¿Qué es DNS sobre HTTPS?
DNS sobre HTTPS (DoH) es un protocolo que cifra las consultas DNS enviándolas dentro de conexiones HTTPS estándar en lugar de como texto plano sin cifrar. Cada vez que escribes la dirección de un sitio web, tu dispositivo le pide a un servidor DNS que traduzca ese nombre de dominio a una dirección IP. Tradicionalmente, esta petición viaja en claro, lo que significa que tu proveedor de internet, el administrador de la red o cualquiera en la misma red Wi-Fi puede ver exactamente qué sitios web estás solicitando. DoH envuelve esas consultas en el mismo cifrado HTTPS que protege tus sesiones de banca y compras, haciendo que tus hábitos de navegación sean invisibles para observadores externos.
Explicación detallada
El problema de privacidad del DNS tradicional
El DNS estándar usa el puerto UDP 53 sin cifrado. Cuando visitas «example.com», tu ordenador envía una petición en texto plano a un resolutor DNS que dice, en efecto: «¿Cuál es la dirección IP de example.com?». Cualquiera que monitorice la red —un fisgón de una cafetería, un cortafuegos corporativo o tu proveedor de internet— puede registrar cada dominio que consultas. Estos metadatos revelan tus patrones de navegación incluso cuando los propios sitios web usan HTTPS. Una VPN cifra todo el tráfico, incluido el DNS, pero DoH proporciona una solución más ligera y específica para el DNS que funciona sin la sobrecarga de un túnel VPN completo.
DoH frente a DoT (DNS sobre TLS)
DoH no es el único protocolo de cifrado de DNS. DNS sobre TLS (DoT) logra el mismo objetivo, pero usa un puerto dedicado (853) con cifrado TLS. La diferencia práctica:
- DoH (puerto 443): usa el mismo puerto que todo el tráfico web HTTPS, lo que lo hace indistinguible de la navegación normal. Difícil de bloquear para los administradores de red sin romper por completo el acceso a la web.
- DoT (puerto 853): usa un puerto distinto e identificable que es más fácil de detectar y bloquear para los cortafuegos.
Los principales navegadores —Chrome, Firefox, Edge, Brave y Safari— han adoptado DoH como su método de cifrado de DNS preferido por su resistencia al bloqueo y su integración fluida con la pila web existente.
Impacto en el rendimiento
Una preocupación habitual es si cifrar el DNS añade latencia. En la práctica, la sobrecarga es mínima. El handshake HTTPS inicial lleva una fracción de segundo, y las consultas posteriores reutilizan la conexión (multiplexación HTTP/2), lo que las hace tan rápidas o más que el DNS tradicional sobre UDP. Las mediciones de Cloudflare y Google muestran que la latencia de DoH es comparable a la del DNS convencional en la mayoría de las condiciones de red. En algunos casos, cambiar a un proveedor de DoH de alto rendimiento como Cloudflare (1.1.1.1) en realidad acelera la resolución DNS en comparación con un resolutor lento del proveedor de internet, porque la infraestructura del proveedor está geográficamente más cerca de la mayoría de los usuarios.
Cómo activar DoH
Activar DoH es sencillo:
- En tu navegador: abre Configuración, ve a Privacidad o Seguridad, busca «Usar DNS seguro» o «DNS sobre HTTPS» y selecciona un proveedor (Cloudflare, Google, Quad9, etc.).
- A nivel de sistema operativo: Windows 11, macOS, iOS y Android admiten DoH a nivel de todo el sistema. En la configuración de red o de DNS, introduce una dirección de servidor compatible con DoH y activa la opción de cifrado.
- En tu router: algunos routers admiten DoH o DoT, cifrando el DNS de todos los dispositivos de tu red sin configuración por dispositivo.
Consideraciones y limitaciones
DoH no es una solución mágica para la privacidad. Cifra la consulta DNS, pero la dirección IP a la que te conectas después sigue siendo visible para tu proveedor de internet y el operador de la red (a menos que también uses una VPN). Además, la indicación del nombre del servidor (SNI) en el handshake TLS puede revelar el nombre de host al que te conectas; el Encrypted Client Hello (ECH) es un estándar emergente que aborda esto. Algunas redes empresariales y sistemas de control parental se basan en inspeccionar las consultas DNS para aplicar políticas. Activar DoH en una red corporativa puede saltarse los controles de seguridad, así que consulta con tu departamento de TI antes de activarlo en un dispositivo de trabajo.
Cómo elegir
1. Empieza por tu navegador
La forma más rápida de obtener la protección de DoH es activarlo en la configuración de tu navegador. Lleva unos 30 segundos, no requiere instalar software y cifra de inmediato todas las consultas DNS que realiza ese navegador.
2. Elige un proveedor de DNS de confianza
Cuando usas DoH, estás confiando a un proveedor de DNS los datos de tus consultas. Elige con cuidado:
- Cloudflare (1.1.1.1): se compromete a no vender datos y a purgar los registros de consultas en un plazo de 24 horas. Auditado de forma independiente.
- Google Public DNS (8.8.8.8): extremadamente rápido y fiable; los registros se anonimizan, pero se conservan para análisis limitados.
- Quad9 (9.9.9.9): centrado en la seguridad; bloquea automáticamente los dominios maliciosos conocidos.
Revisa la política de privacidad de cada proveedor y elige aquel cuyas prácticas de datos se ajusten a tu nivel de comodidad.
3. Combínalo con una VPN para una protección completa
DoH cifra solo las consultas DNS: no oculta tu dirección IP ni cifra el resto de tu tráfico. Para una privacidad integral en una Wi-Fi pública o en entornos de red restrictivos, combina DoH con una VPN. Juntos, cubren tanto la pregunta de «qué sitio estás visitando» (DoH) como la de «qué estás haciendo allí» (VPN).
Adopción de DoH e impulso del sector
DoH ha ganado una adopción rápida desde su introducción. Firefox fue el primer navegador importante en activar DoH por defecto (en EE. UU.), seguido de Chrome, Edge y Brave. Apple añadió compatibilidad con DoH a nivel de sistema en iOS 14 y macOS Big Sur. Windows 11 admite DoH de forma nativa en la configuración de red. Esta amplia adopción significa que activar DoH ya no es una tarea técnica avanzada: es una función generalizada compatible con todas las grandes plataformas. La tendencia hacia el DNS cifrado es clara e irreversible, impulsada tanto por la demanda de privacidad de los usuarios como por el consenso del sector de que el DNS sin cifrar es un riesgo.
Conclusión
DNS sobre HTTPS es una de las mejoras de privacidad más fáciles y de mayor impacto que puedes hacer. Al cifrar las consultas DNS que revelan qué sitios web visitas, DoH cierra una brecha de larga data en la privacidad de internet, y lleva menos de un minuto activarlo. Elige un proveedor de DNS de confianza, activa DoH en tu navegador o sistema operativo, y considera superponer una VPN para una protección de espectro completo. Es un pequeño cambio con una recompensa significativa.