¿Qué es una fuga de DNS? Riesgos y prevención al usar una VPN

最終更新: 2025-09-14

この記事は約 12 分で読めます

Comprender el papel del DNS

DNS (Domain Name System) se describe a menudo como la "guía telefónica de internet". Cuando escribes "kakunin-san.com" en tu navegador, un servidor DNS traduce ese nombre de dominio a la dirección IP correspondiente y gestiona la conexión al servidor de destino.

Este proceso de resolución de nombres se ejecuta silenciosamente cada vez que abres una página web. Por defecto, las solicitudes DNS se envían al servidor DNS proporcionado por tu ISP, lo que significa que tu ISP puede ver exactamente qué sitios web intentas visitar a través de esas solicitudes DNS.

Comprender cómo funciona el DNS es el primer paso para proteger tu privacidad. En la página principal de IP Check-san, puedes verificar qué servidor DNS está usando tu conexión actualmente. Comienza por averiguar de qué servidor DNS depende tu entorno.

Qué es una fuga DNS

Una fuga DNS ocurre cuando las solicitudes DNS eluden el túnel VPN y llegan al servidor DNS de tu ISP, a pesar de que estás usando una VPN o proxy.

Una de las razones principales para usar una VPN es evitar que tu ISP y otros terceros vean tu historial de navegación. Sin embargo, cuando ocurre una fuga DNS, aunque el contenido de tu tráfico está cifrado, la información sobre qué sitios web visitas queda expuesta a tu ISP. Este es un problema crítico que socava fundamentalmente la protección que se supone que proporciona una VPN.

Un error común es pensar que conectarse a una VPN protege automáticamente tus consultas DNS. En realidad, dependiendo de la implementación de la VPN y la configuración de tu sistema operativo, las solicitudes DNS pueden seguir viajando fuera del túnel VPN. No asumas que estás seguro solo porque estás usando una VPN - verifica regularmente si están ocurriendo fugas DNS.

Por qué ocurren las fugas DNS

Conflictos en la configuración DNS del sistema operativo

Incluso después de conectarse a una VPN, el sistema operativo puede conservar su configuración DNS original. Esto es particularmente común en Windows, donde la configuración DNS a veces no cambia correctamente cuando se establece una conexión VPN. La función Smart Multi-Homed Name Resolution de Windows puede enviar consultas DNS a servidores fuera del túnel VPN en paralelo, contribuyendo al problema.

Fuga de tráfico IPv6

Si una VPN solo canaliza el tráfico IPv4 y no maneja IPv6, las solicitudes DNS enviadas a través de IPv6 pueden filtrarse fuera del túnel VPN. A medida que la adopción de IPv6 continúa creciendo, este problema se vuelve cada vez más grave.

Fuga de WebRTC

La función WebRTC del navegador puede eludir la VPN y exponer direcciones IP locales o información DNS a terceros. Este problema se cubre en detalle en nuestra guía de fugas WebRTC.

Mala configuración del túnel dividido

Algunas VPN ofrecen una función de "túnel dividido" que enruta solo cierto tráfico a través de la VPN. Si esto está mal configurado, las solicitudes DNS pueden viajar fuera del túnel VPN.

Fugas temporales durante el cambio de red

Al cambiar de Wi-Fi a datos móviles, o al moverse entre diferentes redes Wi-Fi, la conexión VPN puede caerse brevemente, permitiendo que las solicitudes DNS lleguen al servidor DNS de tu ISP durante esa ventana. Configurar tu firewall para bloquear el tráfico DNS fuera de la VPN puede ayudar a mitigar este problema.

Riesgos que plantean las fugas DNS

  • Tu ISP puede ver tu historial de navegación
  • Las solicitudes DNS no cifradas pueden ser interceptadas por terceros en la red
  • La efectividad de tu VPN se reduce significativamente
  • Los intentos de eludir restricciones geográficas pueden fallar
  • Te vuelves más vulnerable a ataques de secuestro DNS y envenenamiento de caché

En las redes Wi-Fi públicas en particular, las solicitudes DNS no cifradas tienen un riesgo elevado de interceptación y manipulación a través de ataques de intermediario (MITM). Los atacantes que falsifican respuestas DNS para redirigir a los usuarios a sitios de phishing siguen siendo una amenaza generalizada hoy en día.

Cómo detectar fugas DNS

IP Check-san proporciona una prueba de fuga DNS. Así es como funciona la prueba:

  1. Se emite una solicitud DNS para un subdominio de prueba único
  2. Se registra la dirección IP del resolver DNS que manejó la solicitud
  3. Se analiza la ubicación del resolver y la información del ISP
  4. Se verifican los resultados en busca de respuestas de servidores distintos al DNS de tu proveedor de VPN

Si se detecta el servidor DNS de tu ISP o un servidor en una región inesperada mientras estás usando una VPN, está ocurriendo una fuga DNS.

Verificación paso a paso

  1. Conéctate a tu VPN y visita IP Check-san para confirmar que la dirección IP mostrada pertenece a tu servidor VPN
  2. Ejecuta la prueba de fuga DNS y verifica el nombre del ISP y la ubicación de los servidores DNS detectados
  3. Si los servidores detectados pertenecen a tu proveedor de VPN, estás seguro. Si aparece el nombre de tu propio ISP, está ocurriendo una fuga DNS
  4. Ejecuta la prueba varias veces para confirmar resultados consistentes (presta especial atención justo después de los cambios de red)

Cómo prevenir fugas DNS

Activa la protección contra fugas DNS de tu VPN

Muchos servicios VPN incluyen una función integrada de protección contra fugas DNS. Verifica la configuración de tu cliente VPN para asegurarte de que esta función esté activada. También se recomienda activar el kill switch (una función que bloquea todo el tráfico cuando la VPN se desconecta).

Configura manualmente tu servidor DNS

Reemplazar el servidor DNS de tu ISP con una alternativa enfocada en la privacidad es otra medida efectiva. El 1.1.1.1 de Cloudflare y Google Public DNS (8.8.8.8) son opciones populares. Sin embargo, ten en cuenta que usar estos servidores DNS públicos no cifra las solicitudes DNS en sí mismas.

Desactiva IPv6

Si tu VPN no soporta IPv6, desactivar IPv6 en la configuración de red de tu sistema operativo puede prevenir fugas DNS sobre IPv6.

Controla WebRTC

La configuración del navegador o extensiones como WebRTC Leak Prevent pueden usarse para bloquear la fuga de información a través de WebRTC.

Adopta DNS over HTTPS (DoH) / DNS over TLS (DoT)

DoH cifra las solicitudes DNS enviándolas sobre HTTPS, mientras que DoT las cifra sobre TLS. A partir de 2024, todos los principales navegadores - Firefox, Chrome, Edge y Safari - soportan DoH. Para una visión integral de estos protocolos, los libros sobre protocolos de seguridad DNS son un recurso valioso.

DoH y DoT tienen sus propias ventajas y desventajas. DoH usa el puerto 443, haciéndolo indistinguible del tráfico HTTPS regular y difícil de bloquear para los administradores de red. DoT usa el puerto 853, lo que permite a los administradores de red identificar y controlar el tráfico DNS más fácilmente. Las redes empresariales tienden a preferir DoT, mientras que DoH es más conveniente para uso personal.

A partir de 2025, tecnologías como iCloud Private Relay de Apple y Encrypted Client Hello (ECH) de Google están llevando el cifrado DNS aún más lejos. La protección de la privacidad DNS es un campo en rápida evolución.

Comparación de protocolos de seguridad DNS

Existen múltiples tecnologías para fortalecer la seguridad DNS, cada una protegiendo un alcance diferente y sirviendo un propósito distinto. Al considerar contramedidas contra fugas DNS, es importante comprender las características de cada protocolo.

DNSSEC (DNS Security Extensions)

DNSSEC agrega firmas digitales a las respuestas DNS, permitiendo la detección de manipulación de respuestas. Aunque es efectivo contra el envenenamiento de caché DNS, no cifra el contenido de las solicitudes DNS en sí. Esto significa que incluso con DNSSEC implementado, los ISP y administradores de red aún pueden ver qué dominios estás consultando. DNSSEC garantiza la "autenticidad de la respuesta" y es complementario a DoH y DoT, que proporcionan "confidencialidad de la comunicación".

Elegir entre DoH y DoT

DoH (DNS over HTTPS) y DoT (DNS over TLS) cifran las solicitudes DNS, pero difieren en sus características operativas. DoH usa el puerto 443 y es indistinguible del tráfico web regular, lo que lo hace efectivo para eludir la censura y el filtrado. Sin embargo, esto puede ser problemático cuando las políticas de seguridad empresarial requieren monitorear y controlar el tráfico DNS. DoT usa el puerto 853, lo que facilita a los administradores de red identificar el tráfico DNS, haciéndolo más adecuado para entornos empresariales.

Oblivious DoH (ODoH) y DNS over QUIC (DoQ)

Desde 2024 hasta 2025, las tecnologías de privacidad DNS de próxima generación están alcanzando un despliegue práctico. ODoH coloca un proxy entre el resolver DNS y el cliente, permitiendo la resolución de nombres sin que el resolver conozca la dirección IP del cliente. Promovido conjuntamente por Cloudflare y Apple, sirve como la tecnología subyacente de iCloud Private Relay. DoQ cifra el DNS sobre el protocolo QUIC, ofreciendo un establecimiento de conexión más rápido que DoT basado en TCP. Algunos proveedores, como AdGuard DNS, han comenzado a soportarlo.

Al combinar estas tecnologías, el riesgo de fugas DNS puede reducirse en múltiples capas. Quienes busquen un conocimiento más profundo encontrarán un libro de fundamentos de seguridad de redes útil para comprender estas defensas en capas. Sin embargo, independientemente de la tecnología que adoptes, la configuración adecuada del firewall sigue siendo esencial, y se recomienda usar reglas que bloqueen el tráfico DNS fuera del túnel VPN.

Fugas DNS y otros riesgos de privacidad

Las fugas DNS no ocurren de forma aislada - están estrechamente relacionadas con otros riesgos de privacidad. Incluso al usar una VPN, si ocurre una fuga DNS, tu ISP puede ver qué sitios visitas, y la estimación de ubicación basada en GeoIP puede revelar tu ubicación real. Debido a que las solicitudes DNS contienen el nombre de dominio de destino, los ISP e intermediarios pueden construir una imagen detallada de tus patrones de navegación.

Desde 2024 hasta 2025, el panorama que rodea la privacidad DNS está cambiando rápidamente. La estandarización de Encrypted Client Hello (ECH) está progresando, y el nombre del servidor (SNI) durante los handshakes TLS se está cifrando cada vez más. Al combinar DNS over HTTPS con ECH, se vuelve significativamente más difícil para los ISP y administradores de red determinar qué sitios visitas. Por otro lado, algunos países están avanzando en la regulación de estas tecnologías de cifrado, y el equilibrio entre privacidad y regulación se está debatiendo activamente.

Acciones que puedes tomar ahora

Las fugas DNS son un riesgo de privacidad a menudo pasado por alto que puede ocurrir incluso cuando estás usando una VPN. Sigue estos pasos para verificar tu entorno ahora mismo:

  • Visita la página principal de IP Check-san y verifica tu dirección IP e información del servidor DNS mientras estás conectado a una VPN
  • Ejecuta la prueba de fuga DNS y confirma que los servidores DNS detectados pertenecen a tu proveedor de VPN
  • Si aparece el nombre de tu propio ISP, activa la función de protección contra fugas DNS en tu cliente VPN
  • Activa DoH (DNS over HTTPS) en la configuración de tu navegador y verifica que las solicitudes DNS estén cifradas
  • Ejecuta la prueba inmediatamente después de cambiar entre Wi-Fi y datos móviles para verificar fugas temporales
  • Repite las pruebas regularmente y verifica que no ocurran fugas DNS después de cambios en la configuración de la VPN o actualizaciones del sistema operativo

Para las definiciones de los términos técnicos utilizados en este artículo, visita nuestro glosario.

Compartir
B!

Artículos relacionados

¿Qué es una dirección IP? Cómo funciona y cómo verificar la tuya

Aprende los fundamentos de las direcciones IP, las diferencias entre IPv4 e IPv6, IP pública vs. privada, y qué información se puede obtener de tu dirección IP.

Fundamentos de IPv6 - Guía para principiantes del protocolo de Internet de nueva generación

Una introducción accesible a la estructura de direcciones IPv6, su notación, la coexistencia con IPv4 y las implicaciones de privacidad.

¿Qué es GeoIP? Cómo se determina la ubicación a partir de tu dirección IP

Comprende cómo funcionan las bases de datos GeoIP, la precisión y limitaciones de la geolocalización basada en IP, las implicaciones de privacidad y cómo ocultar tu ubicación.

¿Qué es DNS over HTTPS (DoH)? Cómo funciona y cómo configurarlo

Aprende cómo DNS over HTTPS cifra tus consultas DNS, cómo activarlo en los principales navegadores y en qué se diferencia del DNS tradicional.