Fexyn
Fexyn
All posts

Cómo funcionan realmente las fugas de DNS

Fexyn Team··9 min read

Una fuga de DNS es cuando tus consultas DNS, las búsquedas que traducen nombres de dominio a direcciones IP, van a un servidor DNS distinto al que tu VPN te enruta. El resultado: aunque tu VPN está activa, la entidad que controla ese servidor DNS (típicamente tu ISP) puede ver cada dominio que visitás.

Las fugas DNS son comunes. Pasan incluso con clientes VPN reputados, frecuentemente de forma invisible al usuario, y pueden minar por completo el beneficio de privacidad de usar una VPN. Acá la versión técnica del por qué y cómo solucionarlo.

Qué hace el DNS y por qué importa

Cuando tipeás example.com, tu computadora le pregunta a un servidor DNS por la dirección IP. La consulta DNS es texto plano (con raras excepciones cubiertas abajo). Quien sirve tu DNS ve el dominio que estás intentando alcanzar.

Sin VPN, las consultas DNS típicamente van al servidor DNS de tu ISP. Tu ISP ve cada dominio que consultás, frecuentemente la metadata más sensible para la privacidad sobre tu actividad en internet.

Con una VPN activa y configurada correctamente, las consultas DNS deberían enrutarse por el túnel VPN y resolverse en el servidor DNS del proveedor VPN. Tu ISP ve un túnel encriptado al proveedor VPN; no puede ver qué dominios estás consultando.

Las fugas DNS pasan cuando algo causa que algunas consultas evadan el túnel VPN y vayan a un resolver distinto, usualmente el de tu ISP. El ISP obtiene la misma visibilidad que si la VPN no estuviera ahí.

Cómo pasan las fugas DNS

Varios mecanismos técnicos:

1. SMHNR de Windows (Smart Multi-Homed Name Resolution). Windows tiene una función donde envía consultas DNS a múltiples interfaces de red en paralelo y usa la que responda primero. Si tenés una VPN activa y una interfaz de red regular, Windows puede enviar consultas DNS a AMBAS simultáneamente. El DNS del ISP responde primero porque está más cerca; Windows usa esa respuesta. El DNS de la VPN ve la misma consulta pero provee una respuesta redundante. El ISP ya vio la consulta.

Esta es la causa más común de fugas DNS en Windows. SMHNR está activo por defecto. Los clientes VPN tienen que deshabilitarlo activamente, idealmente a nivel WFP (Windows Filtering Platform).

2. Fugas DNS de IPv6. Muchos clientes VPN tunelizan tráfico IPv4 pero no manejan IPv6 correctamente. Si tu red soporta IPv6 y tu VPN no tuneliza IPv6, las consultas DNS IPv6 van al ISP. Tu tráfico IPv4 es privado; tu DNS IPv6 filtra la misma información de dominios.

3. NRPT (Name Resolution Policy Table). Función de Windows que enruta consultas de dominios específicos a servidores DNS específicos. Algunos clientes VPN usan NRPT para dirigir tráfico; si está mal configurado, algunas consultas se filtran.

4. Registros DNS cacheados. Tu SO mantiene una caché DNS. Cuando te conectás a una VPN, la caché todavía contiene entradas de antes de conectar la VPN. Las consultas posteriores para esos dominios cacheados no generan nuevas búsquedas; el SO usa la respuesta cacheada. La caché en sí misma no es una fuga, pero el timing importa: si visitaste un sitio antes de conectar la VPN, esa visita fue visible.

5. DNS a nivel aplicación. Algunas aplicaciones (Chrome, Firefox con DoH habilitado) hacen sus propias consultas DNS evitando el resolver DNS del SO. Si el DNS de la aplicación pasa por una ruta distinta a la del SO, puede filtrar.

6. Fugas de IP por WebRTC (relacionado pero distinto). WebRTC habilita conexiones peer-to-peer en navegadores. WebRTC puede revelar tu IP real vía STUN/TURN incluso cuando el tráfico está enrutado por VPN. No es estrictamente una fuga DNS pero comúnmente se confunde.

Detectar fugas DNS

El test estándar:

  1. Conectá tu VPN
  2. Visitá un sitio de test de fugas DNS (la herramienta de Fexyn en /es/tools/dns-leak-test o herramientas de terceros como dnsleaktest.com)
  3. Corré el test extendido
  4. Verificá los resolvers mostrados en el resultado

Si los resolvers pertenecen a tu proveedor VPN, no hay fuga. Si algún resolver pertenece a tu ISP, a tu ISP de casa, al proveedor DNS de tu sistema operativo, o cualquier parte que no sea tu VPN, tenés una fuga.

Para fugas IPv6 específicamente, asegurate de que el test cubra IPv6 (algunas herramientas más viejas sólo chequean IPv4). La herramienta de Fexyn cubre ambos.

Arreglar fugas DNS

Los fixes reales, por cliente VPN:

Clientes VPN modernos (Fexyn, ProtonVPN, Mullvad, NordVPN, ExpressVPN). Estos previenen fugas DNS activamente vía:

  • Filtros WFP que bloquean consultas DNS en interfaces que no son de túnel
  • Deshabilitar SMHNR vía configuración de registry / NRPT de Windows
  • Protección contra fugas IPv6 (bloquear IPv6 por completo o tunelizarlo)
  • Forzar todas las consultas DNS por los resolvers de la VPN

Si estás usando uno de estos clientes y aun así ves fugas, algo está roto: abrí un ticket de soporte. La fuga no debería pasar.

Clientes VPN más viejos o más simples. A menudo les falta uno o más de los anteriores. El fix del lado del usuario:

  • Configurá manualmente el DNS de tu adaptador de red a un resolver respetuoso de la privacidad (Cloudflare 1.1.1.1, Quad9 9.9.9.9) en lugar de automático
  • Deshabilitá IPv6 en tu adaptador de red por completo si tu VPN no lo maneja
  • Usá el firewall del SO para bloquear consultas DNS a cualquier lado excepto el servidor DNS de tu VPN

DNS a nivel aplicación. Configuraciones DoH de navegador que evaden el DNS del SO: deshabilitá DoH si querés que todo el DNS pase por la VPN. O configurá DoH para usar el endpoint DoH de tu proveedor VPN si está disponible.

Cómo Fexyn previene fugas DNS

Varias capas:

1. Filtros WFP bloquean DNS fuera del túnel. Cuando el túnel VPN está arriba, nuestras reglas WFP bloquean el puerto UDP 53 hacia cualquier lado excepto el servidor DNS de la VPN. Ni siquiera SMHNR de Windows puede filtrar porque las reglas se aplican a nivel kernel.

2. SMHNR explícitamente deshabilitado. Nuestro instalador modifica la entrada del registry que controla SMHNR. Se rehabilita cuando desinstalás.

3. IPv6 manejado. O tunelizado (cuando la configuración VPN del usuario lo soporta) o bloqueado (cuando la configuración es sólo IPv4). En cualquier caso, no se filtran consultas IPv6 en texto plano.

4. DNS interno al túnel. Todas las consultas DNS dentro del túnel se resuelven en nuestros servidores DNS, no en ningún resolver externo.

5. Persistencia desde el arranque (opcional). Las reglas WFP persisten entre reinicios, así que el DNS no filtra ni siquiera durante la ventana de boot antes de que arranque el cliente VPN.

DoH y DoT: DNS encriptado

DNS-over-HTTPS (DoH) y DNS-over-TLS (DoT) son protocolos que encriptan las consultas DNS entre tu cliente y el resolver. Útiles en dos escenarios:

Sin VPN. El DNS encriptado evita que tu ISP vea tus consultas DNS. El resolver DNS aún las ve; trasladaste la confianza del ISP al resolver DNS. Cloudflare 1.1.1.1 con DoH es una configuración común.

Con VPN. Cinturón y tirantes. La VPN ya encripta el túnel; DoH dentro del túnel agrega encriptación redundante que evita que el DNS de la VPN sea legible para el proveedor VPN en caso de compromiso de logs del lado del proveedor. La mayoría de los usuarios no necesitan este enfoque por capas.

Con DNS encriptado pero sin VPN. El DNS encriptado oculta el contenido de la consulta a tu ISP; el ISP aún ve metadata a nivel conexión (qué resolver DNS estás usando, cuándo, con qué frecuencia). Útil principalmente si querés algo de privacidad DNS sin la sobrecarga de la VPN.

Para usuarios que quieren máxima privacidad DNS: VPN + DoH dentro del túnel + un proveedor VPN no-logs que use DNS upstream encriptado. Esto apila capas de privacidad; no es necesario para la mayoría de los usuarios.

Preguntas frecuentes

¿Cómo sé si mi VPN filtra DNS?

Corré un test de fugas DNS (el de Fexyn en /es/tools/dns-leak-test o de terceros). Si los resolvers mostrados pertenecen a tu proveedor VPN, no hay fuga. Si aparece cualquier otra cosa, fuga.

¿Por qué mi VPN filtra DNS?

Lo más común: SMHNR de Windows enviando consultas a múltiples interfaces. Menos común: fuga IPv6, DNS a nivel aplicación, cliente VPN mal configurado.

¿Una fuga DNS le da a mi ISP mi historial de navegación?

Sí para las consultas filtradas. Los ISPs ven los nombres de dominio que consultás. Una fuga DNS les da la misma visibilidad que tendrían sin una VPN.

¿Es suficiente el DNS encriptado por sí solo?

El DNS encriptado oculta el contenido del DNS a tu ISP. No encripta el resto de tu tráfico. La IP de destino aún es visible para tu ISP por otros medios (SNI en handshakes TLS, ruteo de tráfico). Una VPN es una herramienta de privacidad más fuerte en general.

¿Debería usar las configuraciones DNS de mi router?

Si tu router puede configurarse para usar un DNS respetuoso de la privacidad (Cloudflare, Quad9), sí. Esto aplica a todos los dispositivos en tu red. Mejor cuando se combina con VPN a nivel dispositivo para encriptación completa.

¿Fexyn usa su propio DNS o de terceros?

Fexyn usa sus propios resolvers DNS dentro del túnel. Los resolvers en sí no loguean consultas. Actualmente no usamos DNS encriptado upstream (DoH/DoT a upstream); la resolución es directa a servidores root y TLD desde nuestros resolvers.

Probá Fexyn gratis 7 días: prevención de fugas DNS basada en WFP, protección contra fugas IPv6, kill switch a nivel kernel. Testeá fugas DNS en nuestra herramienta de test de fugas DNS. Kill switch explicado cubre la arquitectura WFP.

Última revisión 2026-05-09.

Cómo funcionan realmente las fugas de DNS | Fexyn VPN