DNS over HTTPS vs DNS over TLS: ¿Cuál protege mejor tu privacidad?

Cuando se trata de DNS over HTTPS y DNS over TLS, la protección básica del tráfico es una prioridad para quienes valoran su privacidad en línea. Configurar el protocolo DNS over HTTPS permite ocultar el historial de navegación de miradas indiscretas y protegerse contra la interceptación de datos.

De forma predeterminada, los dispositivos envían consultas DNS a los servidores en texto claro, sin protección alguna. Por eso, un proveedor de internet, un administrador de red en una empresa o incluso un atacante en una red Wi-Fi pública pueden rastrear fácilmente cada sitio web que visitas.

El cifrado de las solicitudes DNS soluciona este problema de filtración de datos. En este artículo analizamos en detalle las tecnologías DoH y DoT, sus diferencias arquitectónicas y cuál es más confiable - DNS over HTTPS o DNS over TLS - para proteger tu red doméstica y tus dispositivos personales.

¿Por qué es importante cifrar las solicitudes DNS y qué puede ver tu proveedor?

Por defecto, el sistema de nombres de dominio funciona como una agenda telefónica abierta. Cuando escribes la dirección de un sitio en tu navegador, el dispositivo envía una consulta al servidor para averiguar la IP correspondiente. Puedes leer más sobre este mecanismo básico en el artículo ¿Cómo funciona el DNS? Explicación sencilla. La principal vulnerabilidad del método clásico es que las consultas se transmiten en texto claro.

Cualquier nodo intermedio, como tu router doméstico, el equipo del proveedor (ISP) o un punto de acceso público, puede interceptar, leer o incluso modificar estos paquetes de datos. Los proveedores suelen aprovechar esta transparencia para recopilar analítica de usuario, restringir el acceso a ciertos sitios por mandato legal o priorizar tráfico.

Un dato clave: aunque una página web tenga certificado y uses HTTPS, el proveedor no ve el contenido ni tus contraseñas, pero sí registra con precisión a qué dominio accedes. Un cifrado fiable de las consultas DNS elimina este hueco, impidiendo que terceros rastreen tu historial de navegación.

¿Cómo funciona DNS over HTTPS (DoH)?

La tecnología DoH esconde de manera elegante las consultas a los servidores DNS dentro del tráfico web habitual. Para cualquier observador externo, incluso sistemas de inspección profunda de paquetes (DPI) del proveedor, parece que solo navegas por una página HTTPS común.

Este protocolo utiliza el puerto 443, el mismo que la mayoría de los sitios modernos. Es prácticamente imposible aislar y bloquear solo el tráfico DoH sin afectar otros servicios. El proveedor tendría que intentar descifrar todo el flujo (imposible sin las claves) o bloquear las IPs de los servidores DNS públicos, afectando así a muchos servicios legítimos.

En la práctica, DNS over HTTPS se ha vuelto muy popular gracias a su integración en software. Navegadores como Chrome, Edge y Firefox pueden enviar estas consultas saltándose la configuración global del sistema operativo. Esto permite al usuario ocultar su actividad en apenas unos clics, sin modificar el router.

¿Qué es DNS over TLS (DoT) y cuáles son sus características?

El estándar DNS over TLS (DoT) busca la misma privacidad, pero en otro nivel de la red. En vez de disfrazarse como tráfico web, crea un túnel cifrado dedicado entre tu dispositivo y el servidor DNS, usando el protocolo criptográfico TLS.

La principal particularidad de DoT es el uso del puerto 853. El equipo de red puede ver claramente que se transmite información de nombres de dominio, aunque el contenido está cifrado.

Este enfoque es muy valorado por administradores de redes empresariales. Un puerto dedicado facilita gestionar el tráfico, monitorizar la infraestructura y filtrar consultas maliciosas directamente desde el router.

Comparación de protocolos: diferencias clave entre DoH y DoT

Para decidir si DNS over HTTPS o DNS over TLS es mejor para tus necesidades, conviene comparar su comportamiento real. Las diferencias arquitectónicas impactan en la resistencia a bloqueos y en la velocidad de respuesta.

Puertos y métodos para evadir bloqueos

Como DNS over TLS depende del puerto 853, un proveedor de internet o un cortafuegos estatal pueden bloquear fácilmente ese acceso. Si el puerto se cierra, el dispositivo no podrá conectarse al servidor protegido y la navegación se detendrá hasta que se reconfiguren los ajustes.

En cambio, DoH funciona con el puerto estándar 443, lo que impide bloquearlo sin afectar la mayoría de internet, incluyendo bancos, plataformas y tiendas online.

Rendimiento y velocidad

Desde un punto de vista técnico, el intercambio de datos por el puerto 853 suele ser ligeramente más rápido, ya que el protocolo no añade cabeceras HTTP, lo que reduce el tamaño de los paquetes y la latencia inicial.

Con DoH, el dispositivo invierte recursos en formar solicitudes HTTPS adicionales. Sin embargo, con las velocidades y procesadores actuales, esta diferencia es de milisegundos y resulta imperceptible para el usuario común.

¿Qué elegir: DoH o DoT para redes domésticas y dispositivos?

La elección depende del lugar donde se configura el cifrado y de quién deseas protegerte. Para smartphones y navegadores en PC, DoH es la mejor solución. Garantiza acceso incluso en redes Wi-Fi públicas o corporativas con controles estrictos.

En el router doméstico, lo lógico es usar DNS over TLS. El router puede procesar este tráfico dedicado sin mezclarlo con la carga de videos o páginas pesadas, lo que reduce el estrés del hardware.

Recuerda: ocultar las consultas DNS no te hace completamente invisible - el proveedor puede seguir viendo la IP final de las conexiones.

Conclusión

Ambos protocolos cumplen bien su función principal: ocultar de forma fiable el historial de sitios visitados ante interceptaciones y el monitoreo del proveedor. La decisión final depende del lugar de configuración y los dispositivos que utilices.

Para dispositivos personales, smartphones y PCs, la opción ideal sigue siendo DNS over HTTPS: se camufla perfectamente como navegación web normal, se configura en pocos clics y funciona incluso en redes públicas con restricciones.

Si tu objetivo es proteger toda la infraestructura del hogar, configura DNS over TLS en el router. Así proteges televisores inteligentes, consolas y dispositivos IoT, reduces la carga en el procesador de red y evitas conflictos con el tráfico web.

Preguntas frecuentes (FAQ)

¿Cómo configurar DoH en el navegador?

En los navegadores modernos (Chrome, Edge, Firefox, Yandex Browser), esta función está integrada. Ve a la configuración de privacidad y seguridad, busca la sección de "servidor DNS seguro" y actívala. Puedes elegir proveedores como Cloudflare (1.1.1.1) o Google (8.8.8.8).

¿Cómo activar DNS over TLS en el router?

Necesitarás un router compatible con protocolos de cifrado modernos (por ejemplo, Keenetic, MicroTik o firmware OpenWrt). En el panel de administración, entra en la configuración de la conexión a internet, activa el cifrado DNS y especifica las direcciones de los servidores elegidos junto con sus nombres de dominio para la verificación del certificado TLS (por ejemplo, dns.adguard-dns.com).

¿Puede el proveedor bloquear DoH y DoT?

Bloquear DoT es muy sencillo: el operador solo debe cerrar el puerto 853, tras lo cual tus consultas cifradas dejarán de funcionar. Bloquear DoH de forma selectiva es prácticamente imposible, pues se transmite por el puerto 443 junto a millones de sitios comunes; intentar bloquearlo afectaría a gran parte de internet en la red del proveedor.