- DoH cifra las consultas DNS sobre HTTPS, mejorando privacidad y seguridad sin cambios en el router.
- Activación sencilla en navegadores y soporte nativo en Windows, Windows Server 2022, Linux, macOS y Android.
- Modos oportunista y estricto: prioriza estricto para evitar caídas a texto plano.
- Empresas: gestionar con GPO/MDM y resolutores propios; validar con DNSSEC para integridad.
Si quieres navegar con más privacidad sin pelearte con el router, el camino es activar DNS sobre HTTPS (DoH) directamente en tus dispositivos y navegadores. Esta tecnología cifra las consultas DNS para que dejen de viajar en claro, complicando la vida a cualquiera que intente husmear o manipular lo que visitas.
Además de la parte técnica, aquí vas a encontrar pasos concretos para Chrome, Edge, Firefox, Windows (incluido Windows Server 2022), Linux, macOS y Android, junto con consejos para verificar que todo funciona, alternativas como DoT/DNSCrypt y consideraciones de empresa. Todo, con un enfoque práctico y sin tocar el router.
Qué es DoH y por qué debería importarte
El DNS es la guía de direcciones de Internet: transforma nombres como ejemplo.com en IPs que los equipos entienden; el problema de siempre es que las consultas DNS tradicionales se envían sin cifrar, exponiendo qué dominios resuelves y permitiendo manipulaciones en ruta.
Con DoH, el resolutor y tu equipo hablan usando HTTPS (puerto 443), integrando TLS para cifrar y autenticar las peticiones. Esto dificulta el espionaje, el secuestro de DNS, el envenenamiento de caché y otras perrerías en redes abiertas como el Wi‑Fi del aeropuerto.
Respecto al rendimiento, mediciones independientes (como las de samknows) apuntan a que las diferencias frente a DNS clásico (Do53) son mínimas o despreciables en la carga real de páginas. Además, el uso de conexiones HTTPS persistentes ayuda a reducir latencias de establecimiento.
Ojo, aunque DoH mejora la privacidad, no borra todos los rastros posibles: aún quedan metadatos de nivel de transporte o aplicación (por ejemplo, SNI u OCSP en ciertos contextos), por lo que conviene combinarlo con buenas prácticas (TLS 1.3, HTTP/3, cifrado de extremo a extremo, etc.).
Si buscas alternativas o complementos, existen DNS over TLS (DoT), DNSCrypt, DNSCurve y DNSSEC. DoT cifra a nivel de transporte en el puerto 853, DNSSEC valida la integridad de la respuesta, y DNSCrypt añade autenticación y opciones de privacidad; cada uno tiene su sitio en el ecosistema.
DoH vs DoT, puertos y capas: lo esencial
Con DoT, el mensaje DNS se mete directamente en un túnel TLS (puerto 853). Con DoH, el DNS viaja como carga HTTP dentro de HTTPS (puerto 443); esto hace que el tráfico DoH se mimetice con el resto del tráfico web, eludiendo bloqueos de puerto simplones.
El protocolo se apoya en TLS: intercambio de Client Hello, Server Hello y validación de certificado; después, todo el flujo de consultas/respuestas viaja cifrado. TLS 1.3 reduce recorridos, acelera y minimiza riesgos de correlación, y HTTP/3 (sobre QUIC) puede mejorar la multiplexación frente a pérdidas.
Existe también DNS sobre QUIC, parecido a DoT pero apoyado en QUIC para evitar bloqueo de cabecera en línea. Eso sí, tanto HTTP/3 como DNS/QUIC dependen de UDP accesible, por lo que no siempre estarán disponibles, y pueden forzar caídas a HTTP/2 o TLS clásico.
Privacidad práctica: los diseñadores de DoH desaconsejan usar cookies HTTP en resoluciones DNS; la mayoría de implementaciones lo respeta. Aun así, hay que vigilar el modo de operación: oportunista (con posible retroceso a texto plano) o estricto (si no hay transporte seguro, no resuelve).
Un apunte que verás por ahí: a veces se dice que DoH no aplica a sitios HTTP. Lo correcto es que DoH cifra la resolución del nombre, no el contenido de la web; si la página es HTTP, la navegación posterior no irá cifrada, pero la consulta DNS sí puede ir sobre HTTPS.
Activar DoH en los navegadores principales
En navegadores es donde más fácil resulta. Chrome, Edge y Firefox ya incorporan DoH y permiten activarlo rápido, con matices según versión.
Google Chrome
En versiones actuales ve a chrome://settings/security y activa DNS seguro; puedes usar tu proveedor actual si soporta DoH o elegir uno recomendado (p. ej., Cloudflare o Google). En ediciones antiguas, el interruptor estaba en flags: chrome://flags/#dns-over-https (opción Secure DNS lookups en Enabled).
Chrome también ensayó un modo oportunista: si tu resolutor del sistema coincide con una lista interna de proveedores DoH, actualiza el transporte sin tocar IPs; en entornos corporativos suele desactivarse por política.
Microsoft Edge (Chromium)
Proceso similar: edge://settings/privacy para DNS seguro en versiones recientes; en builds anteriores funcionaba la flag edge://flags/#dns-over-https (Secure DNS lookups en Enabled). Soporta proveedores conocidos o el que ya uses si admite DoH.
Mozilla Firefox
Abre el menú, entra en Ajustes y en la sección General pulsa Configuración en Red; ahí verás Activar DNS sobre HTTPS y podrás elegir proveedor (Cloudflare, NextDNS, u otro personalizado). Firefox soporta modos TRR: oportunista o estricto desde about:config (parámetro network.trr.mode).
Mozilla llegó a probar activaciones por regiones con resolutores que cumplen políticas de privacidad estrictas. Para empresas, existen plantillas para deshabilitar DoH o apuntarlo a resolutores internos.
Configurar DoH en el sistema: Windows 10/11 y Windows Server 2022
Windows 10/11 (cliente)
En versiones modernas puedes activar DNS seguro desde Configuración > Red e Internet, eligiendo tu interfaz (Wi‑Fi/Ethernet), editando DNS en Manual y marcando Cifrado preferido para IPv4/IPv6 con IPs de resolutores que soporten DoH.
Si vas justo de versión, existe el registro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters y crea DWORD (32 bits) EnableAutoDoh=2; reinicia el equipo. Solo surte efecto con resolutores compatibles con DoH.
Para verificar si usas Do53 en vez de DoH, Windows 10 2004 permite: pktmon filter add -p 53 y luego pktmon start –etw -m real-time; si ves mucho tráfico en 53, sigues yendo en claro. El parámetro real-time solo existe desde 2004.
Windows Server 2022 (cliente DNS con DoH)
Desde Windows Server 2022, el cliente DNS soporta DoH. En Configuración > Red e Internet > Ethernet, elige la interfaz y entra a Configuración de DNS > Editar. En Manual, pon tus servidores DNS y usa el desplegable Cifrado DNS preferido:
- Solo cifrado (DoH): máximo blindaje; si el servidor no admite DoH, no resuelve.
- Preferir cifrado y permitir sin cifrar: intenta DoH y, si falla, vuelve a texto plano (sin aviso).
- Solo sin cifrar: DNS clásico sin TLS.
Guarda los cambios. Si configuras Set-DnsClientServerAddress en PowerShell, el modo DoH depende de si el servidor está en la tabla de DoH conocidos. De momento, no se ajusta con Windows Admin Center ni sconfig.
Directiva de grupo (GPO) para DoH en Windows Server 2022
Ruta: Configuración del equipo > Plantillas administrativas > Red > Cliente DNS, directiva Configurar DNS sobre HTTPS (DoH) con opciones:
- Permitir DoH: usa DoH si el servidor lo soporta; si no, va sin cifrar.
- Prohibir DoH: bloquea DoH en el cliente.
- Requerir DoH: obliga DoH; si no está disponible, no hay resolución.
Advertencia importante: no uses Requerir DoH en equipos unidos a dominio, porque Active Directory depende del DNS del servidor Windows y éste no atiende consultas DoH. Si necesitas cifrar en redes AD DS, plantéate IPsec de extremo a extremo para el tráfico DNS interno.
Servidores DoH conocidos en Windows
Consulta la lista integrada con Get-DnsClientDohServerAddress en PowerShell. Suele incluir, entre otros:
| Proveedor | Direcciones |
|---|---|
| Cloudflare | 1.1.1.1 1.0.0.1 2606:4700:4700::1111 2606:4700:4700::1001 |
| 8.8.8.8 8.8.4.4 2001:4860:4860::8888 2001:4860:4860::8844 |
|
| Quad9 | 9.9.9.9 149.112.112.112 2620:fe::fe 2620:fe::fe:9 |
Para añadir uno nuevo: Add-DnsClientDohServerAddress -ServerAddress ‘IP’ -DohTemplate ‘URL-plantilla-DoH’ -AllowFallbackToUdp $False -AutoUpgrade $True. Así evitas caída a UDP y habilitas actualización automática.
NRPT con DoH
La Name Resolution Policy Table permite forzar que dominios concretos se resuelvan por un servidor DNS específico; si éste admite DoH y es conocido, esas consultas viajarán cifradas para esos espacios de nombres.
Linux, macOS y Android/iOS: rutas prácticas
Linux con dnscrypt-proxy + systemd-resolved
Una forma flexible de tener DoH en Linux es usar dnscrypt-proxy como proxy local y engancharlo a systemd-resolved. Ejemplos de instalación:
sudo apt update
sudo apt install dnscrypt-proxy
sudo pacman -S dnscrypt-proxy
sudo dnf install dnscrypt-proxyActiva el servicio: sudo systemctl enable dnscrypt-proxy y sudo systemctl start dnscrypt-proxy. Luego edita /etc/dnscrypt-proxy/dnscrypt-proxy.toml y elige servidores DoH (por ejemplo, Cloudflare) habilitando sus nombres en la sección [static].
Reinicia el proxy con sudo systemctl restart dnscrypt-proxy. Después, apunta systemd-resolved a 127.0.0.1 en /etc/systemd/resolved.conf (opciones DNS=127.0.0.1 y DNSStubListener=yes) y reinicia: sudo systemctl restart systemd-resolved.
Por último, enlaza el stub a /etc/resolv.conf para que todas las apps pasen por resolved:
sudo rm /etc/resolv.conf
sudo ln -s /run/systemd/resolve/stub-resolv.conf /etc/resolv.confComprueba con dig google.com @127.0.0.1; si responde el localhost, las consultas ya pasan por el proxy cifrado. También puedes usar nslookup para validar comportamiento.
Linux con DoT integrado en systemd-resolved
Desde systemd 239 existe DNSOverTLS; en 243 se añadió modo estricto. Eso sí, hay limitaciones de validación de certificados y no se envía SNI en algunos backends, lo que hace más fácil a un atacante en ruta. En entornos sensibles, mejor DoH estricto con un cliente dedicado (p. ej., cloudflared).
Cliente DoH dedicado (Linux, macOS, Windows)
El comando cloudflared proxy-dns expone un DNS local que reenvía por DoH al resolutor que prefieras (por defecto, Cloudflare), ajustable con proxy-dns-upstream. Es una vía rápida para modo estricto a nivel de sistema sin tocar el router.
macOS
En Preferencias del Sistema > Red, elige tu interfaz, entra en Avanzado > DNS y añade resolutores como 1.1.1.1/1.0.0.1, 8.8.8.8/8.8.4.4 o Quad9. Si el proveedor soporta DoH, el sistema puede aprovecharlo según versión/configuración; no siempre hay un indicador claro, así que verifica con herramientas online o capturando tráfico.
Si notas bloqueos, algún firewall o suite de seguridad puede estar interceptando el 443; prueba temporalmente a desactivarlos para aislar el problema.
Android e iOS
Desde Android 9 tienes DNS privado: modo automático (oportunista) o estricto fijando nombre de host del proveedor. En iOS y Android, apps como 1.1.1.1 habilitan DoH o DoT en modo estricto usando la interfaz VPN del sistema.
Routers, Mikrotik y entornos corporativos
Si quieres ofuscar DNS desde el router sin cambiar clientes, hay firmwares que soportan DoH/DoT. En Mikrotik puedes habilitar DoH subiendo e importando la CA raíz del proveedor (p. ej., DigiCert Global Root CA para Cloudflare) y configurando la URL de DoH. Comprueba en https://1.1.1.1/help que el estado sea DoH=Yes.
Los pasos en Mikrotik: sube el certificado a Files, impórtalo en System > Certificates > Import y configura DNS para salir por DoH; también puedes hacerlo por terminal si lo prefieres. Una vez operativo, el router prioriza el canal cifrado.
En empresas, DoH trae cola: monitorización, filtrado, control parental y horizontes divididos se complican si las apps se saltan el resolutor corporativo. Por eso, muchos administradores usan DoH/DoT estrictos apuntando a resolutores propios y bloquean resolutores públicos, o gestionan dispositivos con GPO/MDM para que usen endpoints controlados.
Un riesgo real es la centralización de datos DNS en pocos proveedores públicos mientras los ISP y resolutores menores adoptan DoH. Hay equilibrio entre privacidad, gobernanza y soberanía de datos que cada organización debe valorar.
Comprobaciones, rendimiento y seguridad extendida
Para comprobar DoH, abre nslookup o dig y mira qué servidor responde; algunas páginas de test indican si tu DNS viaja por HTTPS. En Windows, 1.1.1.1/help es útil y pktmon ayuda a detectar tráfico en el puerto 53 cuando no debería.
En rendimiento, pruebas de campo muestran diferencias poco relevantes frente a Do53 en tiempos de resolución y carga de páginas. HTTP/3/QUIC y conexiones persistentes ayudan a que el impacto sea bajo o nulo.
Recuerda que DoH protege el transporte hasta el resolutor, pero no te defiende de respuestas falsas aguas arriba. Para eso está DNSSEC, que permite validar la autenticidad de la respuesta desde el servidor autoritativo. También conviene minimizar o desactivar EDNS Client Subnet si te preocupa la exposición de subred de origen.
Por último, ten presente que algunas guías antiguas (más de un año) pueden estar desactualizadas en rutas de menú, flags o soporte; si algo no coincide en tu sistema, revisa la versión o la documentación actual.
Si lo que quieres es reforzar privacidad sin tocar el router, combinar DoH estricto en navegador o sistema, un buen resolutor público (o corporativo), validación DNSSEC y verificación con herramientas te deja muy bien cubierto para el día a día incluso en redes poco confiables.
Redactor apasionado del mundo de los bytes y la tecnología en general. Me encanta compartir mis conocimientos a través de la escritura, y eso es lo que haré en este blog, mostrarte todo lo más interesante sobre gadgets, software, hardware, tendencias tecnológicas, y más. Mi objetivo es ayudarte a navegar por el mundo digital de forma sencilla y entretenida.