DNS over HTTPS (DoH)
Se lee en aproximadamente 4 minutos
Última actualización: 2026-03-01
Qué es DNS over HTTPS
DNS over HTTPS (DoH) es una tecnología que encripta las consultas DNS, que tradicionalmente se enviaban y recibían en texto plano, utilizando el protocolo HTTPS. Estandarizada en RFC 8484, su implementación en los principales navegadores avanzó a partir de 2020.
La comunicación DNS tradicional se envía en texto plano a través de UDP/TCP en el puerto 53, por lo que los ISP, administradores de red y atacantes en la misma red pueden interceptar fácilmente "a qué dominios estás accediendo". DoH encripta las consultas DNS montándolas sobre HTTPS en el puerto 443, haciéndolas indistinguibles del tráfico web normal.
Diferencias entre DoH y DoT
Además de DoH, existe otro método de encriptación DNS llamado DoT (DNS over TLS).
Desde la perspectiva de la privacidad, DoH es superior ya que puede ocultar la existencia misma de la comunicación DNS. Por otro lado, para los administradores de redes corporativas, DoT tiene la ventaja de facilitar la identificación y control del tráfico DNS.
Cómo configurarlo en los principales navegadores
DoH se puede habilitar fácilmente en los principales navegadores.
- Firefox: Configuración → Privacidad y seguridad → sección "DNS over HTTPS" para habilitarlo. Por defecto se selecciona el servidor DoH de Cloudflare. También se puede especificar una URL personalizada.
- Chrome: Configuración → Privacidad y seguridad → Seguridad → Habilitar "Usar DNS seguro". Si el DNS del ISP es compatible con DoH, cambia automáticamente a DoH.
- Edge: Mismo procedimiento que Chrome. Configuración → Privacidad, búsqueda y servicios → Seguridad → "Usar DNS seguro".
- Safari: Se habilita DoH usando perfiles de configuración en los ajustes de macOS / iOS. No hay opción de configuración individual en el navegador.
Si configuras DoH a nivel de SO, se encripta la comunicación DNS de todas las aplicaciones, no solo del navegador. En Windows 11, puedes especificar un servidor compatible con DoH desde "Configuración → Red e Internet → Asignación de servidor DNS".
Precauciones y debates sobre DoH
Aunque DoH mejora la privacidad, existen algunos debates.
- Concentración en proveedores DNS: Al habilitar DoH, las consultas DNS se concentran en unos pocos proveedores como Cloudflare o Google. Existe la crítica de que simplemente se traslada la información de "quién ve qué" del ISP al proveedor DNS.
- Conflicto con redes corporativas: Si una empresa bloquea el acceso a sitios de malware mediante filtrado DNS, DoH podría eludir ese filtrado.
- Impacto en el control parental: Si se configura filtrado de contenido basado en DNS en el router doméstico, el filtrado no funcionará en dispositivos con DoH habilitado.
Al combinar VPN y DoH, lo ideal es utilizar el servidor DNS del proveedor VPN con DoH. Esto minimiza el riesgo de fugas de DNS mientras se asegura la encriptación de la comunicación DNS.
Conceptos erróneos comunes
- Habilitar DoH encripta toda la comunicación
- DoH solo encripta la parte de las consultas DNS. La comunicación con los sitios web en sí es responsabilidad de HTTPS (TLS). Además, la dirección IP del destino sigue siendo visible en la red, por lo que no se logra un anonimato completo.
- Usando DoH el ISP no puede ver nada
- Con DoH se pueden ocultar las consultas de nombres de dominio, pero la dirección IP del destino sigue siendo visible para el ISP. Además, el SNI (Server Name Indication) enviado durante el handshake TLS también contiene el nombre de dominio. Para ocultarlo completamente, es necesario esperar a la adopción de ECH (Encrypted Client Hello).
Comparación entre DoH y DoT
DNS over HTTPS (DoH)
Puerto 443. Se mezcla con el tráfico HTTPS, difícil de bloquear. Configurable a nivel de navegador. Oculta la existencia misma de la comunicación DNS.
DNS over TLS (DoT)
Puerto 853. Identificable como comunicación DNS. Se aplica a todas las aplicaciones a nivel de SO. Más fácil de controlar para administradores de red.