Cada vez que escribes una dirección web en tu navegador, tu dispositivo hace una consulta DNS que viaja por internet completamente desnuda, como un mensaje en una postal que cualquiera puede leer. Tu proveedor de internet, el gobierno, ese vecino espabilado con Wireshark... todos pueden ver qué webs visitas. La solución se llama DNS privado, y más concretamente DNS over HTTPS (DoH): un protocolo que cifra esas consultas para que nadie meta las narices donde no le llaman. Si te preocupa el DNS cifrado, el DNS seguro o simplemente quieres cambiar DNS para mejorar tu privacidad, estás en el sitio correcto. Hoy en MataSpam te explicamos qué es DoH, por qué deberías activarlo ya, y cómo hacerlo sin necesitar un máster en telecomunicaciones.
Qué es el DNS y por qué debería importarte
Antes de hablar de cifrado, vamos a lo básico. El DNS (Domain Name System) es como la guía telefónica de internet: traduce nombres legibles como mataspam.es a direcciones IP numéricas que los servidores entienden. Sin DNS, tendrías que memorizar cosas como 185.24.67.132 para visitar cada web. Divertidísimo.
El problema es que este sistema se diseñó en 1983, cuando internet era cuatro universidades y un par de militares compartiendo archivos. La seguridad no era precisamente una prioridad. El resultado: las consultas DNS viajan en texto plano por el puerto 53 usando UDP. Cualquiera en tu red puede interceptarlas y saber exactamente qué webs visitas, cuándo y con qué frecuencia.
Esto no es teoría conspiratoria. En 2021, un informe de la Electronic Frontier Foundation (EFF) documentó cómo múltiples ISPs en Estados Unidos y Europa recopilaban y vendían historiales de navegación basados en consultas DNS. En España, la Ley de Conservación de Datos obliga a los operadores a almacenar estos registros durante 12 meses. Tu proveedor de internet sabe perfectamente si visitas webs de salud, política, contenido adulto o buscas información sobre sindicatos. Y no, el modo incógnito no te protege de esto.
DNS over HTTPS: tu escudo invisible
DNS over HTTPS (DoH) es un protocolo estandarizado en 2018 por la RFC 8484 del IETF que hace algo elegantemente simple: mete las consultas DNS dentro de una conexión HTTPS cifrada, exactamente igual que cuando tu banco cifra tus transacciones. En lugar de enviar la consulta por el puerto 53 en texto plano, DoH la envía por el puerto 443 dentro de TLS 1.3, haciéndola indistinguible del tráfico web normal.
¿Qué significa esto en la práctica? Que cuando tu navegador quiere resolver mataspam.es, en vez de gritar la pregunta en medio de la plaza, la susurra por un canal privado. Tu ISP solo ve que te has conectado a un servidor DNS cifrado (por ejemplo, 1.1.1.1 de Cloudflare), pero no puede ver qué dominio has consultado.
Si te interesa este tema, te recomendamos leer nuestro artículo sobre Privacidad en Windows: cómo desactivar la telemetría y el rastreo de Microsoft, donde profundizamos en aspectos clave relacionados.
Existe también DNS over TLS (DoT), que cifra las consultas usando TLS directamente por el puerto 853. La diferencia clave es que DoT usa un puerto específico, lo que permite a administradores de red bloquearlo fácilmente. DoH, al usar el puerto 443 (el mismo que HTTPS), es mucho más difícil de bloquear sin romper medio internet. Por eso es la opción preferida para proteger tu DNS privado.
Ventajas concretas de DoH
- Privacidad real: Tu ISP no puede registrar ni vender tu historial de consultas DNS.
- Protección contra DNS spoofing: Ataques como el CVE-2008-1447 (vulnerabilidad Kaminsky) explotaban la falta de cifrado del DNS tradicional para redirigir usuarios a webs falsas. Con DoH, esto es prácticamente imposible.
- Evita censura: Gobiernos y empresas que bloquean webs manipulando respuestas DNS quedan anulados.
- Imposible de distinguir: El tráfico DoH parece tráfico HTTPS normal, así que no pueden filtrarlo selectivamente.
- Integridad de datos: La conexión TLS garantiza que nadie ha modificado la respuesta DNS en tránsito.
Cómo activar DNS cifrado en tu navegador y sistema operativo
Aquí viene la parte práctica. Cambiar DNS para mejorar tu privacidad es sorprendentemente fácil. Te damos los pasos para cada plataforma, sin excusas.
En Firefox (la opción más fácil)
- Abre Ajustes → Privacidad y Seguridad.
- Baja hasta DNS over HTTPS.
- Selecciona "Máxima protección" para forzar siempre DoH.
- Elige un proveedor: Cloudflare (por defecto) o NextDNS.
Firefox fue el primer navegador en implementar DoH de forma nativa en 2020. Punto para Mozilla.
En Chrome / Edge / Brave
- Ve a Configuración → Privacidad y seguridad → Seguridad.
- Activa "Usar DNS seguro".
- Selecciona "Con: Personalizado" e introduce la URL de tu proveedor DoH preferido.
En Windows 11
- Abre Configuración → Red e Internet → Wi-Fi/Ethernet → Propiedades.
- En Asignación de servidor DNS, haz clic en Editar.
- Selecciona Manual e introduce las IPs de un proveedor compatible con DoH (ej:
1.1.1.1). - En "DNS a través de HTTPS", selecciona "Activado (automático)".
En Android (9+)
- Ve a Ajustes → Red e Internet → DNS privado.
- Selecciona "Nombre del proveedor de DNS privado".
- Introduce:
dns.google,one.one.one.oneodns.nextdns.io.
Nota: Android usa DNS over TLS (DoT) nativamente, no DoH. El resultado en privacidad es equivalente.
En iOS / macOS
Apple soporta DoH desde iOS 14 y macOS Big Sur, pero la configuración nativa es limitada. La forma más fiable es usar la app 1.1.1.1 de Cloudflare (gratuita) o configurar un perfil de configuración .mobileconfig. Para macOS, también puedes usar DNSCrypt-proxy o Stubby como resolver local.
Proveedores de DNS seguro recomendados
| Proveedor | IP | URL DoH | Política de logs |
|---|---|---|---|
| Cloudflare | 1.1.1.1 | https://cloudflare-dns.com/dns-query | No logs >24h, auditoría KPMG |
| 8.8.8.8 | https://dns.google/dns-query | Logs anonimizados 24-48h | |
| Quad9 | 9.9.9.9 | https://dns.quad9.net/dns-query | Sin logs, bloquea malware |
| NextDNS | Varía | https://dns.nextdns.io/ID | Configurable, sede en UE |
| Mullvad | 194.242.2.2 | https://dns.mullvad.net/dns-query | Sin logs, Suecia |
Si te preocupa especialmente la privacidad y el RGPD, NextDNS y Mullvad son las mejores opciones por estar bajo jurisdicción europea. Cloudflare es excelente en rendimiento y ha pasado auditorías independientes, pero es empresa estadounidense sujeta a la CLOUD Act.
Si te interesa este tema, te recomendamos leer nuestro artículo sobre Privacidad de los niños en internet: guía para padres preocupados, donde profundizamos en aspectos clave relacionados.
Limitaciones y lo que DoH no soluciona
Aquí es donde MataSpam se pone serio, porque hay mucho vendehúmos en internet prometiendo anonimato total con DNS cifrado. La realidad tiene matices:
- SNI (Server Name Indication): Cuando te conectas a una web HTTPS, el nombre del dominio se envía en texto plano durante el handshake TLS. Esto significa que tu ISP puede seguir viendo qué dominios visitas aunque uses DoH. La solución es ECH (Encrypted Client Hello), que Cloudflare y Firefox ya soportan pero que aún no es universal.
- La IP del servidor de destino: Aunque cifres el DNS, tu ISP ve a qué IPs te conectas. En servidores compartidos esto no revela mucho, pero si visitas un sitio con IP dedicada, es trivial hacer la resolución inversa.
- El proveedor de DoH ve tus consultas: Estás moviendo la confianza de tu ISP al proveedor DNS. Asegúrate de elegir uno con política verificable de no-logs.
- No protege contra malware ni phishing: DoH cifra el transporte, no valida el contenido. Para eso necesitas servicios como Quad9 o NextDNS que incluyen listas de bloqueo.
- Redes corporativas: Muchas empresas bloquean DoH porque necesitan visibilidad sobre el tráfico DNS para seguridad interna. Si estás en una red corporativa, consulta con tu departamento de IT antes de activarlo.
En resumen: DoH es una capa más de protección, no una bala de plata. Combínalo con una VPN de confianza, HTTPS Everywhere y sentido común para una privacidad real.
Herramientas para verificar y testar tu DNS
Vale, ya has configurado tu DNS seguro. ¿Cómo verificas que funciona? Aquí van herramientas reales que puedes usar ahora mismo:
- 1.1.1.1/help: Test de Cloudflare que muestra si estás usando DoH/DoT, qué resolver usas y si DNSSEC está activo.
- DNS Leak Test: Detecta si tus consultas DNS se están filtrando fuera del túnel cifrado.
- Cloudflare Browsing Experience Security Check: Comprueba DNS seguro, DNSSEC, TLS 1.3 y ECH de un vistazo.
- dig / nslookup: Desde terminal,
dig +https @1.1.1.1 mataspam.eshace una consulta DoH directa para verificar que funciona. - NextDNS: Su panel de control te muestra en tiempo real todas las consultas, bloqueos y estadísticas si usas su servicio.
Preguntas frecuentes
¿DNS over HTTPS ralentiza mi conexión?
Prácticamente no. Las primeras implementaciones de DoH añadían unos 10-20ms de latencia, pero los proveedores actuales como Cloudflare operan servidores en más de 300 ciudades del mundo. En la mayoría de casos, un DNS cifrado como el de Cloudflare (1.1.1.1) es más rápido que el DNS de tu ISP, que suele estar mal optimizado. Según benchmarks independientes de DNSPerf.com, Cloudflare tiene un tiempo medio de respuesta global inferior a 12ms.
¿Es legal usar DNS privado en España?
Absolutamente sí. Usar un DNS privado o DNS seguro es perfectamente legal en España y en toda la Unión Europea. El RGPD te otorga el derecho a proteger tus comunicaciones. Ninguna ley obliga a los usuarios a usar el DNS de su ISP. Los operadores están obligados a registrar metadatos de conexión, pero tú no estás obligado a facilitarles esa tarea.
¿Puedo usar DoH y una VPN al mismo tiempo?
Sí, y de hecho es la combinación ideal. La mayoría de VPNs serias (Mullvad, ProtonVPN, IVPN) ya operan sus propios servidores DNS cifrados y redirigen tus consultas automáticamente. Si usas una VPN, asegúrate de que no haya fugas DNS (DNS leaks) usando herramientas como dnsleaktest.com. Si configuras DoH manualmente además de la VPN, las consultas saldrán por el túnel VPN y luego se cifrarán de nuevo con DoH. Cinturón y tirantes.
¿DoH protege contra el phishing?
El protocolo DoH en sí solo cifra el transporte, no filtra contenido malicioso. Sin embargo, proveedores como Quad9 y NextDNS combinan DNS cifrado con listas de bloqueo de dominios maliciosos en tiempo real. Quad9, por ejemplo, bloquea más de 200 millones de amenazas diarias usando inteligencia de más de 25 fuentes, incluida IBM X-Force. Para una protección completa contra phishing, combina un DNS con filtrado, un buen antivirus y... sentido común. Que no, que el príncipe nigeriano no te va a mandar millones.
¿Qué diferencia hay entre DoH, DoT y DNSSEC?
DoH (DNS over HTTPS) cifra la consulta DNS dentro de HTTPS por el puerto 443. DoT (DNS over TLS) cifra la consulta usando TLS directamente por el puerto 853. Ambos protegen la privacidad de la consulta. DNSSEC es diferente: no cifra nada, sino que firma criptográficamente las respuestas DNS para garantizar que no han sido manipuladas. Lo ideal es usar DoH + DNSSEC juntos: uno protege la privacidad del transporte y el otro la integridad de la respuesta.
Conclusión
Configurar un DNS privado con DNS over HTTPS es una de las mejoras de privacidad más sencillas y efectivas que puedes hacer hoy. En cinco minutos, sin instalar nada raro, puedes evitar que tu ISP registre cada web que visitas. No es magia, no es paranoia: es higiene digital básica. Si te ha parecido útil esta guía, explora el resto de artículos del blog de MataSpam donde hablamos de phishing, malware, ciberataques y todo lo que necesitas saber para navegar sin que te tomen el pelo. Y si tu bandeja de entrada parece un vertedero de spam... ya sabes para qué estamos.
