El DNS traduce nombres de dominio fáciles de recordar para las personas en direcciones IP comprensibles para ordenadores. El DNS privado cifra las consultas de DNS que realiza tu dispositivo a un servidor DNS. Cuando se utiliza con un servicio de DNS de terceros que respeta tu privacidad, el DNS privado puede mejorar tu privacidad online. Sin embargo, el DNS privado no es necesario cuando se utiliza una VPN, y de hecho puede hacer que tu conexión VPN sea menos segura.
En este artículo, analizamos qué es el DNS privado, cómo puede ayudarte a proteger tu privacidad y cómo activarlo en tu dispositivo, pero también por qué no deberías usarlo con una VPN.
- ¿Qué es el DNS?
- Por qué el DNS plantea un problema de privacidad
- ¿Qué es el modo de DNS privado?
- Protocolos de DNS privado
- El DNS privado no es tan privado como una VPN
- No uses el DNS privado y una VPN juntos
- Cómo usar el DNS privado
¿Qué es el DNS?
El Sistema de nombres de dominio (DNS) asocia nombres de dominio fáciles de recordar para las personas con sus correspondientes direcciones IP numéricas comprensibles para ordenadores.
Por ejemplo, el sitio web de Proton VPN utiliza el nombre de dominio protonvpn.com, que corresponde a la dirección IP 185.159.159.140. Cuando escribes www.protonvpn.com en la barra de URL de tu navegador, el nombre de dominio debe convertirse en su dirección IP correspondiente para que los ordenadores puedan entenderlo.
Este proceso de conversión lo suelen realizar servidores DNS especiales administrados por tu proveedor de servicios de internet (ISP).
Por qué el DNS plantea un problema de privacidad y censura
Quienquiera que resuelva tus consultas de DNS puede ver qué sitios web visitas (pero no lo que haces en ellos). A menos que uses una VPN o cambies activamente tus ajustes de DNS, será tu ISP el que resuelva tus consultas de DNS.
Es importante entender que, por defecto, tu ISP puede monitorizar lo que haces online, incluso cuando no resuelve tus consultas de DNS. Sin embargo, esta es la forma más sencilla (and por lo tanto más barata) que tiene de registrar tu historial de navegación.
Por lo tanto, la mayoría de los ISP que registran el historial de navegación de sus clientes (que son la mayoría) optan por el camino de menor resistencia y se limitan a registrar los registros DNS de sus clientes. En la mayoría de las jurisdicciones, este nivel mínimo de registro permite a los ISP cumplir con cualquier obligación legal que tengan de registrar los historiales de navegación de los usuarios.
Del mismo modo, cuando los gobiernos desean censurar contenido de internet por motivos sociales, religiosos, políticos o «morales», piden a los ISP nacionales que apliquen estos bloqueos. Y la forma más fácil de hacerlo es bloquear las consultas de DNS a sitios web y aplicaciones específicos. El uso de un resolutor de DNS de terceros internacional puede eludir estos bloqueos de censura sencillos (pero eficaces)

Grafitis en Estambul que animan a la gente a utilizar servidores DNS de Google para eludir la represión de la censura gubernamental de 2014(ventana nueva)
¿Qué es el modo de DNS privado?
A diferencia de la mayoría de las conexiones a sitios web, que están protegidas por HTTPS(ventana nueva), las consultas de DNS suelen enviarse en texto plano sin cifrar. Esto significa que cualquier persona con acceso a las consultas de DNS (como tu ISP) puede leerlas, incluso si las resuelve un tercero.
Si un ISP hiciera un esfuerzo adicional para espiar a sus clientes (como podría exigirle un gobierno más restrictivo), simplemente podría monitorizar y registrar las consultas de DNS a resolutores de terceros. Con una tecnología más sofisticada, también podría implementar la censura filtrando estas consultas.
El DNS privado evita esto al cifrar tus consultas de DNS mientras viajan entre tu dispositivo y un servidor DNS de terceros. Esto garantiza que tu ISP (o cualquier otra persona que monitorice tu conexión a internet) no pueda ver tus consultas de DNS.
Por lo tanto, el DNS privado representa una mejora significativa en la privacidad y seguridad del DNS con respecto a las consultas de DNS tradicionales sin cifrar. Sin embargo, también tiene varias limitaciones que analizaremos más adelante.
Protocolos de DNS privado
El DNS privado se logra utilizando uno de los tres protocolos de seguridad: DNS-over-TLS (DoT), DNS-over-HTTPS (DoH) y DNSCrypt.
DNS-over-TLS
DoT cifra las consultas de DNS mediante el protocolo Transport Layer Security(ventana nueva) (TLS), lo que garantiza que los datos no puedan interceptarse ni alterarse fácilmente. DoT se ejecuta en el puerto 853, lo que facilita que las redes bloqueen o monitoricen el tráfico DoT específicamente, ya que no se mezcla con otros tipos de tráfico.
Esto hace que DoT sea la opción preferida en las redes que desean tener cierto control sobre el tráfico que pasa a través de ellas. DoT también es menos complejo de implementar a nivel de servidor que DoH.
DNS-over-HTTPS
DoH utiliza HTTPS, el protocolo que protege toda la información confidencial en internet, para cifrar las consultas de DNS. Al igual que DoT, DoH utiliza TLS para cifrar las consultas de DNS, pero las conexiones DoH se ejecutan a través del puerto 443, de modo que se mezclan con el tráfico web HTTPS habitual. Esto dificulta que los observadores distingan el tráfico de DNS de otros tipos de tráfico web, lo que hace que DoH sea más privado y resistente a la censura que DoT.
Más información sobre HTTPS(ventana nueva)
DNSCrypt
DNSCrypt, el protocolo de DNS privado más antiguo, es muy similar a DoH, pero con algunas características adicionales que lo mejoran. Sin embargo, DNSCrypt no es ampliamente compatible con sistemas operativos ni navegadores, por lo que requiere ejecutar software de terceros(ventana nueva).
¿Entonces cuál es el mejor? Todos estos protocolos de DNS privado ofrecen enormes mejoras de privacidad y seguridad en comparación con no usar un DNS privado en absoluto, y tienen un impacto insignificante en la velocidad de navegación. Existen razones legítimas para que algunas redes prefieran DoT, pero para la mayoría de los usuarios finales, la mayor privacidad que ofrece DoH lo convierte en la mejor opción de las dos.
En muchos sentidos, y a pesar de ser la opción más antigua, DNSCrypt sigue siendo la mejor opción en términos de privacidad. Sin embargo, la falta de soporte en todo el ecosistema de DNS limita su atractivo. En el resto de este artículo, nos centraremos en DoT y DoH, ya que estos protocolos no requieren que descargues software adicional.
El DNS privado no es tan privado como una VPN
El DNS privado ofrece algunas ventajas de privacidad, pero estas solo funcionan cuando los ISP (a menudo a instancias de los gobiernos) optan por el camino fácil y no ponen un esfuerzo real en censurar el contenido o espiarte. Aunque requiere un esfuerzo adicional, un ISP puede rastrear tus conexiones para determinar tu historial de navegación y puede bloquear directamente el tráfico a direcciones IP específicas.
Para evitar que un ISP pueda ver lo que haces online (y, por lo tanto, censurarlo potencialmente), deberías usar una VPN. Esto cifra la conexión entre tu dispositivo y el servidor VPN, de modo que tu ISP no pueda ver el contenido de tus datos. Las consultas de DNS se enrutan a través de la conexión cifrada (también conocida como túnel VPN) para que las resuelva tu proveedor de VPN, por lo que tu ISP no puede saber qué sitios web u otros recursos visitas en internet.

De igual forma, los sitios web que visitas no pueden ver tu dirección IP real. Todo lo que pueden ver es la dirección IP del servidor VPN.

Por lo tanto, una VPN proporciona mucha más privacidad que un servicio de DNS privado.
No uses el DNS privado y una VPN juntos
Todos los buenos proveedores de VPN operan sus propios servidores DNS. Al utilizar una VPN, las solicitudes de DNS se enrutan a través del túnel VPN y las resuelve el servicio de VPN. Como el túnel VPN está cifrado, las solicitudes de DNS se cifran sin necesidad de un protocolo de DNS privado.
Además, configurar cualquier servicio de DNS de terceros en tu sistema hace que sea más probable que las solicitudes de DNS se enruten fuera del túnel VPN. El DNS privado aumenta las posibilidades de que esto ocurra, porque al cifrar las consultas de DNS se dificulta que las medidas de protección de DNS utilizadas por el software de la VPN garanticen que se enruten correctamente a través del túnel VPN.
Así que no solo el DNS privado no es necesario cuando se usa una VPN, sino que además puede causar una filtración de DNS.
Cómo usar el DNS privado
Para usar el DNS privado, primero debes seleccionar un resolutor de DNS que sea compatible con DoT o DoH (también es posible alojar uno mismo un servidor DNS, pero esto requiere conocimientos técnicos avanzados). Entre los servicios de DNS populares que admiten DNS privado y que al menos de boquilla respetan la privacidad, se incluyen:
- Cloudflare 1.1.1.1 — Este gran servicio comercial de DNS solo recopila «datos de consultas de DNS anonimizados enviados al Cloudflare Resolver». Cloudflare es compatible con DoT y DoH.
- Quad9 — Un servicio DNS sin fines de lucro que no recopila información de identificación personal sobre sus usuarios. Cabe destacar que las direcciones IP de los usuarios no se almacenan al realizar una consulta. Quad9 admite DoH.
- OpenNIC — Presentándose como un proveedor de DNS descentralizado, abierto, sin censura y democrático, OpenNIC es una colección de servidores DNS gestionados por voluntarios ubicados en todo el mundo. A diferencia de la mayoría de los servicios DNS, donde una sola dirección DNS (como 1.1.1.1) te conectará a la red de servidores DNS, con OpenNIC, seleccionas un servidor DNS individual al que conectarte. Las políticas de registro y si el DNS privado es compatible (a menudo en forma del antiguo protocolo DNSCrypt) dependen por completo de quien administre el servidor DNS que elijas.
Una vez que hayas elegido un proveedor de DNS, tienes dos opciones. Puedes configurar tu sistema operativo (SO) para enrutar todas las consultas de DNS al proveedor que hayas elegido, o puedes configurar solo tu navegador para usar un servicio de DNS privado.
Todos los sistemas operativos modernos admiten DoT o DoH (or ambos), al igual que todos los navegadores modernos. Por defecto, Firefox se conecta automáticamente a los servidores de Cloudflare 1.1.1.1 usando DoH.

Reflexiones finales sobre el DNS privado
El DNS privado es mucho más privado, seguro y resistente a la censura que el DNS normal sin cifrar, y al menos algunos proveedores de DNS se preocupan mucho más por tu privacidad de lo que lo hace tu proveedor de servicios de internet. Por lo tanto, si no usas una VPN, deberías configurar tu sistema o navegador para usar un servicio de DNS confiable que admita el DNS privado.
Sin embargo, una VPN proporciona mucha más privacidad y es mucho más eficaz para eludir la censura que usar un DNS privado. Ten en cuenta que no deberías (y no necesitas) usar un DNS privado cuando usas una VPN.






