Cambiar los DNS de tu router y dispositivos toma menos de cinco minutos y bloquea malware, phishing y rastreadores antes de que tu navegador siquiera cargue la página. Aprender a configurar DNS con servicios como Cloudflare DNS o Quad9 DNS seguridad es la mejora de privacidad y velocidad con mejor relación esfuerzo/beneficio que existe.
Tu operadora (Movistar, Vodafone, Orange) usa por defecto sus propios servidores DNS, que son lentos, registran tu actividad y no filtran nada malicioso. Saber cambiar DNS equivale a poner un portero en la puerta de tu red: cada vez que un dispositivo intenta resolver un dominio, el resolver decide si lo deja pasar o lo bloquea. Esta guía explica cómo hacerlo en el router (afecta a toda la casa) y dispositivo a dispositivo (Android, iOS, Windows, macOS).
Qué hace exactamente un DNS y por qué el de tu operadora es mediocre
El DNS (Domain Name System) traduce nombres de dominio (mataspam.es) a direcciones IP (162.159.x.x). Sin DNS, internet sería una guía telefónica sin nombres. Cada vez que abres una web, tu dispositivo lanza una consulta DNS al resolver configurado por defecto.
El resolver de tu operadora suele tener tres problemas: latencia alta (resolvers saturados), registro de tu historial de navegación (que pueden vender o entregar a terceros) y cero filtrado de seguridad. Si tu hijo abre un enlace de phishing en un correo, el DNS de Movistar lo resolverá tan tranquilo. Cambiar a un resolver público con filtrado bloquea esos dominios antes de que el navegador llegue a renderizar nada.
Los resolvers públicos modernos también soportan DNS over HTTPS (DoH) y DNS over TLS (DoT), que cifran las consultas. Sin esto, cualquiera en tu red Wi-Fi (un aeropuerto, un hotel) puede ver qué dominios visitas aunque uses HTTPS.
Qué resolver elegir: Cloudflare, Quad9, NextDNS o AdGuard
No hay un único ganador, depende de qué priorices. Estos son los cuatro que merecen consideración:
| Servicio | IP primaria | IP secundaria | Filtrado | Privacidad |
|---|---|---|---|---|
| Cloudflare (1.1.1.1) | 1.1.1.1 | 1.0.0.1 | No (1.1.1.2 sí filtra malware) | Logs 24h, auditoría KPMG |
| Quad9 | 9.9.9.9 | 149.112.112.112 | Malware y phishing por defecto | Sin logs personales, sede Suiza |
| NextDNS | configurable | configurable | Personalizable (anuncios, tracking, adultos) | Logs opcionales bajo tu control |
| AdGuard DNS | 94.140.14.14 | 94.140.15.15 | Anuncios y trackers | Sin logs, sede Chipre |
Para una familia que quiere bloqueo de malware sin configurar nada, Quad9 es lo más sensato: filtra dominios maliciosos usando feeds de IBM X-Force y otras fuentes, está gestionado por una fundación suiza sin ánimo de lucro y cumple con el RGPD por diseño. Para máximo rendimiento sin filtrado, 1.1.1.1 de Cloudflare. Si quieres control granular (bloquear TikTok los días laborables, anuncios en toda la casa, contenido adulto en el móvil del crío), NextDNS es lo más potente.
Cómo configurar DNS seguro en tu router (afecta a toda la red)
Esta es la opción que recomendamos: cambias el DNS una vez en el router y todos los dispositivos conectados (móviles, tele, consola, bombillas inteligentes) lo heredan automáticamente. Si alguna vez te has planteado limpiar dispositivos del ruido digital acumulado, esto va en la misma línea: una mejora estructural, no parche por parche.
- Abre el navegador y entra en la dirección de tu router. Suele ser 192.168.1.1 o 192.168.0.1. En routers de Movistar, prueba 192.168.1.1; en Vodafone Station, 192.168.0.1.
- Inicia sesión. La contraseña suele estar en una pegatina debajo del router. Si nunca la has cambiado, cámbiala ya (la contraseña por defecto es trivial de adivinar).
- Busca la sección LAN, DHCP o Configuración avanzada de red. El DNS suele estar bajo "Servidor DNS" o "DNS personalizado".
- Introduce las dos IPs del resolver elegido. Para Quad9: 9.9.9.9 como primario y 149.112.112.112 como secundario.
- Guarda y reinicia el router. En 30 segundos toda tu red usa el nuevo DNS.
Verifica que ha funcionado entrando en dnsleaktest.com desde cualquier dispositivo de tu red. Si ves "Cloudflare" o "Quad9" en lugar de tu operadora, listo. Para un análisis más completo del estado de tu red, también puede servir montar una rutina básica de respuesta ante incidentes en casa.
Configurar DNS en cada dispositivo (cuando no controlas el router)
Si vives de alquiler, en residencia universitaria o el router lo gestiona tu operadora sin permiso de admin, configura el DNS dispositivo a dispositivo. La ventaja: te acompaña a redes ajenas (Wi-Fi de cafeterías, hoteles).
Android (8.0 o superior)
Ajustes → Red e Internet → DNS privado → Nombre de host del proveedor: dns.quad9.net o one.one.one.one. Esto activa DoT cifrado en todas las redes (incluida la móvil 4G/5G).
iPhone y iPad
Apple no permite DNS personalizado a nivel sistema sin un perfil de configuración. Descarga la app 1.1.1.1 de Cloudflare o Quad9 Connect desde la App Store: instalan un perfil legítimo y activan DoH para todo el sistema. Tarda 30 segundos.
Windows 11
Configuración → Red e Internet → Wi-Fi (o Ethernet) → Propiedades de hardware → Asignación de servidor DNS → Editar → Manual. Activa IPv4 y mete 1.1.1.1 y 1.0.0.1. En "Cifrado DNS preferido" elige Solo cifrado (DNS sobre HTTPS).
macOS
Ajustes del Sistema → Red → selecciona la conexión → Detalles → DNS → toca el "+" y añade los servidores. Para DoH necesitas un perfil de configuración (las apps de Cloudflare o NextDNS lo instalan).
Si estás revisando configuraciones porque sospechas que algo raro pasa con tu navegación, échale un ojo también a cómo detectar spyware en tus dispositivos: los DNS extraños son a veces una pista.
DoH y DoT: por qué importa el cifrado de las consultas DNS
Una consulta DNS tradicional viaja en texto plano por la red. Cualquiera con acceso al tramo (la cafetería del barrio, el ISP, una agencia gubernamental) puede ver exactamente qué dominios visitas, aunque la web final use HTTPS. DNS over HTTPS envuelve esa consulta dentro del tráfico HTTPS normal del puerto 443, indistinguible del resto. DNS over TLS usa un puerto dedicado (853) también cifrado.
Los cuatro resolvers de la tabla soportan ambos. Para usuarios particulares, DoH suele ser más resistente a bloqueos porque viaja por el mismo puerto que cualquier web HTTPS. Si trabajas desde redes corporativas con firewall estricto, comprueba con tu equipo de IT si bloquean DoH (algunas empresas lo prohíben porque saltan sus filtros internos, regulación que recoge entre otros el ENS español para administraciones públicas).
Errores comunes al configurar DNS
- Mezclar resolvers de proveedores distintos. Si pones 1.1.1.1 (Cloudflare) y 9.9.9.9 (Quad9) como primario y secundario, tu sistema usará el que responda antes y los filtrados serán incoherentes. Usa siempre los dos del mismo proveedor.
- Olvidar IPv6. Si tu conexión tiene IPv6 activo (la mayoría de fibra actualmente), configura también las IPs IPv6 del resolver. Si no, tus consultas IPv6 seguirán yendo al DNS de tu operadora. Cloudflare: 2606:4700:4700::1111. Quad9: 2620:fe::fe.
- VPN que pisa el DNS. Si usas una VPN, ella decide el DNS. Comprueba en dnsleaktest.com que no estás filtrando consultas fuera del túnel.
- Apps que ignoran el DNS del sistema. Firefox y Chrome usan su propio DoH si lo activas en su configuración. Esto puede sobrescribir el DNS del router. Decide si quieres centralizar todo en el sistema o dejar que el navegador haga lo suyo.
Si necesitas crear infraestructura web propia con configuración DNS profesional, en Piqture trabajamos con DNS gestionado y certificados desde el primer día. Para inspiración general sobre tutoriales prácticos, facilparatodos.es tiene buen material para perfiles menos técnicos.
Preguntas frecuentes
¿Cambiar el DNS hace internet más rápido?
En la mayoría de casos sí, pero el efecto es modesto. Cloudflare (1.1.1.1) suele responder en menos de 15 ms en España, frente a 30-50 ms de algunos resolvers de operadoras saturadas. Notarás más diferencia en webs que cargan muchos dominios distintos (medios con publicidad).
¿Es legal cambiar el DNS del router en España?
Totalmente legal. Cambiar el DNS no implica saltarse bloqueos judiciales: cuando un juez ordena bloquear un dominio en España, los resolvers públicos como Quad9 o Cloudflare suelen aplicar bloqueos a nivel global solo si hay orden judicial en su jurisdicción. La Ley 34/2002 LSSI no obliga al usuario a usar el DNS del operador.
¿Puedo bloquear contenido adulto para mis hijos solo cambiando el DNS?
Sí. Cloudflare ofrece 1.1.1.3 (familia, bloquea malware y adultos) y NextDNS permite filtrado por categorías muy granular. No es infalible (un menor con conocimientos puede cambiar el DNS de su móvil), pero filtra el 95% del contenido inapropiado sin instalar software adicional.
¿Qué pasa si el resolver elegido se cae?
Por eso configuras siempre dos IPs (primario y secundario). Si Quad9 se cae, tu sistema usa la secundaria automáticamente. Cloudflare sufrió una caída notable el 17 de julio de 2020 que afectó a 1.1.1.1 durante aproximadamente una hora; desde entonces la disponibilidad ha sido cercana al 100%.
¿NextDNS es gratis?
Tiene plan gratuito hasta 300.000 consultas al mes (suficiente para una persona o pareja con uso medio). Si tienes una casa con muchos dispositivos IoT haciendo consultas constantes, puedes superarlo y necesitar el plan de pago, que ronda aproximadamente los 20 dólares al año según tarifas recientes.
El siguiente paso
Entra ahora mismo en el panel de tu router (192.168.1.1 o 192.168.0.1), busca la sección DNS y sustituye los valores por 9.9.9.9 y 149.112.112.112. Reinicia el router. En cinco minutos toda tu casa estará protegida contra dominios de phishing y malware sin haber instalado ni un solo programa.
