Glosario
Qué es DNS-over-HTTPS (DoH)
Cifra las consultas DNS entre tu cliente y el resolver. Oculta consultas de tu ISP. Estandarizado en RFC 8484. Diferente de VPN pero complementario.
DNS-over-HTTPS (DoH) es un protocolo que cifra las consultas DNS entre tu cliente y el resolver DNS. Estandarizado en la RFC 8484 en 2018, ampliamente desplegado para 2020. Resuelve un problema específico de privacidad: las consultas DNS son texto plano por defecto y revelan cada dominio que visitas a tu ISP y a cualquiera que pueda observar tu tráfico de red.
DoT (DNS-over-TLS) es el estándar relacionado que hace lo mismo usando un transporte diferente (TLS sobre puerto 853 en lugar de HTTPS sobre puerto 443). Ambos logran el mismo objetivo; DoH es más ampliamente soportado porque funciona a través de firewalls que permiten HTTPS.
Qué problema resuelve DoH
El DNS estándar envía consultas sin cifrar. Tu computadora pregunta "¿cuál es la IP de example.com?" y la respuesta regresa en texto plano. Cualquiera observando la red — tu ISP, el operador del Wi-Fi local, monitores de red — puede ver las consultas.
Aun si tu otro tráfico está cifrado con HTTPS, tus consultas DNS revelan los dominios que visitas. El sitio en sí es ilegible; los metadatos de qué sitios visitas son completamente visibles.
DoH envuelve las consultas DNS en HTTPS. Tu computadora hace un POST HTTPS a un resolver DNS que soporte DoH. La consulta y la respuesta están cifradas entre tu computadora y el resolver. El ISP solo ve tráfico HTTPS cifrado a un resolver DNS; no puede ver qué dominios consultaste.
Cambio de confianza
DoH cambia quién ve tus consultas DNS:
- Sin DoH: el ISP ve todas tus consultas DNS
- Con DoH a Cloudflare 1.1.1.1: Cloudflare ve tus consultas DNS; el ISP no
- Con DoH a Google 8.8.8.8: Google ve tus consultas DNS; el ISP no
- Con DoH a NextDNS o resolver self-hosted: esa parte ve las consultas
La ganancia de privacidad es real pero condicional a confiar en el proveedor DoH. Los proveedores DoH principales publican políticas de privacidad; algunos (Cloudflare, Quad9, Mullvad) tienen compromisos no-logs más fuertes que otros. El cambio de confianza es la negociación.
Dónde DoH encaja con VPN
Por capas:
Sin VPN, con DoH. Tu ISP ve HTTPS cifrado a un resolver DNS. No puede ver tus consultas. Aún puede ver los destinos a los que conectas (vía SNI en handshakes TLS, metadata de conexión a nivel IP) — DoH solo cifra DNS, no el resto de tu tráfico.
Con VPN, sin DoH. El DNS de tu proveedor VPN resuelve tus consultas dentro del túnel. Tu ISP solo ve el túnel VPN cifrado. El proveedor VPN ve tus consultas DNS.
Con VPN + DoH dentro del túnel. Protección por capas. El proveedor VPN ve tráfico DoH cifrado en lugar de DNS en texto claro. Útil si quieres limitar incluso la visibilidad de tu proveedor VPN sobre tus consultas DNS. La mayoría de los usuarios no necesitan esta profundidad.
Para la mayoría de los usuarios, la VPN sola es suficiente. La VPN cifra todo el túnel; el DNS se enruta dentro; el compromiso no-logs de la VPN cubre la visibilidad DNS. DoH en capas adentro es cinturón y tirantes.
DoH en navegadores
Firefox habilita DoH por defecto en algunas regiones. Chrome soporta DoH en ajustes avanzados. Edge lo soporta. iOS y macOS soportan DoH a nivel del SO desde iOS 14 / macOS Big Sur.
DoH a nivel de navegador evita el resolver DNS del SO. Esto significa:
- El resolver DNS de tu VPN puede no ser usado (el navegador va directo vía DoH)
- Tu VPN puede no ver las consultas DNS (potencialmente una fuga en algunas configuraciones)
- El proveedor DoH elegido por el navegador ve las consultas
Para usuarios corriendo VPN con DoH del navegador habilitado, la interacción de configuración importa. La mayoría de los clientes VPN modernos (Fexyn, Mullvad, ProtonVPN) manejan esto correctamente interceptando tráfico DoH en la capa de red. Los clientes VPN más antiguos pueden tener condiciones de fuga.
DoT vs DoH
DNS-over-TLS (DoT) hace lo mismo usando TLS en puerto 853. Comparado con DoH:
- DoT: puerto dedicado (853), servicio DNS explícito, más fácil para los operadores de red identificar y potencialmente bloquear
- DoH: corre sobre HTTPS puerto 443, se mezcla con tráfico web normal, más difícil de bloquear selectivamente
Para privacidad de los ISPs, la propiedad más-difícil-de-bloquear de DoH es una ventaja. Para administradores de red que quieren visibilidad sobre el uso DNS, DoT es más fácil de monitorear.
Proveedores comunes
Resolvers públicos principales que soportan DoH:
- Cloudflare 1.1.1.1. Reclamo no-logs fuerte. Variante con bloqueo de anuncios disponible en 1.1.1.2. Variante family-safe en 1.1.1.3.
- Google 8.8.8.8. No-logs para datos personales; Google sí retiene agregados.
- Quad9 9.9.9.9. Enfocado en privacidad; operación sin fines de lucro.
- NextDNS. Configurable; filtrado específico por usuario. Modelo de suscripción con privacidad fuerte.
- Mullvad DNS. Enfocado en privacidad; emparejado con el servicio Mullvad VPN.
Para usuarios queriendo DoH a nivel navegador sin VPN, Cloudflare 1.1.1.1 es la recomendación estándar. Rápido, confiable, no-logs.
Lo que DoH no resuelve
- El destino sigue siendo visible. Tu ISP no puede ver la consulta DNS pero sí puede ver la IP a la que conectas y el SNI en el handshake TLS. Aprenden el dominio de todas formas, solo desde un vector diferente.
- El tracking a nivel de aplicación continúa. Fingerprinting de navegador, cookies, servicios donde inicias sesión — todo sigue funcionando.
- El proveedor DoH ve las consultas. La confianza se desplaza hacia ellos.
Para privacidad DNS comprehensiva, DoH + VPN + un proveedor DNS no-logs dentro del túnel VPN cubre los vectores principales. Para privacidad solo del ISP, DoH solo es parcial; la VPN es más completa.
Prueba Fexyn gratis por 7 días — VPN con resolución DNS no-logs dentro del túnel; soporte DoH en capas disponible.
Términos relacionados
Prueba Fexyn gratis por 7 días
App para Windows disponible ahora en Beta. WireGuard, VLESS Reality y OpenVPN, sin registros de historial de navegación, consultas DNS ni contenido del tráfico.
Ver precios