¿DoH es lo mismo que una VPN?

No. DoH solo cifra tus consultas DNS, es decir, las búsquedas de nombres de dominio. Una VPN cifra todo tu tráfico de internet y oculta tu dirección IP. DoH puede complementar a una VPN, pero no la reemplaza.

¿Puede mi ISP seguir viéndome si uso DoH?

Tu ISP ya no puede ver fácilmente los nombres de dominio que buscas, pero aún puede ver las direcciones IP a las que te conectas. Para ocultar tanto los dominios como las direcciones IP, necesitas una VPN además de DoH.

¿Cómo activo DoH en mi navegador?

En Firefox, ve a Configuración > Privacidad y seguridad > DNS seguro. En Chrome, ve a Configuración > Privacidad y seguridad > Seguridad > Usar DNS seguro. Ambos navegadores te permiten elegir entre distintos proveedores de DoH o ingresar uno personalizado.

¿DoH puede evitar todos los bloqueos de DNS?

DoH puede eludir bloqueos de DNS básicos porque cifra las consultas y las envía a servidores externos. Sin embargo, los censores o administradores de red pueden bloquear DoH directamente restringiendo el acceso a servidores DoH conocidos por su dirección IP, lo que limita su efectividad en entornos con bloqueos más estrictos.

DNS over HTTPS (DoH)

DNS over HTTPS (DoH): Qué es y por qué es importante

Cada vez que escribes una dirección web en tu navegador, tu dispositivo envía una pregunta: "¿Cuál es la dirección IP de este dominio?" Esa pregunta se llama consulta DNS y, durante décadas, viajó por internet en texto plano, completamente expuesta a cualquiera que estuviera monitoreando la red. DNS over HTTPS (DoH) fue creado para solucionar ese problema.

Qué es

DNS over HTTPS es un protocolo que envuelve tus consultas DNS dentro de tráfico HTTPS cifrado, el mismo tipo de cifrado que se usa cuando inicias sesión en tu banco o realizas compras en línea. En lugar de que tus solicitudes DNS viajen de forma abierta, se agrupan dentro de conexiones HTTPS seguras y se envían a un servidor DNS compatible con DoH. Para un observador externo, el tráfico parece una navegación web normal.

DoH fue estandarizado por el Internet Engineering Task Force (IETF) en el RFC 8484 en 2018 y, desde entonces, ha sido integrado en los principales navegadores como Firefox, Chrome y Edge, así como en sistemas operativos como Windows 11 y Android.

Cómo funciona

Este es el flujo básico:

Escribes `example.com` en tu navegador.
En lugar de enviar una solicitud UDP en texto plano al servidor DNS de tu ISP por el puerto 53, tu dispositivo envía una solicitud HTTPS cifrada a un servidor DoH (como el `1.1.1.1` de Cloudflare o el `8.8.8.8` de Google) por el puerto 443.
El servidor busca la dirección IP y devuelve la respuesta, también cifrada mediante HTTPS.
Tu navegador se conecta al sitio web.

Dado que la consulta utiliza el puerto 443 (el puerto estándar de HTTPS), se mezcla con el tráfico web normal. Un observador pasivo en tu red, ya sea tu ISP, un administrador de red o alguien que opera un punto de acceso Wi-Fi fraudulento, no puede distinguir fácilmente tus consultas DNS del resto del tráfico HTTPS.

Por qué es importante para los usuarios de VPN

Puede que te preguntes: si ya uso una VPN, ¿necesito DoH? Es una pregunta válida, y la respuesta depende de tu configuración.

Sin una VPN, DoH representa una mejora significativa para la privacidad. Tu ISP ya no puede registrar fácilmente cada dominio que visitas. Esto es especialmente relevante dado que en muchos países los ISP tienen permitido, o incluso la obligación, de recopilar y vender datos de navegación.

Con una VPN, tus consultas DNS ya deberían enrutarse a través del túnel VPN y resolverse mediante los servidores DNS del propio proveedor. Sin embargo, si la conexión VPN se interrumpe o está mal configurada, puede producirse una filtración de DNS: tu dispositivo vuelve a enviar consultas DNS fuera del túnel, exponiendo tu actividad. Usar DoH junto con una VPN (o elegir una VPN que implemente DoH internamente) añade una capa adicional de protección contra esas filtraciones.

También vale la pena señalar que DoH por sí solo no es un sustituto de una VPN. DoH únicamente cifra la fase de resolución del dominio. Tu dirección IP real sigue siendo visible para los sitios web que visitas, y tu ISP aún puede ver a qué direcciones IP te estás conectando, aunque no necesariamente qué nombres de dominio generaron esas conexiones.

Ejemplos prácticos y casos de uso

Wi-Fi público: Cuando te conectas a la red de una cafetería o un aeropuerto, DoH impide que el operador de la red registre tus consultas DNS o las redirija hacia un servidor manipulado.
Eludir censura básica: Algunos ISP bloquean sitios web interceptando consultas DNS. DoH puede sortear estos bloqueos a nivel DNS porque las consultas están cifradas y se envían a un servidor externo. (Nota: los censores más determinados aún pueden bloquear los servidores DoH por dirección IP.)
Protección a nivel de navegador: Firefox y Chrome permiten activar DoH directamente en la configuración, lo que proporciona DNS cifrado incluso cuando no estás usando una VPN.
Entornos empresariales: Los administradores de red suelen debatir sobre DoH porque puede eludir los controles DNS internos. Muchas organizaciones configuran DoH para enrutar el tráfico a través de servidores internos aprobados en lugar de servidores públicos.

DoH vs. DoT

DoH se compara frecuentemente con DNS over TLS (DoT), otro protocolo de cifrado de DNS. Ambos cifran el tráfico DNS, pero DoT utiliza un puerto dedicado (el 853) que los administradores de red pueden identificar y filtrar fácilmente. DoH se mezcla con el tráfico HTTPS normal, lo que dificulta su bloqueo; esto es tanto su punto fuerte en términos de privacidad como una preocupación desde el punto de vista del control de red.

DNS over HTTPS (DoH)Intermedio