¿Qué es DNS over HTTPS (DoH)? Cómo funciona y cómo configurarlo

最終更新: 2025-12-14

この記事は約 13 分で読めます

¿Qué es DNS over HTTPS?

DNS over HTTPS (DoH) es un protocolo que cifra las consultas DNS transmitiéndolas a través del protocolo HTTPS. La comunicación DNS tradicional se realiza en texto plano, lo que permite a los ISP, administradores de red y terceros malintencionados interceptar y monitorear fácilmente qué sitios web visita un usuario. DoH aborda este problema de raíz protegiendo el contenido de las consultas DNS mediante cifrado.

Estandarizado como RFC 8484 en 2018, DoH aprovecha la infraestructura HTTPS existente, lo que dificulta que los firewalls bloqueen selectivamente el tráfico DNS. Dado que utiliza el mismo puerto 443 que el tráfico web normal, distinguir DoH de las conexiones HTTPS ordinarias es técnicamente complejo.

Una fuga de DNS ocurre cuando las consultas DNS quedan expuestas en texto plano incluso al usar una VPN. Combinar DoH con tu VPN reduce significativamente este riesgo.

Los problemas de privacidad del DNS tradicional

El Sistema de Nombres de Dominio (DNS) es un componente fundamental de internet, pero la seguridad y la privacidad no se consideraron en su diseño original de 1983.

Riesgos de interceptación en texto plano

Las consultas DNS tradicionales utilizan el puerto UDP 53 y se transmiten completamente en texto plano. Esto significa que cualquier persona en la ruta de red puede observar a qué dominios accede un usuario.

  • Los ISP pueden registrar cada consulta DNS y construir un historial de navegación completo para cada usuario
  • En redes Wi-Fi públicas, los atacantes en la misma red pueden interceptar las consultas DNS
  • Las agencias de vigilancia estatal pueden recopilar datos DNS a gran escala como una de las fuentes más accesibles de información sobre la actividad en internet

Suplantación y manipulación de DNS

La comunicación DNS sin cifrar también es vulnerable a la manipulación. Los atacantes pueden falsificar respuestas DNS para redirigir a los usuarios a sitios maliciosos, una técnica conocida como suplantación de DNS, que también se utiliza en ataques de phishing.

  • Ataques de intermediario (MITM) que alteran las respuestas DNS
  • Envenenamiento de caché DNS para redirecciones a gran escala
  • Secuestro de DNS por parte del ISP (redirigiendo dominios inexistentes a páginas de publicidad)

Censura y filtrado de contenido

Algunos países y organizaciones utilizan el bloqueo de contenido basado en DNS. Al interceptar o redirigir las consultas DNS de dominios específicos, pueden restringir el acceso de los usuarios a ciertos sitios web y servicios.

Cómo funciona DoH - detalles técnicos

DoH logra el cifrado encapsulando las consultas DNS como solicitudes HTTPS. Para los lectores interesados en la mecánica del protocolo subyacente, una inmersión profunda en los protocolos DNS proporciona información valiosa.

Flujo de comunicación

  1. El navegador o sistema operativo genera una consulta DNS
  2. La consulta se codifica en formato wire de DNS
  3. La consulta codificada se envía como una solicitud HTTPS POST (o GET) al servidor DoH
  4. El servidor DoH realiza la resolución DNS y devuelve el resultado como una respuesta HTTPS
  5. El navegador o sistema operativo decodifica la respuesta y obtiene la dirección IP

Protocolo y puerto

DoH utiliza el puerto TCP 443, el mismo que HTTPS. Se aplica cifrado TLS 1.3, ocultando completamente el contenido de la comunicación a terceros. La misma tecnología de cifrado HTTPS/TLS utilizada para la navegación web se aplica directamente a la comunicación DNS, garantizando una seguridad equivalente.

DoH vs. DNS over TLS (DoT)

Además de DoH, DNS over TLS (DoT) es otra tecnología de cifrado DNS. Estas son las diferencias principales:

  • DoH: Usa HTTPS (puerto 443). Difícil de distinguir del tráfico web normal, lo que hace más difícil bloquearlo
  • DoT: Usa el puerto dedicado 853. Más fácil para los administradores de red identificar y controlar el tráfico DNS
  • DoH: Se puede configurar a nivel de navegador. Fácil de implementar por aplicación
  • DoT: Normalmente se configura a nivel de sistema operativo. Puede cifrar el DNS de todo el sistema
  • DoH: Puede ofrecer ventajas de rendimiento mediante la multiplexación de HTTP/2 y HTTP/3
  • DoT: Menor sobrecarga de protocolo e implementación más sencilla

Configuración de DoH en los principales navegadores

Todos los navegadores principales ahora soportan DoH. Aquí están las instrucciones de configuración para cada uno.

Google Chrome

  1. Escribe chrome://settings/security en la barra de direcciones
  2. Activa "Usar DNS seguro" en la sección de Seguridad
  3. Selecciona "Con personalizado" y elige entre Cloudflare, Google, Quad9 u otros proveedores
  4. Chrome 125 y versiones posteriores también soportan la integración con ECH (Encrypted Client Hello)

Mozilla Firefox

  1. Ve a "Configuración" → "Privacidad y seguridad"
  2. En la sección "DNS over HTTPS", selecciona "Protección máxima"
  3. Elige tu proveedor (Cloudflare es el predeterminado)
  4. Firefox tiene DoH activado por defecto para usuarios de EE. UU. desde 2020 y amplió la cobertura a regiones adicionales en 2025

Microsoft Edge

  1. Navega a edge://settings/privacy
  2. Activa "Usar DNS seguro para especificar cómo buscar la dirección de red de los sitios web" en la sección de Seguridad
  3. Selecciona tu proveedor de servicio preferido

Apple Safari

Safari en macOS 15 e iOS 18 y versiones posteriores utiliza la configuración de DNS cifrado a nivel de sistema. Configúralo a través de "Ajustes del Sistema" → "Red" → "DNS". Apple también proporciona su propio DNS cifrado a través de iCloud Private Relay.

Principales proveedores de DoH

Para usar DoH, necesitas seleccionar un proveedor de DoH confiable. Estos son los principales proveedores y sus características.

Cloudflare (1.1.1.1)

  • Endpoint: https://cloudflare-dns.com/dns-query
  • Política de privacidad: Los registros de consultas se eliminan en 24 horas. Auditorías anuales realizadas por KPMG
  • Características: Entre los tiempos de respuesta más rápidos a nivel mundial. También ofrece 1.1.1.2 con bloqueo de malware

Google Public DNS (8.8.8.8)

  • Endpoint: https://dns.google/dns-query
  • Política de privacidad: Registra temporalmente las direcciones IP completas pero las anonimiza en 24-48 horas
  • Características: Alta fiabilidad y estabilidad. Soporta validación DNSSEC

Quad9 (9.9.9.9)

  • Endpoint: https://dns.quad9.net/dns-query
  • Política de privacidad: Con sede en Suiza. No registra direcciones IP en absoluto
  • Características: Bloqueo automático de dominios de malware mediante inteligencia de amenazas. Operado por una organización sin fines de lucro

Cómo elegir el proveedor adecuado

Al igual que elegir una VPN, seleccionar un proveedor de DoH impacta directamente en tu privacidad. Revisa la política de registro, la jurisdicción de la organización y el estado de las auditorías de terceros de cada proveedor para encontrar uno que se ajuste a tus requisitos de privacidad.

Beneficios y preocupaciones

Mejoras en privacidad y seguridad

  • El cifrado de consultas DNS impide que los ISP y administradores de red monitoreen el historial de navegación
  • Protección contra la suplantación de DNS y ataques de intermediario
  • Reducción del riesgo de fugas de DNS
  • Mayor seguridad en redes no confiables como Wi-Fi público
  • Efectividad como herramienta para eludir la censura

Preocupaciones y críticas

  • Puede complicar el monitoreo de seguridad en redes empresariales
  • Los controles parentales y el filtrado de contenido basado en DNS pueden dejar de funcionar
  • Las consultas DNS se concentran en unos pocos proveedores principales, creando nuevos riesgos de centralización
  • DoH cifra los nombres de dominio pero no oculta la dirección IP de destino en sí
  • Algunos países pueden regular o restringir el uso de DoH

Por qué DoH solo no es suficiente

Aunque DoH cifra las consultas DNS, se necesitan medidas adicionales para una protección integral de la privacidad. El rastreo mediante huella digital del navegador y la filtración del destino a través del SNI (Server Name Indication) del handshake TLS no pueden prevenirse solo con DoH. Para una protección exhaustiva de la privacidad, se recomienda combinar DoH con una VPN, el navegador Tor y ECH (Encrypted Client Hello). Quienes busquen construir una estrategia de defensa por capas encontrarán especialmente útil una guía sobre privacidad y cifrado de redes.

Últimos avances en 2025-2026

Estandarización de DNS over QUIC (DoQ)

DNS over QUIC (DoQ), estandarizado como RFC 9250, ha ganado una tracción significativa a principios de 2026. DoQ combina los beneficios de cifrado de DoH con menor latencia gracias al establecimiento de conexión 0-RTT de QUIC. AdGuard DNS y Cloudflare ahora ofrecen endpoints DoQ, y Android 15 añadió soporte nativo para DoQ, convirtiéndolo en una alternativa atractiva tanto a DoH como a DoT para usuarios preocupados por la privacidad.

Integración DNS de iCloud Private Relay

iCloud Private Relay de Apple ha ampliado sus capacidades de privacidad DNS en 2025-2026, enrutando todas las consultas DNS a través de su arquitectura de retransmisión de doble salto. Esto proporciona una privacidad equivalente a DoH sin configuración manual para los usuarios de dispositivos Apple. La integración con Oblivious DoH (ODoH) garantiza que ni siquiera Apple pueda correlacionar las consultas DNS con las identidades de los usuarios.

Adopción de DNS cifrado por parte de los ISP

Los principales ISP de todo el mundo han comenzado a ofrecer servicios de DNS cifrado a sus clientes a principios de 2026. Comcast, BT y NTT han desplegado resolvers DoH y DoT, reduciendo la necesidad de que los usuarios cambien a proveedores de DNS de terceros. Este cambio fue acelerado por la presión regulatoria de la Directiva NIS2 de la UE y la creciente conciencia sobre la privacidad del consumidor, representando un cambio fundamental en el panorama regulatorio global de privacidad.

Despliegue combinado de DNSSEC + DoH

La combinación de DNSSEC (DNS Security Extensions) con DoH se ha convertido en la mejor práctica recomendada a principios de 2026. Mientras DoH cifra las consultas DNS en tránsito, DNSSEC valida la autenticidad de las respuestas DNS. Juntos, proporcionan tanto confidencialidad como integridad para la comunicación DNS. Los principales proveedores de DoH ahora habilitan la validación DNSSEC por defecto.

Integración de Encrypted Client Hello (ECH)

En 2025-2026, Cloudflare y Mozilla han logrado un despliegue generalizado de ECH. ECH cifra el SNI durante el handshake TLS, y cuando se combina con DoH, oculta completamente no solo las consultas DNS sino también el nombre de dominio de destino. ECH está habilitado por defecto en Chrome 130+ y Firefox 142+, y Safari añadió soporte en macOS 15.3.

Progreso de Oblivious DoH (ODoH)

Oblivious DoH es una tecnología que oculta la dirección IP del cliente incluso del proveedor de DoH. Al enrutar las consultas a través de un servidor proxy, separa "quién" hizo la consulta de "qué" se consultó. El servicio ODoH de Cloudflare ha madurado significativamente, y el número de clientes compatibles ha crecido sustancialmente hasta principios de 2026.

Lista de verificación de configuración práctica

Sigue estos pasos para fortalecer tu privacidad DNS:

  1. Verifica tu configuración DNS actual en Kakunin-san y realiza una prueba de fugas DNS
  2. Activa DoH en tu navegador (consulta las instrucciones de configuración anteriores)
  3. Selecciona un proveedor de DoH confiable (verifica su política de registro y jurisdicción)
  4. Ejecuta una prueba de fugas DNS para confirmar que DoH funciona correctamente
  5. Si usas una VPN, verifica que la configuración DNS de la VPN y la configuración de DoH no entren en conflicto
  6. Combínalo con un motor de búsqueda enfocado en la privacidad para proteger también tus consultas de búsqueda
  7. Usa un navegador compatible con ECH y habilita también el cifrado SNI

Resumen

DNS over HTTPS es una tecnología fundamental para mejorar la privacidad en internet. Aborda los riesgos de interceptación, manipulación y censura inherentes a la comunicación DNS tradicional en texto plano mediante cifrado HTTPS. Configurarlo en los principales navegadores toma solo unos minutos, así que si aún no lo has activado, ahora es el momento. Sin embargo, DoH por sí solo no puede proporcionar una protección completa de la privacidad; combinarlo con otras tecnologías como VPN y ECH para un enfoque de defensa en profundidad es esencial.

Para las definiciones de los términos técnicos utilizados en este artículo, visita nuestro glosario.

Compartir
B!

Artículos relacionados

¿Qué es una dirección IP? Cómo funciona y cómo verificar la tuya

Aprende los fundamentos de las direcciones IP, las diferencias entre IPv4 e IPv6, IP pública vs. privada, y qué información se puede obtener de tu dirección IP.

Fundamentos de IPv6 - Guía para principiantes del protocolo de Internet de nueva generación

Una introducción accesible a la estructura de direcciones IPv6, su notación, la coexistencia con IPv4 y las implicaciones de privacidad.

¿Qué es GeoIP? Cómo se determina la ubicación a partir de tu dirección IP

Comprende cómo funcionan las bases de datos GeoIP, la precisión y limitaciones de la geolocalización basada en IP, las implicaciones de privacidad y cómo ocultar tu ubicación.

¿Qué es una fuga de DNS? Riesgos y prevención al usar una VPN

Comprende cómo ocurren las fugas de DNS, los riesgos de la exposición de consultas DNS al usar una VPN, métodos de detección y contramedidas prácticas.