedor con política de no-logs verificable.
Segundo error: pensar que DoH te protege del phishing o el malware. No lo hace por sí solo. Cifrar el DNS no detecta un correo fraudulento ni un adjunto infectado. Para eso necesitas otras capas, como un buen filtro de correo y sentido común. Si te interesa blindar el buzón, tenemos una guía sobre cómo filtrar spam en Outlook paso a paso.
Tercer error: ignorar que el DNS también es vector de ataque. Los delincuentes usan el propio protocolo para sacar datos de redes comprometidas, una técnica que explicamos en detalle en nuestro artículo sobre DNS tunneling y exfiltración de datos. DoH bien configurado, con un resolver que filtre dominios maliciosos como Quad9, ayuda a frenar parte de esas tretas.
Cuarto: las empresas a veces necesitan ver el DNS por motivos de seguridad legítimos. Activar DoH en un equipo corporativo puede saltarse los filtros del departamento de IT. Si trabajas en una organización, consulta antes. Para entornos profesionales, conviene tenerlo dentro de un plan de respuesta a incidentes bien definido.
Cómo comprobar que el DNS cifrado funciona
Activarlo está bien. Verificarlo, mejor. Cloudflare mantiene la página 1.1.1.1/help, que te dice al instante si tu conexión usa DNS over HTTPS con un simple Yes o No.
Otra prueba: visita dnsleaktest.com y comprueba qué servidor resuelve tus consultas. Si aparece tu operadora habitual, el DoH no está activo o algo lo está saltando. Si aparece Cloudflare, Quad9 o el resolver que elegiste, vas bien.
Para los obsesos de la verificación, herramientas como VirusTotal permiten analizar dominios sospechosos antes de visitarlos, y servicios como Have I Been Pwned avisan si tu correo ha aparecido en filtraciones. Ninguno sustituye al DoH, pero suman a la misma causa: menos exposición.
Preguntas frecuentes
¿DNS over HTTPS me hace anónimo en internet?
No. DoH cifra tus consultas DNS para que tu operadora no las lea, pero tu dirección IP, el destino final y otros metadatos siguen visibles. Para anonimato real necesitas una VPN o Tor, que son herramientas distintas.
¿DoH ralentiza la navegación?
En la mayoría de casos el impacto es imperceptible o incluso mejora, porque resolvers como Cloudflare son más rápidos que los de muchas operadoras. La latencia añadida por el cifrado HTTPS es mínima en conexiones modernas.
¿Cuál es la diferencia entre DoH y DoT?
Ambos cifran el DNS. DoH (over HTTPS) usa el puerto 443 y se camufla entre el tráfico web normal, difícil de bloquear. DoT (over TLS) usa el puerto 853, dedicado, lo que lo hace más fácil de identificar y filtrar para administradores de red.
¿Puedo usar DoH y una VPN a la vez?
Sí, aunque a menudo es redundante. Una VPN ya cifra todo tu tráfico, incluido el DNS, si está bien configurada. Si tu VPN tiene fugas DNS, activar DoH en el sistema añade una capa de seguridad útil.
¿Es legal usar DNS cifrado en España?
Sí, es totalmente legal para particulares. El derecho a la privacidad de las comunicaciones está amparado por el RGPD y la legislación española. Otra cosa son los entornos corporativos, donde la empresa puede exigir su propio DNS por motivos de seguridad y cumplimiento.
El siguiente paso
Abre ahora mismo 1.1.1.1/help en tu navegador. Si te dice que no usas DNS seguro, vuelve a la sección de tu navegador, activa DoH con Cloudflare o Quad9, y recarga la página de verificación. Dos minutos, privacidad mejorada de por vida. Y cuando termines, échale un ojo al resto de guías del blog de MataSpam: el DNS cifrado es solo el primer ladrillo del muro.
