Volver al blog
Bajo el capó·12 min de lectura

Cómo funciona realmente el filtrado DNS — y las cuatro limitaciones que los proveedores no anuncian

El filtrado DNS es una de las intervenciones más potentes en privacidad para consumidores: todas las apps de tu dispositivo lo atraviesan, y una sola configuración lo cubre todo. También tiene cuatro limitaciones reales que las páginas de marketing no destacan. Aquí explicamos cómo funciona y dónde están sus bordes.

Por Casper's Cloak Security Team

La versión corta: cuando una app de tu teléfono intenta conectarse a analytics.facebook.com, primero tiene que resolver la dirección IP de ese nombre de host mediante DNS. Un resolvedor DNS con filtrado intercepta la consulta, reconoce el destino como un rastreador y se niega a devolver una IP. La conexión nunca se establece; los datos nunca abandonan tu dispositivo. Es elegante y poderoso — pero tiene cuatro limitaciones que cualquier discusión honesta debe nombrar: no puede ver el contenido del tráfico cifrado, no puede filtrar anuncios servidos desde el mismo dominio que el contenido legítimo, algunas apps saltean completamente el DNS del sistema, y los protocolos de DNS cifrado (DoH/DoT/ECH) están cambiando el panorama de observabilidad de la red. A continuación, el mecanismo, luego cada limitación y, finalmente, dónde el filtrado DNS sigue ganando.

El mecanismo, en cinco pasos

Cada conexión de red que hace tu teléfono sigue esta secuencia (lo notes o no):

  1. Una app quiere llegar a un servidor. Instagram quiere cargar una historia; el SDK de Facebook quiere enviar una huella digital a casa; Safari está abriendo una página web. Todas estas conexiones comienzan con un nombre de host: graph.facebook.com, cdn-news.com, www.example.com.
  2. El sistema operativo le pregunta al DNS la IP del nombre de host. Los ordenadores no se comunican con graph.facebook.com directamente — se comunican con 157.240.22.174. El DNS es el directorio que traduce nombres de host a IPs.
  3. La consulta DNS viaja hacia un resolvedor. Sin VPN, suele ser el resolvedor de tu proveedor de internet o cualquier DNS que hayas configurado (típicamente el 8.8.8.8 de Google o el 1.1.1.1 de Cloudflare). Con Casper u otra herramienta de filtrado DNS, la consulta viaja a nuestro resolvedor, a través del túnel cifrado.
  4. El resolvedor con filtrado evalúa el destino. ¿Está graph.facebook.com en la lista de bloqueo de rastreadores? ¿En una clasificación ML de dominios de phishing? ¿En una lista de permitidos personalizada? La evaluación ocurre en milisegundos de un solo dígito.
  5. El resolvedor devuelve una respuesta — o la rechaza. Para dominios legítimos: una IP real, la app se conecta y todo sigue adelante. Para dominios bloqueados: una respuesta «NXDOMAIN» o 0.0.0.0, el intento de conexión de la app falla y los datos nunca abandonan tu dispositivo.

Ese es todo el mecanismo. No hay trucos DPI en el dispositivo, ni ganchos en el kernel, ni manipulaciones de inyección de certificados. Funciona porque toda conexión IP tiene que comenzar con una consulta de nombre de host, y esa consulta es texto plano sin cifrar que controla el resolvedor. Bloquea la consulta, bloquea la conexión.

Por qué este enfoque tiene un apalancamiento inusual

Tres características estructurales hacen que el filtrado DNS sea desproporcionadamente efectivo:

  • Es agnóstico a la app. Las extensiones de navegador solo protegen el navegador en el que están. Los bloqueadores de contenido de Safari solo protegen Safari. El filtro DNS de Casper protege Instagram, la app de YouTube, tu widget del tiempo, la app de streaming de tu smart TV, Mail, Slack, cada utilidad de la barra de menú en Mac — cualquier cosa que haga una consulta DNS.
  • Es agnóstico al protocolo. HTTP, HTTPS, WebSockets, protocolos binarios personalizados — todo lo que comience con una consulta DNS queda filtrado. La capa de cifrado superior no importa; el resolvedor intercepta antes de que comience la negociación de cifrado.
  • Es centralizado. Todos los dispositivos de tu cuenta reciben la misma protección a partir de una sola actualización de configuración. Sin necesidad de gestionar una flota de extensiones de navegador.

Por eso las herramientas basadas en DNS (Pi-hole, NextDNS, AdGuard DNS y nuestro propio Casper) se han convertido en el patrón dominante en filtrado de privacidad para consumidores en los últimos cinco años. Pero ese apalancamiento tiene doble filo: cuando el filtrado DNS falla, tiende a fallar en silencio y a gran escala.

Limitación 1 — No puede ver qué hay dentro del tráfico cifrado

El filtrado DNS opera sobre nombres de host, no sobre URLs ni cargas útiles. Si un dominio está completamente bloqueado, todas las páginas y endpoints de ese dominio quedan bloqueados. Si un dominio está completamente permitido, todas las páginas y endpoints de ese dominio quedan permitidos. No existe término medio en la capa DNS: una vez que se resuelve la IP, el resolvedor no tiene visibilidad sobre lo que hace la app a continuación.

Esto funciona bien para la mayor parte de la infraestructura de rastreo, que usa subdominios dedicados: analytics.facebook.com, tag-manager.google.com, events.amplitude.com. Bloquear el subdominio deja funcionando el sitio principal y elimina los análisis. Pero es un problema difícil cuando los anuncios o rastreadores comparten el mismo dominio que el contenido legítimo: Instagram sirve tanto contenido como publicaciones patrocinadas desde la propia infraestructura de Meta; YouTube sirve vídeos y anuncios previos al vídeo desde googlevideo.com; X sirve tweets promocionados desde los mismos nombres de host que tu cronología. El filtrado DNS no puede distinguirlos.

Lo que esto significa en la práctica: Casper elimina entre el 80 y el 90 % de los anuncios y rastreadores que encontrarías en una semana típica con un teléfono típico. El 10–20 % restante está alojado en dominios propios y requiere una intervención distinta — generalmente una extensión de navegador en la capa de renderizado del DOM (uBlock Origin en Chrome / Firefox, los Brave Shields integrados, la extensión de Safari de AdGuard) que puede ver la página renderizada y ocultar elementos específicos. Recomendamos explícitamente usar ambas capas si quieres la mayor cobertura posible; Casper cubre la capa de red que las extensiones de navegador no alcanzan, y las extensiones de navegador cubren la capa DOM que el DNS no alcanza.

Limitación 2 — Algunas apps saltean completamente el DNS del sistema

Una lista creciente de apps ya no usa el resolvedor DNS del sistema — incluyen sus propias implementaciones de DNS-over-HTTPS (DoH) o DNS-over-TLS (DoT) que se comunican directamente con Cloudflare, Google o la infraestructura propia del desarrollador, sin pasar por el DNS que haya configurado el usuario.

Firefox hace esto por defecto (el programa Trusted Recursive Resolver de Mozilla). Chrome lo hace cuando el resolvedor DNS existente del usuario está en la lista de detección automática de Google. Algunas apps populares de Android (Brave, Discord, Signal, varias apps de streaming) incluyen endpoints DoH codificados directamente. La motivación suele ser la privacidad — evitar la vigilancia DNS a nivel del proveedor de internet — pero el efecto secundario es que el filtrado DNS configurado por el usuario no se aplica a esas apps.

Lo que esto significa en la práctica: en iOS esto es poco frecuente y el framework NetworkExtension de Apple le da a Casper suficientes puntos de enganche para interceptar la mayoría de los intentos DoH a nivel de app. En Android, la situación es más complicada — algunas apps resolverán nombres de host fuera de nuestra visibilidad. La respuesta de Casper es doble: (a) publicamos una lista de apps con comportamiento conocido de bypass DoH para que los usuarios sepan qué queda fuera del filtro, y (b) en Android usamos enrutamiento VPN por app para forzar el tráfico crítico de vuelta por la ruta DNS del sistema en aquellas apps donde quieras específicamente aplicar el filtrado. Este es uno de los pocos casos en que la arquitectura VPN más flexible de Android es genuinamente una ventaja sobre iOS.

Limitación 3 — Las CDN y la infraestructura compartida hacen imposible el bloqueo por inquilino

Muchos sitios web y servicios comparten nombres de host a nivel de IP: cdn-namespace.cloudfront.net puede servir contenido para miles de organizaciones diferentes detrás del mismo endpoint de Cloudfront. Bloquear el nombre de host bloquea a todos los que lo comparten; permitirlo permite a todos los que lo comparten. El resolvedor DNS no tiene forma de saber a qué inquilino va destinada una solicitud concreta.

El caso más común en que esto perjudica: bloquear los endpoints de rastreo de Google mientras se permiten los endpoints funcionales de Google. googletagmanager.com es puro rastreo y se puede bloquear sin riesgo. Pero googleapis.com aloja desde tiles de Maps hasta Cloud Storage, Firebase Auth y la ingesta de Analytics — bloquearlo rompería una gran parte de las apps. La lista de bloqueo predeterminada de Casper está calibrada para dejar abiertos los endpoints de uso compartido funcional y bloquear los endpoints de rastreadores dedicados, pero hay un techo muy claro en cuanto a qué tan granular puede volverse esto sin romper apps.

Lo que esto significa en la práctica: algunas señales de rastreo se filtran porque el nombre de host subyacente está demasiado entrelazado con funcionalidad legítima como para bloquearlo. En nuestros documentos de soporte listamos los casos principales para que sepas qué se escapa. Para los usuarios que quieren un bloqueo más estricto entendiendo que algunas apps podrían romperse, hay disponible un ajuste preestablecido «agresivo».

Limitación 4 — El Encrypted Client Hello (ECH) está cambiando la observabilidad

El handshake TLS históricamente filtraba el nombre de host de destino a través del campo Server Name Indication (SNI) — incluso cuando el DNS estaba cifrado, un observador en la red podía ver a qué sitios te conectabas. El estándar Encrypted Client Hello (ECH) del IETF cifra esta pieza final, y su despliegue es amplio en 2025–2026 (Cloudflare lo activó por defecto a finales de 2024, Firefox lo soporta de forma estable, Chrome está en lanzamiento escalonado).

Para la privacidad esto es genuinamente bueno — tu proveedor de internet ya no puede ver qué sitios visitas ni siquiera a nivel TLS. Para el filtrado DNS no cambia nada directamente: operamos sobre la propia consulta DNS, no sobre la observación TLS. Pero ECH forma parte de una tendencia más amplia hacia un DNS más cifrado (DoH/DoT/ODoH/Oblivious DNS) donde los usuarios delegan la función de resolución en terceros, a veces sin darse cuenta. Esa delegación puede esquivar las herramientas de filtrado configuradas por el usuario.

Lo que esto significa en la práctica: la pila de privacidad para consumidores se está fragmentando. iCloud Private Relay de Apple enruta el tráfico cifrado a través de los resolvedores de Apple (saltándose el DNS del usuario). El DoH activado por defecto en algunos navegadores hace lo mismo. ECH es bueno para la privacidad frente a observadores pasivos, pero reduce la capacidad del usuario de controlar su propio tráfico. La respuesta de Casper es proporcionar la visibilidad a nivel de red que los usuarios desean en el lugar donde realmente la quieren (su propio resolvedor con filtrado), e integrarse con — en lugar de luchar contra — las tendencias de cifrado más amplias.

Dónde el filtrado DNS sigue ganando

Nombrar las limitaciones no significa que el filtrado DNS sea una mala apuesta — solo significa una discusión honesta. Los casos en que sigue siendo la intervención más limpia:

  • Rastreo conductual por SDKs integrados. Facebook SDK, Mixpanel, Amplitude, Segment, AppsFlyer — todos usan nombres de host de rastreadores dedicados que el filtrado DNS bloquea con precisión. Esta es la categoría más grande por volumen y la que los usuarios más quieren detener. El bloqueo de rastreadores de Casper cubre esto directamente.
  • Redes publicitarias en todas las apps. DoubleClick, AdMob, los principales endpoints de ingesta de redes publicitarias usan nombres de host dedicados. Bloquearlos silencia los anuncios dentro de la larga cola de apps móviles donde las extensiones de navegador no funcionan. Consulta cómo se traduce esto en la práctica.
  • Dominios de phishing y malware. La puntuación de amenazas en tiempo real en la capa DNS detecta dominios de phishing de día cero antes de que se añadan a las listas de bloqueo públicas. Esta es la capa donde el clasificador de IA de la protección contra amenazas de Casper demuestra su valor — analizado en detalle en nuestro desglose de tres campañas de phishing reales.
  • Exfiltración de huellas digitales entre apps. Incluso cuando App Tracking Transparency de iOS bloquea el IDFA, las apps siguen exfiltrando datos de huellas digitales — pero tienen que enviarlos a algún lugar. La capa DNS captura la exfiltración independientemente del identificador que la app hubiera usado. Consulta nuestro análisis más detallado de lo que ATT no detiene.
  • Telemetría del fabricante y del sistema operativo. Samsung Knox Analytics, la nube de Xiaomi, los endpoints de análisis de Apple, la telemetría de Windows — todos usan nombres de host dedicados que el filtrado DNS bloquea sin romper las partes funcionales del sistema operativo.
  • Protección en redes hostiles (WiFi público). El túnel VPN que transporta el tráfico DNS también cifra todo lo que fluye por la red local — así que aunque el beneficio del filtrado DNS sea pequeño, el beneficio del cifrado en el WiFi de una cafetería es real.

El modelo de dos capas que realmente funciona

Para los usuarios que quieren la protección más completa, el patrón que mejor funciona son dos capas complementarias:

  1. Capa de red (filtro DNS): cubre todas las apps del dispositivo, bloquea el 80–90 % del tráfico de rastreadores, anuncios y phishing que usa nombres de host dedicados. Casper opera aquí.
  2. Capa DOM (bloqueador de contenido en el navegador): uBlock Origin en Chrome / Firefox, los Brave Shields integrados o la extensión de Safari de AdGuard. Detecta los anuncios alojados en dominios propios de Instagram, YouTube, X y similares que el DNS no puede distinguir del contenido legítimo.

Cada capa cubre los vacíos que la otra no puede. Juntas ofrecen más del 95 % de cobertura; por separado, cada una ronda el 80 %. La mayoría de los usuarios enfocados en privacidad con los que hemos hablado usan exactamente esta combinación.

Conclusión

El filtrado DNS es el lugar adecuado para intervenir en la mayor parte de las amenazas a la privacidad del consumidor: rastreo por SDK integrado, exfiltración por redes publicitarias, resolución de dominios de phishing, telemetría del fabricante. No es magia y no cubre todos los casos. Las cuatro limitaciones anteriores son reales, y cualquier proveedor que las oculte o está vendiendo mal o vendiendo algo que no debería. Combina la capa de red con una capa DOM del navegador para los casos residuales, considera el cifrado en redes hostiles como una ventaja adicional que obtienes de regalo, y habrás cubierto la mayor parte de lo que parece la superficie de amenazas para el consumidor en 2026.

Revisado por Casper's Cloak Security Team · Última actualización

Prueba la capa de red

Casper's Cloak ejecuta el filtrado DNS descrito anteriormente — en todas las apps del iPhone, Mac y Android. Prueba gratuita; sin jailbreak; funciona como un perfil de VPN estándar del sistema.