DNS a menudo se compara con la guía telefónica de Internet, y esa comparación sigue siendo válida. Cuando el usuario escribe la dirección de un sitio, el dispositivo intenta primero averiguar qué dirección IP corresponde al nombre de dominio. Esta tarea la realiza el resolutor DNS, normalmente del proveedor o de un servicio público. El problema es que el DNS clásico vivió durante décadas en un mundo donde «rápido» era más importante que «confidencial». Las consultas a menudo se transmitían sin cifrado, por lo que podían ser espiadas, suplantadas o utilizadas para perfilar.
De ahí surgen dos conceptos cercanos pero no idénticos. DNS cifrado significa que el canal que entrega las consultas DNS desde el dispositivo hasta el resolutor está protegido por criptografía. Secure DNS es más amplio; es el intento de hacer que todo el proceso de resolución de nombres sea más resistente a las falsificaciones, las fugas y a la «creatividad» de los intermediarios. En este panorama entran las políticas del resolutor, la protección contra la suplantación y el cumplimiento de estándares. El cifrado no resuelve todos los problemas de inmediato, pero dificulta notablemente la intercepción y la manipulación en el trayecto de la consulta.
Hoy en día suelen debatirse dos estándares, DNS over HTTPS y DNS over TLS. Ambos cifran el tráfico entre el cliente y el resolutor, pero difieren en el transporte, la integración en las redes y en cómo los percibe la infraestructura. A continuación un análisis sin trucos y sin promesas de «anonimato total», porque DNS y privacidad siempre implican compromisos.
Por qué el DNS tradicional es vulnerable y qué protegen exactamente DoH y DoT
El DNS clásico suele funcionar sobre UDP en el puerto 53. Esto es cómodo y rápido, pero por defecto no ofrece ni cifrado ni integridad. El proveedor, la red Wi‑Fi del hotel, un proxy corporativo o cualquier actor en la ruta puede ver qué dominios se solicitan y, en algunos casos, intervenir. El escenario más simple es la suplantación de la respuesta y el redireccionamiento a un recurso de phishing. Otro escenario, menos agresivo, es la inserción de filtrado o la reescritura de respuestas para páginas publicitarias.
DoH y DoT solucionan una tarea concreta: protegen el canal desde el cliente hasta el resolutor DNS. El contenido de la consulta y de la respuesta se cifra, y la suplantación en la ruta se vuelve considerablemente más difícil. Esto no elimina el hecho de que el propio resolutor vea las consultas. Por eso la confianza se desplaza del proveedor al proveedor DNS elegido, y es importante ser consciente de ello antes de activar el interruptor «seguro» en el navegador.
Cabe mencionar por separado que DoH y DoT no sustituyen a DNSSEC. DNSSEC protege la integridad de los datos de zona y permite verificar las firmas de las respuestas, pero no cifra el canal. En un mundo ideal se usan ambos, porque son niveles de protección diferentes.
DNS over TLS: cómo funciona y por qué es útil
DNS over TLS, conocido como DoT, encapsula DNS en una sesión TLS. Como resultado, las consultas van por TCP, normalmente en el puerto 853. Para la red esto resulta bastante transparente: «esto es TLS para DNS, y este es su puerto». Por eso DoT suele agradar a los administradores a los que les importa la gestionabilidad. El tráfico es más sencillo de clasificar, de permitir según reglas y de analizar a nivel de metadatos sin inspeccionar el contenido.
Un escenario típico de DoT es su configuración a nivel del sistema operativo, del router o del perfil móvil, de modo que el cifrado funcione para todas las aplicaciones. En algunas redes DoT se bloquea con mayor facilidad que DoH, precisamente por el puerto dedicado. Pero esa misma característica hace a DoT conveniente en entornos corporativos, donde la política de seguridad debe ser predecible y no «ocultarse» dentro del tráfico web habitual.
Técnicamente, DoT usa TLS normal con verificación de certificados, de modo que el cliente dispone de un modelo de confianza claro. Si el resolutor anuncia un nombre y su certificado corresponde a otro, la conexión se puede rechazar. No es una panacea, pero es más fiable que el antiguo UDP, que confía en lo que llegue primero.
DNS over HTTPS: cómo funciona y por qué está tan presente en los navegadores
DNS over HTTPS, o DoH, envía las consultas DNS dentro de HTTPS. Es el mismo TLS, pero sobre HTTP, normalmente por el puerto 443. Por eso DoH se «mezcla» fácilmente con el tráfico web habitual, y a la infraestructura de red le resulta más difícil distinguirlo de otras peticiones HTTPS. Para el usuario eso suele ser una ventaja, porque interceptarlo o bloquearlo de forma selectiva es más difícil. Para el administrador a veces es un inconveniente, porque complica el control y el diagnóstico.
Los navegadores integran activamente DoH. La lógica es sencilla: el navegador quiere garantizar una resolución predecible al menos para sus propias peticiones, sobre todo en redes públicas. Pero hay una salvedad. Si el navegador usa su propio resolutor DoH y el sistema está configurado con otro, pueden coexistir dos mundos paralelos. El diagnóstico se vuelve más complejo, y las políticas de la empresa pueden eludirse «sin querer», sin mala intención.
DoH también ofrece un beneficio práctico: funciona bien en redes donde el puerto 853 está cerrado y el 443 está casi siempre abierto. Por ello DoH suele ganar en disponibilidad. En términos criptográficos, DoH y DoT son comparables; la diferencia reside principalmente en la capa de transporte y en cómo se integran en la infraestructura.
Ventajas, desventajas y escenarios sensatos de uso
La principal ventaja del DNS cifrado es la reducción del riesgo de intercepción y suplantación en el tramo desde el cliente hasta el resolutor. Esto es útil en Wi‑Fi público, durante viajes y en redes con una «optimización» agresiva del tráfico. Otro beneficio es la reducción de la vigilancia pasiva masiva a nivel de red local. En algunos casos esto también mejora la estabilidad del acceso a recursos si antes los intermediarios «rompían» el DNS.
La principal desventaja es que la confianza se concentra en el proveedor DNS. Este ve los dominios solicitados, la hora, la frecuencia de las consultas y puede vincularlos con la dirección IP. Por eso la elección del resolutor no es un detalle menor. Un buen ejemplo de lo difícil que es mantener un servicio independiente centrado en la privacidad fue el cierre del proyecto europeo DNS0.EU por falta de recursos. Y otra desventaja es el conflicto con políticas corporativas o parentales: si la seguridad se basa en filtrado por DNS, cambiar a un DoH externo puede destruir esa idea y entonces empezará la discusión sobre quién «tiene la culpa», el usuario o la arquitectura.
Un enfoque sensato suele ser el siguiente. Para uso doméstico, DoH o DoT tienen sentido si se elige un resolutor con una política de privacidad clara y buena reputación. Para empresas, suele encajar mejor DoT o un DoH gestionado mediante perfiles corporativos, para mantener el control. Y casi siempre es útil habilitar la validación DNSSEC en el resolutor, si está disponible.
Para comprobar la configuración conviene usar herramientas sencillas. Se puede ver qué resolutores se usan realmente mediante la prueba de fugas DNS o comprobar el soporte de cifrado y los perfiles del servicio en la página de AdGuard DNS. Y si se prefieren las fuentes originales, los estándares están descritos en documentos del IETF, por ejemplo RFC 8484 para DoH y RFC 7858 para DoT.
Conclusión
Secure DNS y DNS cifrado no son una etiqueta de moda, sino una respuesta práctica a un problema antiguo. DoH y DoT, en esencia, hacen lo mismo: protegen el tráfico DNS en el tramo desde el cliente hasta el resolutor, reduciendo el riesgo de espionaje e intervención en la ruta. La diferencia entre ellos no es «quién es más seguro», sino cómo se comportan en la red. DoT es más sencillo de administrar y más fácil de reconocer por la infraestructura. DoH atraviesa mejor redes restringidas y suele ser adoptado por navegadores.
Al elegir conviene recordar algo sencillo. El cifrado cambia el punto de confianza, pero no lo elimina. Por eso importan la política del proveedor DNS, la transparencia en el registro de datos y la compatibilidad con las reglas de seguridad necesarias. Si se aborda la configuración con criterio, el DNS cifrado es una mejora ordenada de la higiene básica, sin dramatismos y sin promesas de «privacidad absoluta», que en Internet, siendo francos, casi no existen.
