Qué es una fuga de DNS

Una fuga de DNS es cuando tu VPN está conectada, tu tráfico está cifrado, pero tus consultas DNS evitan el túnel y llegan a tu ISP de todas formas. La VPN se ve bien. Tu ISP todavía ve los dominios que visitas. La mayoría de los usuarios nunca lo notan.

El mecanismo: la VPN tuneliza paquetes hacia su servidor, pero las búsquedas DNS suceden en una capa diferente del SO. Si esa capa no está bloqueada al túnel, las consultas se filtran a través del resolver DNS que Windows o tu router tengan configurado — usualmente el de tu ISP.

Las cuatro rutas de fuga comunes

1. Smart Multi-Homed Name Resolution (SMHNR)

Windows 8 introdujo SMHNR. Envía consultas DNS simultáneamente a cada servidor DNS disponible y usa la respuesta que regrese primero. Con la VPN conectada, eso significa que las consultas van tanto al resolver de la VPN como al de tu ISP en paralelo. Tu ISP las ve sin importar quién gane la carrera.

Windows 10 cambió esto ligeramente para preferir el túnel VPN, pero el comportamiento depende del orden de métricas del adaptador y del Network Connectivity Status Indicator (NCSI). Las fugas son intermitentes — pasa una vez, se filtra bajo carga real.

2. Caída a IPv6

La mayoría de los protocolos VPN solo tunelizan IPv4. Si tu ISP te da IPv6 y tu máquina prefiere IPv6, las consultas DNS toman el camino IPv6. Salen por tu interfaz real, llegan al DNS IPv6 de tu ISP, y tu ISP las ve.

3. DNS-over-HTTPS del navegador

Chrome, Firefox, Edge y Brave pueden hacer DNS-over-HTTPS hacia un resolver público. Cuando DoH está encendido, el navegador evita por completo la capa DNS del sistema. Si esto es una "fuga" depende de tu modelo de amenaza — DoH hacia Cloudflare es más privado que tu ISP, pero si querías que todo pasara por la VPN, DoH lo interrumpe.

4. Resolvers a nivel de aplicación

Algunas apps incrustan su propio DNS (Tailscale, Cloudflare WARP, ciertas VPNs corporativas). Instalan reglas competidoras del sistema que pelean con las de la VPN. Múltiples VPNs corriendo simultáneamente casi siempre filtran.

Cómo probar

Usa la prueba de fuga DNS de Fexyn con la VPN conectada. El resultado debería mostrar solo los resolvers del proveedor VPN. Si el nombre de tu ISP aparece, tienes una fuga.

Dos chequeos:

• Prueba estándar — un solo lote de consultas, atrapa fugas consistentes.
• Prueba extendida — seis rondas distribuidas en el tiempo, atrapa fugas intermitentes.

Corre ambas. La prueba extendida es la que atrapa la peor categoría: funciona una vez, se filtra bajo carga real.

Lo que un atacante o ISP obtiene

Por cada consulta filtrada: el dominio, timestamp, y un panorama a largo plazo de tu patrón de navegación. Aun con el túnel cifrado escondiendo todo lo demás, los destinos son suficientes para identificar comportamiento. Los ISPs en países con retención obligatoria (Investigatory Powers Act del Reino Unido, Loi Renseignement de Francia, SORM de Rusia) los guardan como registros a largo plazo.

Cómo Fexyn cierra las fugas

Defensa por capas:

• Reglas NRPT a nivel del SO fuerzan cada dominio a través del resolver de la VPN, anulando SMHNR.
• DNS por protocolo — WireGuard, VLESS Reality y OpenVPN cada uno enrutan DNS a través del túnel.
• Null-routing de IPv6 mientras el túnel está arriba.
• Kill switch WFP — si el túnel cae, ningún DNS escapa tampoco.

Lee el deep dive en Cómo las fugas DNS exponen la ubicación y la guía de troubleshooting.

Prueba Fexyn gratis por 7 días y verifica con la prueba de fuga.