Pi-hole es un servidor DNS que filtra peticiones a dominios publicitarios y de rastreo antes de que lleguen a tus dispositivos, convirtiéndose en el bloqueador de publicidad más efectivo para toda la red doméstica. A diferencia de uBlock Origin o AdBlock Plus, que funcionan navegador a navegador, un dns bloqueador como Pi-hole protege también el móvil de tu madre, la smart TV del salón y ese frigorífico con wifi que nadie pidió. Instalar pihole en una Raspberry Pi cuesta menos de 50 euros y bloquea aproximadamente entre el 15% y el 30% del tráfico de red según la configuración. Esta guía práctica cubre la instalación, las listas recomendadas, los problemas habituales y cómo integrarlo con un router doméstico para conseguir un adblock a nivel de red local sin tocar nada en los dispositivos finales.
Qué es Pi-hole y por qué funciona tan bien
Pi-hole actúa como el DNS de tu red. Cuando un dispositivo pide la IP de ads.doubleclick.net, Pi-hole devuelve una respuesta vacía (0.0.0.0) y el anuncio nunca llega a cargarse. El navegador se queda esperando un recurso que jamás aparecerá.
El proyecto nació en 2014 de la mano de Jacob Salmela y hoy lo mantiene una comunidad activa con cientos de contribuidores en GitHub. Funciona sobre Raspberry Pi, Docker, máquinas virtuales o cualquier Linux mínimamente decente. Consume menos de 100 MB de RAM en reposo.
La ventaja frente a un bloqueador de navegador es doble. Primero, cubre todos los dispositivos que usen tu wifi: móviles, tablets, televisores, consolas, electrodomésticos conectados. Segundo, bloquea antes de que el tráfico salga a internet, lo que reduce consumo de datos y mejora los tiempos de carga.
Requisitos e instalación paso a paso
La configuración más popular es una Raspberry Pi 4 con 2 GB de RAM, una tarjeta microSD de 16 GB y Raspberry Pi OS Lite. También vale una Pi Zero 2 W si tu red es pequeña. Si ya tienes un NAS Synology o un servidor casero, puedes ejecutar Pi-hole en Docker sin hardware adicional.
El comando oficial de instalación es este:
- curl -sSL https://install.pi-hole.net | bash
El instalador es interactivo y pregunta por el interfaz de red, el servidor DNS upstream (Cloudflare 1.1.1.1 suele ser una opción rápida y con soporte DoH), las listas de bloqueo iniciales y si quieres habilitar la interfaz web. Dedica cinco minutos a leer las opciones en lugar de darle a Enter como un autómata.
Al terminar te muestra la contraseña del panel web. Apúntala. Accederás desde http://pi.hole/admin dentro de tu red.
Configurar el router: el paso que todo el mundo se salta
Instalar Pi-hole no sirve de nada si los dispositivos siguen usando el DNS del router o de Google. Tienes dos opciones.
La primera, cambiar el DNS en el router para que apunte a la IP de la Raspberry Pi. Así todos los dispositivos heredan la configuración automáticamente al conectarse al wifi. Algunos routers de Movistar, Vodafone y Orange capan esta opción y ahí empiezan los problemas. Si tu operador no deja, la alternativa es deshabilitar el DHCP del router y activarlo en Pi-hole.
La segunda, configurar el DNS manualmente en cada dispositivo. Tedioso y se olvida siempre un par.
Ojo con el IPv6. Si tu ISP reparte IPv6 (Movistar FTTH lo hace), los dispositivos pueden saltarse Pi-hole usando el DNS IPv6 del router. Hay que configurar el DNS IPv6 también o directamente desactivar IPv6 en el router si no lo necesitas. Los ataques de envenenamiento de DNS son especialmente traicioneros cuando se mezcla tráfico IPv4 y IPv6 sin vigilar.
Listas de bloqueo recomendadas
Pi-hole viene con una lista básica (StevenBlack/hosts) que ya bloquea buena parte de la publicidad. Para afinar, añade estas desde Group Management → Adlists.
| Lista | Contenido | Reglas aprox. |
|---|---|---|
| OISD Big | Publicidad, tracking, malware | 170.000+ |
| AdGuard DNS Filter | Publicidad y rastreadores | 70.000+ |
| HaGeZi Multi Pro | Pack multi-categoría | 250.000+ |
| Energized Spark | Listas ligeras sin falsos positivos | 50.000+ |
No te pases. Añadir cinco millones de dominios bloqueados suena épico hasta que WhatsApp deja de funcionar porque una lista agresiva se ha cargado graph.facebook.com. Empieza con OISD Big y ve añadiendo según necesidad.
Después de añadir listas ejecuta pihole -g para actualizar la gravity (la base de datos de dominios bloqueados). El proceso dura entre 30 segundos y dos minutos.
Bloquear publicidad en aplicaciones móviles
Aquí es donde Pi-hole brilla. Las apps de móvil no permiten instalar extensiones y meten publicidad intrusiva que agota la batería. Con el DNS de tu red apuntando a Pi-hole, buena parte de esa publicidad desaparece sin root ni jailbreak.
Spotify Free es la excepción famosa: sirve anuncios desde el mismo dominio que el audio, así que bloquearlos rompe la app. YouTube en navegador se bloquea bien, pero la app oficial usa técnicas antibloqueo que requieren configuraciones más complejas.
Para protección fuera de casa, combina Pi-hole con una VPN como WireGuard. El servidor WireGuard en la misma Raspberry Pi enruta el tráfico del móvil por Pi-hole cuando estás en el bar, en el aeropuerto o conectado a un wifi público del que nadie se fía. Esto también protege frente a técnicas de ingeniería social que dependen de dominios maliciosos recién registrados.
Pi-hole no es un antivirus
Importante matizar expectativas. Pi-hole bloquea dominios conocidos por servir publicidad, rastreo o malware. No analiza el contenido de las páginas, no detecta ataques de día cero ni sustituye a un filtro de correo como MataSpam. Si te llega un enlace de phishing hospedado en un dominio limpio, Pi-hole lo dejará pasar tan contento.
Úsalo como una capa más dentro de una estrategia de seguridad razonable. Complementa bien con un antivirus en endpoints, un gestor de contraseñas y sentido común al abrir enlaces raros. Quien gestiona una tienda online necesita también un WAF, HTTPS forzado y monitorización de logs, no solo un DNS filtrado.
Mantenimiento y resolución de problemas
Pi-hole es de los proyectos que se olvidan en un rincón y siguen funcionando años. Aun así conviene hacer algunas tareas.
- Actualizar: pihole -up cada par de meses
- Revisar el Query Log: para detectar dispositivos haciendo peticiones extrañas
- Whitelist: añadir dominios legítimos que algún servicio esencial rompa
- Backups: pihole -a -t genera un archivo teleporter con toda la configuración
El fallo más habitual es "algo no me funciona y no sé por qué". Desactiva Pi-hole temporalmente desde el panel (Disable → 5 minutes). Si vuelve a funcionar, el problema es un falso positivo. Si no, el problema está en otro sitio.
Los operadores más avanzados conectan Pi-hole con Unbound como resolvedor DNS recursivo para no depender de Cloudflare, Google ni el ISP. Esta configuración ofrece privacidad real porque las consultas DNS no pasan por ningún tercero. La guía oficial de Pi-hole sobre Unbound está bien documentada.
Equipos que gestionan varias redes o necesitan aplicar políticas por usuario pueden plantearse AdGuard Home como alternativa. Tiene interfaz más moderna y soporte nativo de DoH/DoT, aunque la comunidad de Pi-hole es más amplia. Para proyectos empresariales, la combinación de filtrado DNS con análisis de comportamiento basado en IA permite detectar amenazas que un bloqueador por listas no ve.
Privacidad y marco legal
Pi-hole registra todas las consultas DNS de tu red en una base de datos SQLite. Esto te permite ver qué dispositivos hablan con qué servidores, útil para detectar comportamientos sospechosos. También implica que estás guardando datos de uso de tu familia o compañeros de piso.
El Reglamento General de Protección de Datos (RGPD, aplicable desde mayo de 2018) obliga a informar a los usuarios si se tratan sus datos personales, incluidos metadatos de navegación. Para uso doméstico personal no aplica, pero si instalas Pi-hole en una oficina pequeña debes comunicarlo al personal e incluirlo en el registro de actividades de tratamiento. La Agencia Española de Protección de Datos publica guías específicas sobre monitorización en el trabajo.
El nivel de retención de logs se configura desde Settings → Privacy. Las opciones van desde "Show everything" hasta "Anonymous mode", que no guarda IPs de origen.
Preguntas frecuentes
Cuánto cuesta montar Pi-hole en casa?
Una Raspberry Pi 4 con 2 GB, tarjeta microSD, fuente de alimentación y caja ronda los 50-70 euros según estimaciones de 2026. Si lo ejecutas en un NAS o servidor existente con Docker, el coste es cero. El software es gratuito y open source bajo licencia EUPL v1.2.
Pi-hole bloquea la publicidad de YouTube?
En navegador web bloquea parte. En la app oficial de YouTube la efectividad es limitada porque Google sirve anuncios desde los mismos dominios que el vídeo. Para bloqueo completo en móvil usa la app NewPipe o similar, no Pi-hole.
Es legal usar un bloqueador de publicidad?
Sí, completamente. En la UE no existe normativa que prohíba al usuario final filtrar su propio tráfico. Algunas webs detectan el bloqueo y restringen el contenido, lo cual también es legal por su parte.
Pi-hole ralentiza la conexión a internet?
No, al contrario. Al evitar descargar recursos publicitarios, las páginas cargan más rápido. El propio servicio DNS responde en pocos milisegundos en hardware modesto como una Raspberry Pi 3.
Puedo instalar Pi-hole sin Raspberry Pi?
Sí. Funciona en Docker (contenedor oficial mantenido), máquinas virtuales, servidores dedicados, NAS Synology/QNAP y prácticamente cualquier Linux. Incluso en una Raspberry Pi Zero 2 W va sobrada para una red doméstica normal.
El siguiente paso
Pide una Raspberry Pi 4 esta tarde, graba Raspberry Pi OS Lite con el Raspberry Pi Imager y ejecuta el comando curl -sSL https://install.pi-hole.net | bash. En 20 minutos tendrás toda tu red bloqueando anuncios y rastreadores. Cuando compruebes cuánto tráfico basura circulaba por tu wifi entenderás por qué este proyecto lleva una década funcionando sin perder comunidad.
