DNS cifrado vs VPN — Por qué DoH y DoT no ocultan tu navegación en 2026
Idiomas disponibles
Si activaste el DNS cifrado en tu navegador o sistema operativo y diste por hecho que tu ISP ya no podía ver qué sitios visitas, no eres el único. Es uno de los malentendidos sobre privacidad más extendidos de 2026.
A mediados de abril, el instructor de seguridad David Bombal publicó una demostración práctica que ha circulado mucho: incluso con DNS-over-HTTPS (DoH) activado, incluso con TLS cifrando cada conexión, podía identificar exactamente los sitios que visitaba un objetivo solo con escuchar la red. La consulta DNS cifrada apenas ocultaba nada útil.
Si estás confiando en DoH o DoT por sí solos para mantener tu navegación privada, este artículo es para ti. Vamos a ver qué oculta realmente el DNS cifrado, qué fugas tiene y por qué una VPN sigue siendo la única forma fiable de mantener tu tráfico fuera de los registros de tu ISP.
Repaso rápido: ¿qué es el DNS?
Cada vez que escribes example.com en tu navegador, tu dispositivo le pide primero a un resolver DNS que traduzca ese nombre a una dirección IP como 93.184.216.34. Sin DNS, internet sería una guía telefónica llena de números que nadie recuerda.
Durante décadas, las consultas DNS se enviaron en texto plano por el puerto UDP 53, completamente sin cifrar. Cualquiera que vigilara tu red (tu ISP, el administrador del Wi-Fi de la cafetería, una agencia gubernamental) podía leer cada dominio que consultabas.
El DNS cifrado se diseñó para resolver ese problema concreto.
¿Qué es el DNS cifrado?
«DNS cifrado» es un término paraguas que cubre tres protocolos modernos de transporte:
| Protocolo | Nombre completo | Puerto | Transporte |
|---|---|---|---|
| DoH | DNS over HTTPS | 443 | TCP/HTTPS |
| DoT | DNS over TLS | 853 | TCP/TLS |
| DoQ | DNS over QUIC | 853 | UDP/QUIC |
Los tres envuelven tus consultas DNS en un túnel cifrado entre tu dispositivo y el resolver. Grandes proveedores como Cloudflare (1.1.1.1), Google (8.8.8.8), Quad9 y NextDNS los soportan. La mayoría de navegadores modernos (Firefox, Chrome, Edge, Safari) y sistemas operativos (Windows 11, macOS, iOS, Android) permiten activar el DNS cifrado en pocos clics.
El DNS cifrado resuelve el problema del DNS en texto plano. No resuelve el problema mayor de la vigilancia de red.
Lo que el DNS cifrado realmente oculta
Démosle el crédito que merece. Al activar DoH o DoT, lo siguiente queda invisible para tu ISP y para cualquier observador local:
- La consulta DNS en sí — el nombre
example.comya no se envía en texto plano - La respuesta DNS — la IP devuelta por el resolver también va cifrada
- El secuestro de DNS se complica — tu ISP ya no puede reescribir respuestas para redirigirte a otra página
Si vives en un sitio con censura basada en DNS agresiva, el DNS cifrado a veces puede saltarse los esquemas de bloqueo más sencillos. Es un beneficio real.
Pero ojo: ocultar la consulta DNS es solo una pequeña parte del cuadro completo de privacidad.
Lo que el DNS cifrado no oculta
Aquí es donde se rompe el modelo mental de casi todo el mundo. Después de que tu dispositivo resuelve example.com a 93.184.216.34, tiene que conectarse de verdad a esa IP para cargar el sitio. Esa conexión es la parte que le interesa a tu ISP, y el DNS cifrado no hace absolutamente nada para ocultarla.
Quedan tres grandes fugas abiertas de par en par:
1. La dirección IP de destino
Cada paquete que envías lleva una IP de destino en la cabecera. Los routers, incluido el de tu ISP, leen esa IP para reenviar el paquete. No hay forma de ocultársela al ISP sin poner otra capa de red por encima (una VPN, Tor o un proxy).
Una vez que tu ISP ve que te conectas a un bloque de IP de Netflix, a uno de Google o al CDN de un sitio para adultos conocido, no necesita el DNS para hacerse una idea de adónde vas.
2. El campo SNI de TLS
Cuando tu navegador abre una conexión HTTPS, el primer mensaje — el TLS ClientHello — contiene un campo llamado SNI (Server Name Indication). El SNI le dice al servidor qué sitio quieres, porque una sola IP suele alojar miles de sitios detrás de un CDN.
¿El problema? El SNI viaja en texto plano. Aunque todo lo posterior al handshake está cifrado, el nombre del host vuela por el cable a la vista. Tu ISP lo lee con la misma facilidad que una postal.
Esta es la principal razón por la que el DNS cifrado no oculta tu navegación. Como dijo Bombal en su demostración de abril: «Que tu DNS esté cifrado no significa que tu ISP — u otra persona escuchando la red — no pueda ver a qué sitio vas.»
3. Patrones y tiempos del tráfico
Aunque el dominio se oculte de algún modo, el tamaño, el tiempo y la frecuencia de los paquetes filtran una cantidad sorprendente de información. Investigadores han demostrado que con solo metadatos de paquetes, un observador puede identificar vídeos concretos de YouTube, saber qué servicio de streaming usas e incluso adivinar qué página estás leyendo.
¿Y ECH? ¿No arregla el SNI?
Buena pregunta — y es la pregunta correcta. Encrypted Client Hello (ECH) es el sucesor de la antigua propuesta ESNI. Cifra el ClientHello completo, incluido el campo SNI, así que el nombre del host ya no se filtra al inicio del handshake TLS.
ECH es realmente el arreglo más limpio del problema del SNI. La pega es la adopción:
- ECH solo funciona si ambas partes — el cliente (navegador) y el servidor (o su CDN) — lo soportan
- En la práctica, en 2026 la mayor parte del tráfico con ECH habilitado pasa por Cloudflare, un único CDN
- Muchos sitios grandes (bancos, aerolíneas, organismos públicos, servicios regionales) no están detrás de un CDN compatible con ECH
- Algunas redes bloquean activamente los ClientHello marcados con ECH para forzar un retroceso
En el experimento de Bombal, el SNI delató el dominio destino en casi todos los sitios probados, salvo raras excepciones de sitios con Cloudflare que tenían ECH activado. La tecnología es real, pero todavía no es una respuesta completa.
DNS cifrado vs VPN: la comparación real
Así se enfrentan ambas tecnologías a las amenazas que más le importan a la mayoría de usuarios:
| Lo que ve un observador | Solo DNS cifrado | VPN |
|---|---|---|
| Consultas DNS en texto plano | Ocultas | Ocultas |
| Dirección IP de destino | Visible | Oculta (solo ve la IP del servidor VPN) |
| SNI / nombre del host TLS | Visible | Oculto (dentro del túnel) |
| Tiempo y volumen de conexiones a un sitio concreto | Visible | Difuso (mezclado con otro tráfico VPN) |
| A quién puede vender tu ISP tus datos de navegación | A ti | Al proveedor VPN, si registra (con un VPN sin logs, a nadie) |
| Acceso a contenido geo-restringido | Sin cambios | Saltado vía servidor en otra región |
| Espionaje en Wi-Fi pública | Parcial | Cifrado completo de extremo a extremo |
Una VPN funciona en una capa fundamentalmente más baja que el DNS. Construye un túnel cifrado desde tu dispositivo hasta un servidor VPN, y todos los paquetes — consultas DNS, enrutamiento IP, handshakes TLS, SNI, patrones de tráfico — viajan por ese túnel. Tu ISP solo ve un único flujo cifrado a un punto VPN. No puede leerlo, no puede distinguir destinos individuales y no puede vender lo que no tiene.
Por qué «yo solo uso DoH» no basta
Repasemos los escenarios en los que la gente suele suponer que el DNS cifrado la protege, y veamos qué pasa de verdad:
En el Wi-Fi de casa. Tu ISP sigue viendo cada IP y SNI a los que te conectas. Puede construir un perfil completo de navegación y, en muchos países, venderlo o compartirlo.
En Wi-Fi pública. Quien gestione el punto de acceso — o un atacante en la misma red — lee tu SNI en texto plano. Aprende cada sitio que visitas, aunque tu DNS esté cifrado contra Cloudflare.
En una red corporativa o de hotel. El administrador ve todos tus destinos y suele registrarlos activamente. Algunas redes bloquean resolvers DoH conocidos para forzarte a volver al DNS en claro.
Bajo vigilancia o censura estatal. La inspección de SNI es una de las técnicas de filtrado más baratas y desplegadas del mundo. El DNS cifrado por sí solo no la salta.
En ninguno de estos casos el DoH cambia significativamente lo que un observador puede aprender sobre ti.
La pila correcta: DNS cifrado y VPN
No es una elección entre uno u otro. La configuración más fuerte combina las dos:
- Una VPN lleva el 100 % de tu tráfico — DNS, IP, SNI, todo — por un túnel cifrado, ocultándolo a tu ISP y a la red local.
- DNS cifrado dentro de la VPN asegura que tus consultas DNS también queden protegidas frente a los resolvers superiores del proveedor VPN, y reduce el fingerprinting si la VPN cae brevemente.
- ECH cuando esté disponible añade una capa más para los sitios que lo soporten — útil, pero no sustituye al túnel.
Una VPN de confianza también gestiona el DNS automáticamente: al conectarte, todo el tráfico DNS debe enrutarse por los resolvers propios de la VPN (o por el proveedor de DNS cifrado que elijas) dentro del túnel, con protección contra fugas DNS que garantice que ninguna consulta se escape al resolver de tu ISP.
Cómo verificar que tu configuración no filtra
Antes de confiar en todo esto, pruébalo:
- Conéctate a tu VPN.
- Visita dnsleaktest.com y ejecuta el test extendido. Deberías ver el resolver de tu proveedor VPN, no el de tu ISP.
- Visita browserleaks.com/ip y confirma que tu IP pública coincide con el servidor VPN, no con tu dirección real.
- Opcionalmente, usa browserleaks.com/tls para ver cómo se ve tu TLS ClientHello (incluido el soporte de SNI/ECH) desde un servidor.
Si alguno de estos tests muestra tu ISP real, tu IP real o tu ubicación real, tu configuración está filtrando. Los buenos clientes VPN lo arreglan automáticamente con Kill Switch y protección contra fugas DNS integrada — pero merece la pena verificarlo una vez tú mismo.
Conclusión
El DNS cifrado es una mejora real frente al DNS en claro, y deberías activarlo. Pero resuelve un problema concreto: ocultar el texto literal de tus consultas DNS frente a quien escuche el cable.
No oculta:
- Las direcciones IP a las que te conectas
- Los nombres de host expuestos en campos SNI sin cifrar
- Los patrones y metadatos de tu tráfico
- Nada frente a un ISP, administrador de red o vigilante decidido
Si tu objetivo es privacidad real de navegación — mantener fuera de tu actividad a tu ISP, a operadores de Wi-Fi pública y a curiosos casuales — necesitas una VPN. El DNS cifrado es un complemento útil encima, no un sustituto.
Cómo Mosaic VPN protege tu navegación
Mosaic VPN está diseñado pensando en estas realidades:
- Cifrado AES-256 que envuelve cada paquete — DNS, SNI y todo lo demás — en un túnel cifrado de baja sobrecarga que tu ISP y tu red local simplemente no pueden leer
- Protección integrada contra fugas DNS que enruta cada consulta por el túnel, sin que ninguna escape al resolver de tu ISP
- Un Kill Switch fiable que corta tu internet al instante si el túnel cae, evitando esa breve ventana en claro que expondría tu tráfico
- Política estricta sin registros que significa que no hay historial de navegación que pueda ser citado, vendido o filtrado
- Una red global de servidores que te permite salir por la región que elijas, neutralizando el rastreo por IP y desbloqueando contenido geo-restringido
El DNS cifrado es un buen primer paso. Combinado con Mosaic VPN, esa rendija que tu ISP estaba aprovechando en silencio queda por fin cerrada.
Etiquetas