Qué es DNS

DNS, el Sistema de Nombres de Dominio, es la guía telefónica de internet. Las computadoras enrutan paquetes usando direcciones IP (104.21.5.42), pero los humanos usamos nombres (fexyn.com). DNS hace la traducción.

Cuando escribes fexyn.com en tu navegador, tu computadora envía una consulta DNS a un resolver, pregunta "¿cuál es la IP para fexyn.com?", y el resolver responde. Luego tu navegador abre una conexión TCP a esa IP. Cada carga de página empieza con al menos una búsqueda DNS; las páginas modernas frecuentemente disparan 20-50 a través de todos los dominios de terceros de los que jalan.

Por qué DNS importa para la privacidad

Las consultas DNS estándar viajan en texto plano. Cualquiera en el camino entre tú y el resolver ve el nombre de dominio. Eso incluye a tu ISP, el router del Wi-Fi del café, y cualquier equipo intermedio.

Aun con HTTPS escondiendo el contenido de cada página que visitas, las consultas DNS revelan qué sitios visitaste. Los ISPs los registran. Algunos gobiernos exigen retención. Empresas de marketing los compran. El campo SNI de TLS filtra la misma información en una capa diferente, pero DNS filtra primero.

DNS-over-HTTPS (DoH) y DNS-over-TLS (DoT) cifran la consulta para que tu ISP no pueda leerla. Ayudan — pero solo si tu navegador o SO está configurado para usarlos, y solo si se puede confiar en que el resolver mismo maneje los datos.

Cómo una VPN cambia el DNS

Una VPN bien configurada tuneliza tus consultas DNS a través de la VPN. Tu ISP ve un blob cifrado al servidor VPN; no puede saber qué dominio pediste. El resolver de la VPN responde, y la respuesta regresa por el túnel.

Esto solo funciona si cada consulta toma ese camino. Windows en particular tiene varios canales laterales — Smart Multi-Homed Name Resolution, fallback a IPv6, DoH a nivel de aplicación — que pueden colar consultas más allá del túnel. Esas son fugas DNS, y hacen que la VPN sea parcialmente inútil: tu tráfico está cifrado, pero los destinos que visitas todavía se filtran.

Cómo probar el DNS tú mismo

Corre la prueba de fuga DNS de Fexyn con la VPN conectada. El resultado debería mostrar solo resolvers operados por la VPN. Si el nombre de tu ISP aparece en algún lado, tu DNS se está filtrando aunque el túnel esté arriba.

Dos chequeos importan:

• Prueba estándar — un solo lote de consultas, atrapa fugas consistentes.
• Prueba extendida — consultas repetidas a lo largo del tiempo, atrapa fugas intermitentes por condiciones de carrera en la resolución DNS de Windows.

La prueba extendida atrapa la peor categoría, que es "pasa una vez, se filtra bajo carga real".

Lo que esto significa en la práctica

DNS es la capa que la mayoría de los proveedores VPN o aciertan o fallan silenciosamente. El túnel puede ser perfecto y el DNS aún puede filtrarse a través de atajos a nivel del SO. Fexyn bloquea la resolución DNS al túnel vía reglas NRPT a nivel del SO, más configuración DNS por protocolo, más null-routing de IPv6 mientras el túnel está arriba — lo que cierra los caminos de fuga estándar.

Prueba Fexyn gratis por 7 días y verifica con la prueba de fuga en tu propia conexión.