Tabla de contenidos
- Por qué DoH y DoT importan en 2026
- Cloudflare 1.1.1.1 — análisis en profundidad
- NextDNS — análisis en profundidad
- Quad9 — análisis en profundidad
- Resolver auto-alojado — análisis en profundidad
- Tabla comparativa: 5 opciones × 10 criterios
- Recomendaciones por perfil
Por qué DoH y DoT importan en 2026
El DNS fue diseñado en 1983 con un único requisito: la exactitud. La privacidad no estaba en la agenda. Cada consulta DNS que envías — el nombre de host de cada sitio que visitas, cada API que llamas, cada actualización que verifica tu teléfono — viaja en texto plano por defecto. Tu ISP puede leerlo. El operador de cualquier red WiFi pública puede leerlo. Cualquier estado que gestione un dispositivo de interceptación en una red de tránsito puede leerlo.
En 2026, esto no es una amenaza teórica. Los mandatos regulatorios de filtrado basado en DNS están activos en la UE, Reino Unido, Australia, India y docenas de otros países. Los ISP de varios países monetizan los registros de consultas DNS vendiéndolos a intermediarios de datos. La inyección de contenido por DPI — donde tu ISP reescribe respuestas DNS o inyecta contenido en conexiones HTTP — fue documentada en al menos 14 países en 2025. El DNS sin cifrar es simultáneamente la superficie de ataque más fácil en tu red y la que se deja sin corregir con mayor frecuencia.
Dos protocolos abordan este problema. El DNS-over-TLS (DoT) envuelve el DNS en una conexión TLS en el puerto 853. Cifra la consulta, pero como ese puerto es exclusivo del DoT, los operadores de red pueden identificar y bloquear el tráfico de forma trivial. El DNS-over-HTTPS (DoH) envía consultas DNS dentro del HTTPS estándar en el puerto 443, indistinguible para observadores pasivos del tráfico web ordinario. Esto hace que el DoH sea significativamente más difícil de censurar y eleva considerablemente el costo de la vigilancia.
Más allá de estos dos, el DNS-over-QUIC (DoQ) ejecuta semántica equivalente a DoH sobre el transporte QUIC, eliminando la sobrecarga del handshake TCP y mejorando la latencia en redes móviles. Cloudflare y unos pocos proveedores más soportan DoQ en 2026, pero el soporte a nivel de sistema operativo sigue siendo escaso.
Vale la pena nombrar explícitamente la evolución del modelo de amenaza desde 2020. Hace tres años, el principal argumento para el DNS cifrado era el registro por los ISP. Eso sigue siendo cierto, pero han emergido tres vectores adicionales:
Exposición al RGPD y protección de datos. En la UE, los registros de consultas conservados por un resolver constituyen datos personales según el Artículo 4(1). Si enrutas todo el DNS del hogar a través de un proveedor comercial con retención, estás creando una relación de responsable del tratamiento a la que la mayoría de los usuarios nunca han dado un consentimiento significativo.
MITM en WiFi público. Cafeterías, aeropuertos, hoteles y salas de conferencias realizan rutinariamente interceptación DNS. Con DNS sin cifrar, pueden redirigirte silenciosamente. El DoH elimina este vector de ataque porque el endpoint del resolver está verificado por certificado TLS.
Evasión de censura. Los bloqueos DNS impuestos por el Estado son la primera capa de infraestructura de censura en la mayoría de los países. Cifrar y tunelizar el DNS a través de un endpoint en el puerto 443 derrota esta capa sin requerir una VPN completa. Para usuarios en entornos de acceso restringido, el DoH suele ser la herramienta mínima viable de privacidad.
Las secciones siguientes evalúan las cuatro principales opciones disponibles en 2026: Cloudflare 1.1.1.1, NextDNS, Quad9 y los resolvers auto-alojados.
Cloudflare 1.1.1.1 — análisis en profundidad
Cloudflare lanzó 1.1.1.1 en abril de 2018 como resolver público orientado a la privacidad. En 2026, sigue siendo el resolver DNS público más rápido por latencia mediana global y el endpoint DoH más ampliamente desplegado en internet, integrado por defecto en Chrome en Android, varios firmwares de routers y la infraestructura iOS Private Relay.
Soporte de protocolos. 1.1.1.1 soporta DoH (RFC 8484), DoT (RFC 7858) y DoQ (RFC 9250). El endpoint DoH es https://cloudflare-dns.com/dns-query y https://1.1.1.1/dns-query. El servidor DoT es one.one.one.one en el puerto 853.
Postura de privacidad. Cloudflare publica un informe anual de privacidad auditado por KPMG. Compromisos clave: no vender datos de consultas DNS a terceros, no usar datos de 1.1.1.1 para dirigir anuncios, eliminación de registros de IPs completas en 25 horas. Metadatos del resolver stub (IPs truncadas, recuentos agregados de consultas) se conservan para métricas operativas. Cloudflare está incorporado en Estados Unidos, sujeto a NSLs y órdenes FISA Sección 702. Para modelos de amenaza que incluyen proceso legal del gobierno estadounidense, esto es una limitación real.
Variantes de filtrado. Cloudflare opera tres resolvers distintos. El 1.1.1.1 base no aplica filtrado. El 1.1.1.2 (Cloudflare Security) bloquea dominios maliciosos y de phishing conocidos. El 1.1.1.3 (Cloudflare Family) añade filtrado de contenido para adultos. Los equivalentes DoH usan subdominios: security.cloudflare-dns.com y family.cloudflare-dns.com.
Latencia. La red Anycast de Cloudflare cubre más de 300 puntos de presencia. La latencia mediana desde Europa occidental es de aproximadamente 5 a 12ms, la más baja de cualquier resolver público importante.
Historial de auditorías. Se han publicado tres auditorías de KPMG (2019, 2021, 2023), confirmando el cumplimiento de las prácticas de datos declaradas.
Veredicto. Cloudflare 1.1.1.1 es la elección correcta para usuarios que priorizan la latencia y el soporte multiplataforma, y cuyo modelo de amenaza no incluye específicamente el proceso legal estadounidense.
NextDNS — análisis en profundidad
NextDNS fue lanzado en 2019 como resolver público configurable. Su diferenciador principal es la personalización por cuenta: listas de bloqueo, listas blancas, analíticas, controles parentales y políticas por dispositivo. En 2026, NextDNS tiene aproximadamente 2 millones de usuarios activos y procesa más de 200 mil millones de consultas al mes.
Soporte de protocolos. NextDNS soporta DoH, DoT, DoQ y DNSCrypt. Cada cuenta obtiene un endpoint de resolver único (https://dns.nextdns.io/XXXXXX) que permite la aplicación de políticas por cuenta.
Postura de privacidad. NextDNS está incorporado en Delaware (EE.UU.). El modelo de privacidad se basa en analíticas opt-in: por defecto, el registro de consultas está desactivado. Si activas los registros, eliges el período de retención. NextDNS declara no vender datos de consultas ni usarlos para publicidad. La jurisdicción estadounidense implica la misma advertencia NSL/FISA que Cloudflare. Para usuarios que desactivan completamente el registro, la exposición práctica es mínima.
Listas de bloqueo y personalización. NextDNS ofrece más de 40 listas de bloqueo curadas: redes publicitarias, rastreadores, malware, phishing, coinminers, contenido adulto, redes sociales, etc. Puedes combinarlas, añadir dominios personalizados y crear listas blancas por dispositivo. Este nivel de control no tiene equivalente en Cloudflare ni en Quad9.
Precios. Nivel gratuito: 300 000 consultas al mes, todas las funciones. El plan Pro cuesta $1,99/mes o $19,90/año, sin límite de consultas.
Rendimiento. NextDNS opera centros de datos en Europa y América del Norte, con una huella menor que Cloudflare. La latencia mediana desde Europa occidental es de aproximadamente 15 a 25ms.
Veredicto. NextDNS es la mejor elección para usuarios que quieren control profundo de filtrado, políticas por dispositivo y analíticas en tiempo real. La jurisdicción estadounidense y la red de PoPs más pequeña son las dos principales limitaciones frente a Quad9.
Quad9 — análisis en profundidad
Quad9 fue lanzado en noviembre de 2017. En 2020, trasladó su sede de San Francisco a Zúrich, Suiza, y se reestructuró como fundación suiza sin ánimo de lucro. Esta decisión fue deliberada: la ley suiza ofrece uno de los regímenes de protección de datos más sólidos para un resolver, sin obligación de retención de registros de consultas ni marco de vigilancia equivalente a la FISA Sección 702 estadounidense.
Soporte de protocolos. Quad9 soporta DoH (https://dns.quad9.net/dns-query), DoT (dns.quad9.net en el puerto 853) y DNSCrypt. El soporte DoQ está en desarrollo pero no disponible en producción a mediados de 2026.
Postura de privacidad. El compromiso central de Quad9 es no registrar las direcciones IP de los usuarios finales en producción. El contenido de las consultas (el nombre de host consultado) se usa de forma agregada para inteligencia de amenazas pero no se vincula a direcciones IP. Quad9 publica un informe de transparencia anual. Como fundación suiza, no está sujeto a NSLs estadounidenses ni a órdenes FISA.
Filtrado de malware. El feed de seguridad de Quad9 agrega inteligencia de amenazas de más de 25 socios incluyendo F-Secure, Secureworks, Abuse.ch y varios CERTs nacionales. El endpoint por defecto (9.9.9.9) bloquea dominios asociados con malware, ransomware, phishing e infraestructura C2 de botnets. Un endpoint sin filtrado está disponible en 9.9.9.10 para usuarios que quieren cifrado sin bloqueo.
Rendimiento. Quad9 opera aproximadamente 200 PoPs, principalmente en Europa y América del Norte. La latencia mediana desde Europa occidental es de 8 a 18ms.
Veredicto. Quad9 es la opción de resolver público más sólida para usuarios con un modelo de amenaza serio. Jurisdicción suiza, estructura sin ánimo de lucro, sin registro de IPs y filtrado robusto de malware lo convierten en la recomendación por defecto para usuarios que quieren un resolver gestionado sin auto-alojamiento.
Resolver auto-alojado — análisis en profundidad
Auto-alojar un resolver DNS elimina completamente el problema del registro por terceros. Ninguna entidad externa recibe tu registro de consultas. La contrapartida es la complejidad operativa.
Las cuatro opciones más prácticas en 2026 son:
Unbound. Resolver recursivo y validador mantenido por NLnet Labs. Unbound realiza validación DNSSEC completa y soporta DoT como forwarder upstream. No soporta nativamente el servidor DoH en el lado cliente pero se combina bien con un frontend DoH como dnsdist. Unbound es la elección de referencia para usuarios que quieren un resolver ligero y auditable.
AdGuard Home. Servidor DNS completo con interfaz web integrada, motor de bloqueo y políticas por cliente. AdGuard Home soporta DoH, DoT, DoQ y DNSCrypt tanto en el lado upstream como en el lado listener. La configuración lleva menos de 30 minutos en cualquier sistema Linux. AdGuard Home es de código abierto (GPL-3.0) y se mantiene activamente.
Pi-hole con proxy DoH. Pi-hole es el bloqueador DNS doméstico más conocido, orientado principalmente a anuncios y rastreadores. Por defecto no cifra las consultas upstream. Añadir dnscrypt-proxy o cloudflared como proxy DoH local proporciona el cifrado. Esta configuración de dos componentes funciona pero tiene más partes móviles que AdGuard Home.
dnscrypt-proxy. Proxy flexible y ligero que soporta DoH, DoT, DNSCrypt y DNSCrypt anonimizado (enrutamiento de consultas a través de un relay para ocultar el resolver a la IP de origen). dnscrypt-proxy es la herramienta adecuada para usuarios que quieren máxima flexibilidad de protocolos o enrutamiento anonimizado.
Consideraciones de despliegue. Para uso doméstico, una Raspberry Pi 4 ejecutando AdGuard Home gestiona el tráfico del hogar con menos del 5% de carga de CPU. Para un equipo pequeño o una oficina, un VPS a $6/mes es suficiente. El principal riesgo operativo es la disponibilidad: si tu resolver cae y lo tienes configurado como único servidor de nombres, la resolución DNS falla para todos los dispositivos. Configurar un upstream de respaldo — idealmente Quad9 u otro resolver sin registro — mitiga este riesgo.
Veredicto. El auto-alojamiento es la opción de máxima privacidad y vale el esfuerzo de configuración para usuarios avanzados, familias conscientes de su privacidad y equipos pequeños. AdGuard Home es el punto de partida recomendado para la mayoría de los usuarios.
Tabla comparativa: 5 opciones × 10 criterios
| Criterio | Cloudflare 1.1.1.1 | NextDNS | Quad9 | Auto-alojado (AdGuard Home) | Auto-alojado (Unbound) |
|---|---|---|---|---|---|
| Jurisdicción | EE.UU. | EE.UU. | Suiza | Tú | Tú |
| Protocolos de cifrado | DoH, DoT, DoQ | DoH, DoT, DoQ, DNSCrypt | DoH, DoT, DNSCrypt | DoH, DoT, DoQ, DNSCrypt | DoT (upstream), DoH via proxy |
| Filtro de malware | Opcional (1.1.1.2) | Sí (configurable) | Sí (por defecto) | Sí (listas de bloqueo) | No (vía RPZ) |
| Listas de bloqueo custom | No | Sí (40+ curadas + custom) | No | Sí (extensas) | Sí (RPZ/zonas locales) |
| Analíticas de consultas | No | Opcional (opt-in) | No | Sí (solo local) | No |
| Auditoría independiente | Sí (KPMG anual) | No | Sí (transparencia anual) | N/A | N/A |
| Precio | Gratis | Gratis / $1,99/mes | Gratis | Gratis (costo de hardware) | Gratis (costo de hardware) |
| Latencia Europa/EE.UU. | ~10ms / ~5ms | ~20ms / ~10ms | ~13ms / ~8ms | <5ms (local) | <5ms (local) |
| Evasión de censura | Buena | Buena | Buena | Excelente | Excelente |
| Auto-alojamiento posible | No | No | No | Sí | Sí |
Recomendaciones por perfil
Usuario avanzado doméstico. Despliega AdGuard Home en una Raspberry Pi o mini PC. Configura Quad9 DoH como resolver upstream. Obtienes control local de listas de bloqueo, cero registro externo de consultas, upstream de jurisdicción suiza y protección contra malware. La configuración lleva dos horas; el mantenimiento es menor de 30 minutos al mes.
Desarrollador con VPN. Usa NextDNS con el registro desactivado. El sistema de políticas por dispositivo te permite activar o desactivar el bloqueo por entorno. El endpoint DoH se integra limpiamente en configuraciones VPN de túnel dividido. Si tu proveedor de VPN ofrece su propio resolver cifrado, prefiérelo — reduce el número de entidades que pueden correlacionar tus consultas.
Familia con niños. NextDNS Pro con los stacks Threat Intelligence + Native Tracking Protection + Controles parentales activados. El sistema de políticas por dispositivo permite reglas más estrictas para los dispositivos de los niños sin afectar los de los adultos. Activa el registro durante una semana para ajustar las listas, luego configura la retención a una hora o desactívala.
Perfil paranóico o corporativo. Unbound auto-alojado en un VPS reforzado en una jurisdicción que controles, con validación DNSSEC activada, sin registro del forwarder, y enrutamiento anonimizado dnscrypt-proxy para el paso recursivo. Combinar con un firewall de red que bloquee todo UDP/53 y TCP/853 saliente excepto a través de tu stack controlado.
Para todos los perfiles: independientemente del resolver que elijas, aplica también el DNS cifrado a nivel del sistema operativo o del router en lugar de depender únicamente del DoH a nivel del navegador. El DoH del navegador crea una división donde algunas aplicaciones usan tu resolver configurado y otras usan el endpoint propio del navegador. La configuración a nivel de sistema cierra esta brecha.
Recursos internos: Estado de la privacidad de los navegadores 2026 cubre el fingerprinting, la identidad TLS y el endurecimiento a nivel de SO que complementan el cifrado DNS. Modo de aislamiento iOS y rendimiento JSC examina las compensaciones del modo de aislamiento máximo en dispositivos Apple.
