La versión corta: el DNS clásico envía tus consultas — cada "¿cuál es la IP de example.com?" — en texto plano UDP que cualquiera en la ruta de red puede leer o modificar. DoH envuelve esas consultas en HTTPS, de modo que el observador en la red ya no ve los nombres de dominio ni puede inyectar respuestas falsas. Eso resuelve tres problemas legítimos (espionaje de DNS del ISP, inyección de DNS en cafeterías, algunas formas de censura DNS a nivel estatal) y crea dos nuevos (los controles parentales y la seguridad empresarial dejan de funcionar, y acabas de decirle a tu proveedor DoH elegido cada dominio que visitas). DoH no es ni «más privado» ni «menos privado» — es diferentemente privado, y la pregunta es qué compromiso encaja con tu modelo de amenazas.
Qué es DoH realmente (y qué reemplaza)
El DNS clásico es uno de los protocolos más antiguos que siguen en producción. Data de 1983, es anterior al HTTPS generalizado y fue diseñado cuando «todos en la red son más o menos de confianza» era una suposición razonable. La mecánica: tu dispositivo envía un paquete UDP al puerto 53 de tu resolver DNS configurado (generalmente el de tu ISP, o 8.8.8.8 / 1.1.1.1 si lo has cambiado). El cuerpo del paquete, en texto claro, dice «dame el registro A de example.com». El resolver responde, en texto claro, con la IP. Tres propiedades merecen destacarse:
- Cualquiera en la ruta de red puede leer la consulta. Tu ISP, el WiFi de la cafetería, cualquiera que ejecute tcpdump en la red local — cada nombre de dominio que consultas está al descubierto.
- Cualquiera en la ruta de red puede falsificar una respuesta. Si una respuesta falsa llega a tu dispositivo antes que la del resolver legítimo, has sido redirigido. Así es como funcionan algunos portales cautivos y algunos regímenes de censura.
- Tu resolver configurado ve todas las consultas. Quien gestiona tu DNS conoce cada dominio que visitas, en orden y con marcas de tiempo.
DoH (RFC 8484, 2018) cambia #1 y #2: las consultas viajan dentro de una conexión HTTPS cifrada con TLS hacia el resolver. Los observadores en la ruta ven bytes HTTPS, no nombres de dominio. La falsificación se vuelve tan difícil como falsificar cualquier respuesta HTTPS (es decir, prácticamente imposible sin el certificado TLS del resolver). El #3 no cambia — el resolver sigue viendo las consultas, porque van dirigidas a él. DoH desplaza el límite de confianza; no lo elimina.
DoT (DNS-over-TLS, RFC 7858) hace lo mismo en un puerto dedicado (853) en lugar de usar HTTPS en el puerto 443. Propiedades de privacidad funcionalmente equivalentes; operativamente distintas. DoH es más difícil de bloquear a nivel de red porque hacerlo requiere bloquear HTTPS arbitrario, lo que rompe toda internet. DoT es más fácil de aplicar o bloquear selectivamente para los operadores de red. DoH ganó la carrera de despliegue en gran parte porque Mozilla y Google lo incluyeron en los navegadores por defecto.
Tres cosas que DoH realmente soluciona
1. Espionaje de DNS del ISP
En los Estados Unidos, desde 2017, los ISPs tienen permiso legal para vender datos de navegación sin consentimiento explícito, y los registros de consultas DNS forman parte de lo que recopilan. En otros países los regímenes legales varían; en algunos, la retención obligatoria de datos cubre el DNS por nombre. De cualquier manera: si usas el resolver de tu ISP, tu ISP tiene un registro completo de los sitios que visitas, con marcas de tiempo.
DoH a un resolver que no sea tu ISP (Cloudflare 1.1.1.1, Google 8.8.8.8, Quad9 9.9.9.9, NextDNS, AdGuard DNS, el DNS de Mullvad, el resolver dentro de tu VPN) cierra esto por completo desde la perspectiva de tu ISP. El ISP sigue viendo conexiones TLS a direcciones IP específicas, y a partir de esas IPs (más el SNI en el handshake TLS, ver más abajo) a menudo puede inferir el hostname — pero ya no tiene un registro DNS limpio y consultable. La confianza se desplaza desde el ISP hacia quien gestione tu resolver DoH.
2. Inyección de DNS en cafeterías
Los portales cautivos en WiFi público funcionan interceptando consultas DNS (y peticiones HTTP) y redirigiéndolas a una página de portal hasta que aceptas las condiciones de la red. Ese mecanismo — interceptar tu DNS — tiene la misma forma que la inyección de DNS maliciosa. Una red hostil puede reescribir tus respuestas DNS para redirigirte a páginas de phishing o proxies de inyección de anuncios. El DNS plano les ofrece una superficie de ataque fácil; DoH la cierra.
Este es uno de los casos en que DoH y un túnel VPN se solapan. Una VPN tuneliza todo, incluyendo el DNS, a través de bytes cifrados; DoH por sí solo tuneliza únicamente las consultas DNS. En una red hostil, cualquiera de las dos intervenciones neutraliza la clase de ataques de inyección DNS, pero actúan en capas diferentes. Cubrimos el panorama de amenazas en Ataques en WiFi público en 2026.
3. Algunas formas de censura DNS a nivel estatal
Varios regímenes de censura implementan bloqueo a nivel DNS: cuando preguntas «¿cuál es la IP de sitio-bloqueado.com?», el resolver impuesto por el estado devuelve NXDOMAIN o redirige a una página de «este sitio está bloqueado». DoH a un resolver fuera de la jurisdicción que censura anula este mecanismo específico, porque la red censora solo ve HTTPS hacia el resolver DoH, no las consultas internas.
La advertencia: esto solo funciona hasta que el censor escala. Los regímenes de censura sofisticados (China, Irán) bloquean los resolvers DoH directamente por IP, fuerzan la interceptación de HTTPS mediante CAs raíz emitidas por el estado, o usan el bloqueo basado en SNI (ver sección siguiente). DoH vence la censura DNS ingenua; no vence la censura de estados-nación decididos.
Tres cosas con las que DoH no ayuda
1. Filtración de SNI en el handshake TLS
Este es el problema que la mayoría de los artículos omiten. Cuando te conectas a «example.com» por HTTPS, tu navegador envía el hostname en texto claro durante el handshake TLS — concretamente en la extensión SNI (Server Name Indication). El motivo: una sola IP suele servir muchos dominios mediante terminación TLS, y el servidor necesita saber qué certificado presentar antes de que comience la sesión cifrada. El SNI es, por diseño, texto plano.
Efecto neto: incluso con DoH, un observador en la red ve los hostnames a los que te conectas a través del SNI. La corrección del espionaje DNS es parcial. La mitigación es ECH (Encrypted Client Hello) — una extensión TLS relativamente nueva que cifra el SNI. Cloudflare activó ECH para los sitios de su red en 2023, y Firefox y Chrome añadieron soporte, pero la adopción fuera de Cloudflare sigue siendo irregular. Hasta que ECH sea universal, DoH cierra solo la mitad de la pregunta «quién puede ver qué sitios visitas».
2. Identificación de destinos basada en IP
Incluso con DoH y ECH, tus conexiones TLS siguen yendo a IPs de destino específicas. Para sitios con infraestructura dedicada (bancos, servicios especializados), la IP de destino es un identificador casi perfecto del sitio incluso sin DNS ni SNI. Para sitios detrás de grandes CDNs (Cloudflare, Fastly, AWS CloudFront), la identificación basada en IP es más difusa — millones de sitios comparten unas pocas IPs — pero los sitios más grandes siguen teniendo infraestructura única o patrones de tráfico distintivos.
DoH no puede solucionar esto. Un observador de red que realmente quiera saber qué sitios visitas puede construir una tabla de mapeo IP-a-dominio y consultar tus destinos de tráfico. La mitigación es un túnel VPN, que desplaza la visibilidad de la IP de destino desde la red local hasta el proveedor VPN. La confianza sigue teniendo que ir a algún lugar; DoH por sí solo la deja en manos del propietario de la red.
3. Tu proveedor DoH ve todo lo que antes filtraba a tu ISP
Este es el compromiso que el marketing de DoH suele eludir: DoH no hace privadas tus consultas DNS; desplaza la visibilidad desde tu ISP hasta tu resolver DoH elegido. Cloudflare (1.1.1.1), Google (8.8.8.8), Quad9, NextDNS, AdGuard y cualquier otro proveedor DoH ven cada consulta que realizas exactamente como lo hacía tu ISP antes. Algunos publican políticas estrictas de sin registros; algunos publican solo registros agregados; algunos venden datos agregados a «socios de investigación». El régimen legal en torno a tu proveedor DoH importa tanto como el de tu ISP.
El 1.1.1.1 de Cloudflare publica informes de auditoría que indican que descartan los registros tras 24 horas y no venden datos de DNS. El 8.8.8.8 de Google registra consultas (con anonimización) por períodos indefinidos según su política de retención declarada. NextDNS te permite configurar tu propia retención de registros desde «ninguno» hasta «tu cuenta, tu elección». La elección del proveedor DoH importa; la pregunta es con qué relación de confianza te sientes más cómodo — tu ISP bajo las leyes de tu país, o tu proveedor DoH bajo las leyes del suyo.
Dos cosas que DoH rompe legítimamente
1. Controles parentales y filtrado en redes domésticas
La mayoría de los sistemas de control parental para consumidores funcionan inspeccionando el DNS en el router o mediante un resolver DNS de filtrado familiar configurado (OpenDNS Family Shield, Cleanbrowsing Family, perfil familiar de NextDNS). Cuando el dispositivo de tu hijo usa estos resolvers, las consultas de contenido para adultos, juegos de azar, etc., devuelven NXDOMAIN. El sistema depende de que el dispositivo pregunte al resolver DNS con control parental en primer lugar.
El DoH a nivel de navegador (Firefox activó DoH por defecto en 2019 para usuarios de EE. UU.; Chrome y Edge usan el resolver del sistema operativo pero con DoH si está configurado) silenciosamente elude estos sistemas. El navegador pregunta directamente a Cloudflare o Google, el resolver de filtrado familiar nunca ve la consulta, y el niño accede al sitio que quería visitar. Esto es intencional desde la perspectiva de Mozilla («no deberíamos dejar que las redes censuren»); accidental desde la perspectiva de un padre («el filtro por el que pagamos dejó de funcionar»).
Existen mitigaciones pero son complicadas: configura DoH a nivel del sistema operativo (no del navegador) con un resolver que admita familias, como el perfil familiar de NextDNS u OpenDNS Family Shield, y luego deshabilita el DoH a nivel de navegador para que pase al nivel del sistema operativo. Tanto los perfiles de configuración de Apple como la directiva de grupo de Windows lo admiten. Para la mayoría de los hogares es lo suficientemente complicado como para suponer una fricción real.
2. Seguridad empresarial y bloqueo de malware a nivel de red
La mayoría de las redes corporativas implementan seguridad basada en DNS: un servidor DNS sinkhole resuelve los dominios maliciosos conocidos a nada (o a una página de alerta interna), bloqueando el comando y control de malware, redirecciones de phishing y la exfiltración de datos hacia endpoints conocidos. Esto funciona porque todos los dispositivos de la red corporativa usan el DNS corporativo, de modo que todas las consultas se filtran.
El DoH a nivel de navegador elude esto silenciosamente. Un navegador comprometido que debería estar bloqueado para no llegar a su servidor C2 puede simplemente resolver el hostname C2 mediante DoH a través de Cloudflare, obtener la IP real y conectarse directamente. Los equipos de IT empresariales respondieron: (a) configurando la política del navegador para deshabilitar DoH, (b) desplegando inspección TLS completa para que la pila de seguridad pueda ver dentro del HTTPS incluyendo el tráfico DoH, o (c) bloqueando las IPs conocidas de resolvers DoH en el firewall. Ninguna es agradable — la opción (a) deja a los usuarios con DNS plano también en casa, la opción (b) requiere instalar una CA raíz en cada dispositivo, la opción (c) se rompe cuando aparecen nuevos endpoints DoH.
DoH en cada plataforma — ¿cuál es la configuración real?
iOS 14+ / iPadOS 14+: Ajustes → General → VPN y gestión de dispositivos → DNS — pero solo mediante un perfil de configuración instalado. iOS no expone DoH en la interfaz estándar de Ajustes; instalas un archivo .mobileconfig (Cloudflare, Quad9, NextDNS, AdGuard y Mullvad los publican). Una vez instalado, todas las apps del dispositivo usan DoH con ese resolver. Esto es intencional — iOS trata DoH como un ajuste a nivel del sistema operativo, no por app.
Android 9+: Ajustes → Red e internet → Avanzado → DNS privado — aunque en realidad es DoT, no DoH. Android implementó «DNS privado» usando DoT (puerto 853) en lugar de DoH (HTTPS). Propiedades de privacidad funcionalmente equivalentes; el protocolo es diferente. Introduce el hostname de un resolver DoT (one.one.one.one para Cloudflare, dns.google para Google, dns.adguard.com para AdGuard) y Android cifra todas las consultas DNS a nivel del sistema.
macOS 11+: el mismo mecanismo de perfil de configuración que iOS. Apple incluye soporte propio para DoH pero no lo expone en Preferencias del Sistema; instalas un perfil.
Windows 11: Ajustes → Red e Internet → propiedades del adaptador → Asignación de servidor DNS → «Solo cifrado (DNS sobre HTTPS)» — Windows conoce Cloudflare, Google y Quad9 por defecto y configurará DoH automáticamente si introduces esas IPs. Windows 10 tiene soporte para DoH pero es más difícil de encontrar.
DoH a nivel de navegador: Firefox habilita DoH por defecto para usuarios de EE. UU. (Ajustes → Privacidad & Seguridad → DNS sobre HTTPS). Chrome lo llama «DNS seguro» (Ajustes → Privacidad y seguridad → Seguridad). Safari usa la configuración a nivel de macOS en lugar de una configuración específica del navegador. Edge usa la de Windows. El DoH a nivel de navegador es rápido de activar pero genera el problema de elusión de controles parentales y empresariales descrito arriba; el DoH a nivel de sistema operativo centraliza la decisión donde puede gobernarse.
Elegir un resolver DoH — la comparación honesta
Elegir tu resolver DoH es la decisión real de privacidad que DoH te permite tomar. Las principales opciones:
- Cloudflare 1.1.1.1: rápido (anycast, menos de 15 ms en la mayoría de las ciudades), retención de registros de 24 horas, auditoría anual. Tiene una variante «familiar» (1.1.1.3) que bloquea contenido para adultos. Cloudflare también ofrece WARP, un VPN-lite que combina DoH con un túnel a la red de Cloudflare.
- Google 8.8.8.8: rápido, ubicuo, retención indefinida de registros según la política declarada de Google. Privacidad razonablemente aceptable para los estándares de Google, pero si «confiarle a Google otro flujo de datos» es un problema, busca otra opción.
- Quad9 9.9.9.9: fundación suiza sin ánimo de lucro, bloquea dominios maliciosos conocidos por defecto, política declarada de sin registros, más conservador en datos que la mayoría.
- NextDNS: configurable por perfil (listas de bloqueo, filtro familiar, retención de registros) — la opción para usuarios avanzados. Consulta nuestra comparativa para más profundidad.
- AdGuard DNS: bloquea anuncios y rastreadores de forma agresiva a nivel DNS, compatible con DoH y DoT.
- Mullvad DNS: disponible de forma independiente (sin suscripción VPN necesaria), sueco, bloqueo de contenido configurable, accesible mediante DoH y DoT.
- El resolver de tu proveedor VPN: Casper's Cloak, ProtonVPN (NetShield), Mullvad — el DNS se gestiona dentro del túnel VPN, sin configuración adicional necesaria. Conveniente; implica confiar en el proveedor VPN en ambas capas, algo inevitable si usas una VPN de todas formas.
El enfoque honesto: no existe el resolver DoH «mejor»; existe el mejor para tu modelo de amenazas. La velocidad importa para algunos, las listas de bloqueo para otros, la política de sin registros para otros, la jurisdicción para otros. Elige uno, configúralo a nivel del sistema operativo (no solo del navegador) para que la elección cubra todas las apps, y revísalo cuando cambien tus prioridades o los informes de transparencia de cualquier resolver.
Dónde encaja DoH con las VPNs y el bloqueo de anuncios — la imagen unificada
Tres capas de privacidad independientes, cada una cerrando una superficie de ataque diferente:
- Túnel VPN: cifra la visibilidad de la IP de destino desde la red local y la desplaza al proveedor VPN. Cierra «la cafetería / el ISP pueden ver a qué IPs te conectas».
- DoH / DoT: cifra las consultas DNS desde la red local y desde el ISP, y desplaza la visibilidad DNS hacia el resolver DoH. Cierra «el registro DNS archivado con el ISP» y la «inyección DNS a nivel de red».
- Filtrado de contenido a nivel DNS (Pi-hole, NextDNS, AdGuard DNS): bloquea las consultas de anuncios, rastreadores, malware y phishing — en el resolver. Cierra «todas las apps de tu dispositivo cargan SDKs de rastreo cuyos endpoints podrían bloquearse a nivel DNS».
DoH por sí solo es una capa. Una postura real de privacidad combina las tres. Casper's Cloak está diseñado para ofrecer esta pila como una sola app: túnel VPN + filtrado DNS con Pi-hole (ejecutamos una instancia de Pi-hole por usuario como resolver) + detección de phishing de día cero basada en ML sobre las listas estáticas de bloqueo. DoH está implícito en cómo está conectado todo — las consultas DNS entre el dispositivo y nuestro resolver están cifradas. El enfoque honesto es que esta es una arquitectura válida; otra es «configura DoH a nivel del sistema operativo con NextDNS, añade la VPN que prefieras, y obtienes el mismo resultado final con más controles». Ambas funcionan; el compromiso es comodidad frente a configurabilidad. Cubrimos el mismo punto desde el ángulo del filtrado DNS en Cómo funciona realmente el filtrado a nivel DNS.
Conclusión
DoH es una mejora real y útil de la privacidad, con advertencias que no aparecen en el texto de marketing. Cierra el espionaje de DNS del ISP, la inyección de DNS en cafeterías y la censura ingenua — tres problemas reales para usuarios reales. No cierra la filtración de SNI, la identificación de destinos por IP ni la confianza en tu resolver elegido. Y rompe los controles parentales y la seguridad empresarial en casos de uso legítimos si no lo configuras cuidadosamente.
La decisión más importante de DoH es qué resolver eliges, configurado a nivel del sistema operativo para que todas las apps lo reciban de forma consistente. La segunda decisión más importante es si combinas DoH con un túnel VPN (cierra la visibilidad de la IP de destino) y un filtrado de contenido a nivel DNS (bloquea anuncios, rastreadores y consultas de dominios maliciosos). DoH por sí solo resuelve una capa; la pila unificada cubre toda la superficie.
Relacionado: Cómo funciona realmente el filtrado a nivel DNS cubre la capa de filtrado que DoH por sí solo no incluye; Ataques en WiFi público en 2026 cubre el modelo de amenazas de red hostil con el que ayuda DoH; VPN gratuita vs VPN de pago en 2026 cubre la capa del túnel VPN. La comparativa de NextDNS y la comparativa de Pi-hole profundizan en las opciones de resolver DNS configurable.