DNS cifrado explicado: qué esconden realmente DoH y DoT — y por qué importa el DNS de tu VPN

DNS cifrado explicado: qué esconden realmente DoH y DoT — y por qué importa el DNS de tu VPN
Cada vez que visitas un sitio web, tu dispositivo realiza una búsqueda silenciosa en la que la mayoría de las personas nunca piensan: pregunta «¿cuál es la dirección IP de este nombre de dominio?» Eso es el DNS — la guía telefónica de internet — y durante la mayor parte de la historia de la web, esa pregunta y su respuesta viajaban en texto plano, legibles por cualquiera entre tú y tu servidor DNS. El DNS cifrado soluciona eso. Esta guía explica cómo funciona, qué protege exactamente, qué deja expuesto y cómo se relaciona con la VPN que quizás ya estés usando.
Por qué el DNS en texto plano es un problema de privacidad
Cuando te conectas a un sitio a través de HTTPS, el contenido de tu sesión está cifrado. Pero la búsqueda DNS que ocurre primero generalmente no lo está. Tu proveedor de internet — o cualquiera en la misma red — puede observar esas búsquedas y crear una lista completa de los dominios que visitas, aunque no pueda leer las páginas en sí.
El DNS en texto plano permite dos daños distintos. El primero es la vigilancia: tu ISP puede registrar e incluso monetizar tu historial de navegación a través de los dominios que resuelves. El segundo es la manipulación: como la consulta no está autenticada, una red puede redirigir o bloquear búsquedas — el mecanismo detrás de mucha censura basada en DNS y las páginas de inicio de sesión falsas servidas en Wi-Fi hostiles. El DNS cifrado aborda ambos al envolver la búsqueda en cifrado y protección de integridad.
DoH vs DoT: dos formas de cifrar la búsqueda
Hay dos estándares principales, y la diferencia entre ellos tiene que ver principalmente con qué puerto usan y, por tanto, con cuán visibles son en la red.
DNS over HTTPS (DoH) envía tus consultas DNS dentro del tráfico HTTPS ordinario por el puerto 443, estandarizado en la RFC 8484. Como se parece a cualquier otra solicitud web, es difícil que una red lo identifique y bloquee — exactamente por eso los navegadores lo adoptaron. Es la opción que más a menudo activarás en Firefox, Chrome o Edge.
DNS over TLS (DoT) envuelve las mismas consultas en TLS pero en un puerto dedicado 853. Eso lo hace más limpio de gestionar en una red — los administradores pueden ver y controlar el tráfico DoT de forma distinta — pero también más fácil de bloquear completamente por una red restrictiva. DoT es común a nivel de sistema operativo y router (el DNS privado de Android, por ejemplo).
Ambos te ofrecen la misma protección central: las consultas están cifradas en tránsito y autenticadas para que no puedan ser alteradas silenciosamente. DoH prioriza pasar desapercibido; DoT prioriza una gestión de red limpia. Para una persona que busca privacidad, DoH suele ser la opción más resistente.
Qué esconde realmente el DNS cifrado — y qué no
Aquí es donde importa la honestidad, porque el DNS cifrado a menudo se vende de más. Resuelve bien un problema específico y deja otros intactos.
Qué esconde:
El contenido de tus búsquedas DNS de tu ISP y cualquier otra persona en tu red local — ya no pueden leer qué dominios estás resolviendo.
La integridad de la respuesta — una red no puede redirigir silenciosamente tu búsqueda a un destino malicioso o censurado.
Qué NO esconde:
La dirección IP de destino. Después de la búsqueda, tu dispositivo aún se conecta a esa IP, y tu ISP ve la conexión. Solo con una IP bien conocida, a menudo pueden inferir el sitio.
El nombre del servidor en el saludo TLS (SNI). A menos que se use Encrypted Client Hello, el dominio al que te estás conectando sigue visible en el primer paquete de la propia conexión HTTPS — separado del DNS.
Tus consultas del resolvedor. El DNS cifrado mueve tu confianza, no la elimina. Quien ejecute el resolvedor — 1.1.1.1 de Cloudflare, 8.8.8.8 de Google, Quad9 o tu ISP — ahora ve cada búsqueda. Elige uno con una política de privacidad real.
Los metadatos en general. La temporización, el volumen y los patrones de conexión aún filtran información incluso cuando las búsquedas están cifradas.
El DNS cifrado esconde de tu red qué sitios consultas — pero la conexión que sigue aún revela mucho, y el resolvedor que elijas lo ve todo. Es una línea base, no una capa de invisibilidad.
DNS cifrado vs VPN: resuelven capas diferentes
La gente suele preguntar si el DNS cifrado reemplaza a una VPN. No lo hace — operan en ámbitos diferentes, y entender eso evita un error común.
El DNS cifrado protege solo tus búsquedas DNS. Una VPN cifra y tuneliza todo tu tráfico — las búsquedas y las conexiones que siguen — al servidor VPN, por lo que tu ISP solo ve un túnel cifrado a tu proveedor y nada sobre los destinos dentro de él. Una VPN correctamente configurada también maneja el DNS por ti, enrutando esas consultas a través del túnel hacia el resolvedor propio del proveedor.
Ese último detalle es donde las cosas salen mal. Si tu navegador o sistema operativo está configurado para enviar DoH a un diferente proveedor mientras una VPN está activa, tu DNS puede escaparse del túnel — una fuga DNS clásica que expone tus búsquedas a un resolvedor que no pretendías, socavando la VPN. La solución es dejar que la VPN gestione el DNS, o apuntar el DNS cifrado al resolvedor propio de la VPN, y luego verificar.
Cómo comprobarlo y configurarlo
Primero prueba si hay fugas. Ejecuta una prueba de fuga DNS — incluidas las herramientas de DNS cifrado y fugas de este sitio — para ver exactamente qué resolvedor te está respondiendo y si es el que esperas. Si estás en una VPN y ves el resolvedor de tu ISP, tienes una fuga.
Activa el DNS cifrado deliberadamente. En Firefox, Chrome o Edge, habilita DNS seguro / DNS over HTTPS y elige un resolvedor de reputación. En Android, usa DNS privado (DoT); en sistemas Windows y Apple modernos, el DNS cifrado está disponible a nivel del sistema operativo.
Cuando uses una VPN, deja que ella controle el DNS. Prefiere el DNS integrado de la VPN para que las búsquedas permanezcan dentro del túnel, y desactiva una configuración de DoH del navegador en conflicto que las enrutaría a otro lado.
Elige tu resolvedor como si importara — porque importa. Cloudflare, Google y Quad9 publican políticas de privacidad y ofrecen variantes de filtrado; el resolvedor de tu ISP generalmente ofrece la menor privacidad. El resolvedor ve tus búsquedas, así que la confianza es toda la decisión.
La conclusión
El DNS cifrado es una de las mejoras de privacidad más baratas disponibles: evita que tu ISP y tu red local lean y manipulen tus búsquedas, y cada navegador y sistema operativo moderno lo admite. Pero es una sola capa. No oculta las conexiones que siguen, y traslada tu confianza al resolvedor que elijas. Combínalo con una VPN bien configurada — una que controle tu DNS para que nada se filtre — y cerrarás la brecha que cualquiera de las dos herramientas deja abierta por sí sola. Como siempre, no asumas que funciona; pruébalo y confírmalo.
Preguntas frecuentes
¿Cuál es la diferencia entre DoH y DoT?
Ambos cifran tus búsquedas DNS, pero DNS over HTTPS (DoH) las envía dentro del tráfico HTTPS normal por el puerto 443, lo que le permite camuflarse y dificulta su bloqueo, mientras que DNS over TLS (DoT) usa un puerto dedicado 853, que es más limpio de gestionar para las redes pero más fácil de bloquear. Los navegadores suelen usar DoH; los sistemas operativos y routers a menudo usan DoT, como el DNS privado de Android.
¿El DNS cifrado oculta mi navegación a mi ISP?
Parcialmente. Oculta el contenido de tus búsquedas DNS para que tu ISP no pueda leer qué dominios resuelves, y previene la manipulación. Pero no oculta la dirección IP de destino a la que luego te conectas, ni el nombre del servidor en el saludo TLS a menos que se use Encrypted Client Hello. Para una protección más completa que tu ISP no pueda ver, necesitas una VPN que tunelice todo el tráfico.
¿Sigues necesitando una VPN si usas DNS cifrado?
Resuelven capas diferentes. El DNS cifrado protege solo tus búsquedas DNS; una VPN cifra y tuneliza todo tu tráfico, incluidas las búsquedas y las conexiones que siguen, y oculta tu dirección IP. El DNS cifrado es una línea base útil, pero no sustituye a una VPN cuando quieres que tu ISP y tu red local no vean nada sobre tus destinos.
¿Qué es una fuga DNS?
Una fuga DNS ocurre cuando tus consultas DNS viajan fuera de tu túnel VPN — por ejemplo, cuando tu navegador o sistema operativo está configurado para enviar DNS over HTTPS a otro proveedor mientras la VPN está activa. El resultado es que un resolvedor que no pretendías ve tus búsquedas, socavando la VPN. Puedes detectarlo con una prueba de fuga DNS y solucionarlo dejando que la VPN gestione el DNS.
¿Quién puede ver mis consultas DNS cuando uso DNS cifrado?
El resolvedor que elijas — como 1.1.1.1 de Cloudflare, 8.8.8.8 de Google, Quad9 o tu ISP — aún ve cada búsqueda. El DNS cifrado mueve tu confianza a ese resolvedor en lugar de eliminarla, por lo que es importante elegir uno con una política clara y respetuosa con la privacidad. Sin embargo, tu red local y tu ISP ya no pueden leer las búsquedas cifradas en tránsito.



