DNS personalizados: ventajas, riesgos y cómo elegirlos bien

  • El servidor DNS influye directamente en tu privacidad, seguridad y velocidad de navegación.
  • Los DNS personalizados permiten bloquear amenazas y publicidad, pero exigen más responsabilidad y buena configuración.
  • Elegir proveedores fiables y aplicar medidas como DNSSEC y cifrado reduce riesgos de suplantación y envenenamiento de caché.
  • DNS públicos, privados y de la VPN ofrecen distintos niveles de control; conviene valorar a quién confías tus consultas.
Daniel Terrasa

12 minutos

DNS personalizados ventajas y riesgos

Si utilizas una VPN (consulta nuestro soporte técnico VPN en Windows) o sueles trastear con la configuración de red, seguro que has visto opciones como DNS propios del proveedor, resolución integrada, DNS públicos de Google o Cloudflare, Handshake o DNS personalizados tipo Pi-hole. A simple vista parece un ajuste más, pero la elección del servidor DNS tiene un impacto serio en tu privacidad, seguridad, rendimiento e incluso en qué webs puedes visitar.

En el día a día solemos dejar la configuración tal cual viene: DNS del ISP o del proveedor de VPN y a correr. Sin embargo, cambiar a DNS personalizados (por ejemplo, montar un Pi-hole en casa o usar un servicio como Control D) puede darte mucho más control sobre tu navegación, a costa de asumir ciertos riesgos y responsabilidades. Merece la pena entender bien qué hace el DNS y qué ventajas y desventajas tiene cada alternativa.

Qué es el DNS y por qué es tan importante

El Sistema de Nombres de Dominio (DNS) es el “listín telefónico” de Internet. Traduce direcciones legibles para humanos (como xataka.com o kaspersky.com) a direcciones IP numéricas que los ordenadores sí entienden. Sin esta traducción automática no podrías navegar escribiendo nombres de dominio, tendrías que recordar números largos para cada web.

Normalmente tu proveedor de Internet (ISP) te entrega un router con unos servidores DNS preconfigurados que controla la propia operadora. Cada vez que escribes una dirección web, tu dispositivo pregunta a esos DNS qué IP corresponde. Esto no solo es clave para que la web cargue, también determina quién ve tus consultas y quién puede bloquear o manipular esas peticiones.

El proceso de resolución de nombres implica varios tipos de servidores: un solucionador recursivo que recibe tu consulta, los servidores raíz, los servidores de dominio de primer nivel (TLD, como .com o .net) y los servidores autoritativos del dominio que finalmente devuelven la IP correcta. En muchos casos, parte de esta información se almacena en caché para acelerar futuras consultas.

Cuando introduces un dominio en el navegador, primero el sistema intenta resolverlo desde cachés locales (ordenador, sistema operativo, resolver). Si no está, la consulta viaja al solucionador recursivo, luego a los servidores raíz, después a los servidores TLD y, por último, a los autoritativos que devuelven la dirección IP definitiva. Todo esto ocurre en milisegundos, pero cada salto es una posible superficie de ataque o punto de control.

Un detalle crítico es que, por defecto, el DNS tradicional no incorpora cifrado. Eso quiere decir que tanto tu ISP como cualquier intermediario con acceso al tráfico pueden ver qué dominios consultas, aunque no puedan ver exactamente el contenido de las páginas si usas HTTPS. Este diseño facilita la censura, el rastreo y ciertos ataques si el sistema no está bien protegido.

Servidor DNS y privacidad

Qué sabe de ti quien controla el DNS

Cada petición DNS que haces va dejando un rastro. El dueño del servidor DNS puede ver desde qué IP preguntas y a qué dominios intentas acceder. Con ese simple par de datos (IP + dominio + momento) ya se puede construir un perfil muy afinado de tus hábitos de navegación.

Servicios como Google Public DNS lo dicen abiertamente: guardan temporalmente tu dirección IP (por ejemplo, 24-48 horas) y almacenan de forma permanente otros datos “anonimizados” de uso. Con eso pueden hacer estadísticas, mejorar el servicio… y, en el caso de empresas basadas en publicidad, enriquecer su segmentación aunque prometan no asociarlo directamente a tu persona.

Los DNS de terceros más centrados en privacidad, como Cloudflare o Quad9, se publicitan asegurando que no registran tu IP de forma permanente, reducen los logs y no venden datos a anunciantes. Pero conviene recordar que técnicamente tienen el mismo poder que cualquier otro servidor DNS para ver tus consultas: la confianza depende de su política, transparencia y auditorías independientes.

Además, el DNS es un punto habitual de control para gobiernos y operadoras. Muchos bloqueos de webs se aplican sencillamente negando la resolución de determinados dominios en los DNS oficiales del país o de la compañía. Cambiando de DNS, a menudo puedes esquivar esta censura básica, aunque en entornos muy restrictivos pueden combinarse otras técnicas de bloqueo.

Es fundamental entender que usar DNS alternativos no oculta tu IP ni sustituye a una VPN. Una DNS pública gratuita no funciona como red privada virtual: la web a la que entras seguirá viendo tu dirección IP real y tu ISP podrá seguir viendo a qué IPs te conectas, aunque no vea tan claramente el dominio si usas ciertas tecnologías modernas. El DNS es una capa de privacidad y seguridad, pero no es la solución total.

DNS del ISP, de la VPN o personalizados: opciones típicas

En muchos proveedores de VPN se ofrecen varias configuraciones DNS: usar su propio DNS, un resolver integrado, Handshake, mantener los DNS externos (Google, Cloudflare, etc.) o definir DNS personalizados, como un Pi-hole casero. Cada opción tiene implicaciones distintas.

Cuando dejas la configuración en “el suyo propio”, todo tu tráfico DNS se resuelve a través de servidores controlados por esa VPN. Esto tiene la ventaja de que las consultas viajan dentro del túnel cifrado, ocultando las peticiones DNS al ISP y reduciendo fugas de DNS, pero depositas toda tu confianza en el proveedor de VPN, que puede ver a qué dominios accedes mientras tengas la VPN activa.

Si decides usar DNS externos como Google (8.8.8.8), Cloudflare (1.1.1.1) u otros, puedes ganar velocidad y cierta protección extra según el servicio elegido. Sin embargo, sin VPN tus consultas seguirán saliendo en claro hacia esos resolvers, y estarás compartiendo tu historial de dominios con una gran empresa cuyos intereses pueden no coincidir con tu privacidad.

La opción “DNS existente” o “usar DNS del sistema” en la VPN mantiene los DNS que ya tenías configurados. Es cómoda, pero puede provocar fugas de DNS si el cliente VPN no fuerza el uso de resolvers propios ni cifra esas consultas. Es decir, puedes pensar que todo va por la VPN pero tus peticiones de dominios siguen yendo al ISP.

Los DNS personalizados (por ejemplo, apuntar a un Pi-hole o a un servidor propio en la nube) te dan el máximo control: tú decides qué se registra, qué se bloquea y cómo se filtra. Eso sí, pasas a ser responsable de su seguridad, disponibilidad y mantenimiento, y si lo expones en Internet sin cuidado puede convertirse en una puerta de entrada para ataques.

dns google

Ventajas de usar DNS personalizados (Pi-hole, Control D y compañía)

Montar un DNS personalizado, ya sea con un Pi-hole en tu red local, un servidor propio con DNSSEC o un servicio gestionado tipo Control D, aporta un buen puñado de ventajas frente a usar los DNS por defecto del ISP o incluso algunos públicos genéricos.

La primera gran ventaja es la capacidad de bloquear amenazas en el origen. Un DNS moderno con listas de bloqueo actualizadas puede impedir que tu dispositivo resuelva dominios asociados a malware, phishing, cryptojacking o publicidad maliciosa. Al no poder traducir el nombre de dominio “malo” a una IP, la conexión directamente no llega a producirse.

Este enfoque “preventivo” se adelanta a lo que haría un antivirus tradicional, que suele reaccionar cuando la amenaza ya está en marcha en tu sistema. Con un DNS filtrante, simplemente nunca llegas a contactar con los dominios peligrosos conocidos, lo que reduce mucho el riesgo para equipos domésticos y, sobre todo, para redes de empresa con muchos usuarios.

En segundo lugar, usar un DNS personalizado bien optimizado puede mejorar el rendimiento. Al bloquear anuncios, rastreadores y recursos superfluos (y, por ejemplo, eliminar anuncios en tu Smart TV), las páginas cargan más rápido, se reduce el número de peticiones externas y baja el consumo de ancho de banda. En conexiones modestas o redes con muchos dispositivos conectados, la diferencia puede ser muy notable.

Otra ventaja clave es el refuerzo de la privacidad (consulta nuestros consejos esenciales de privacidad en línea). Soluciones como Pi-hole o servicios centrados en privacidad pueden impedir que trackers y empresas de publicidad recojan tu actividad de navegación a través de scripts y dominios de seguimiento. Aunque no es una panacea, sí reduce bastante el “chivatazo” constante hacia decenas de redes publicitarias cuando navegas.

Por último, muchos DNS personalizados como Control D ofrecen una configuración relativamente sencilla, con plantillas de filtrado (por ejemplo, bloquear adultos, juegos, redes sociales, etc.) y opciones para integrar el servicio en grandes despliegues mediante RMM o MDM en empresas. Esto simplifica llevar esa capa de seguridad y control a decenas o cientos de dispositivos.

Riesgos y desventajas de los DNS personalizados

La otra cara de la moneda es que un DNS personalizado también introduce nuevos puntos de fallo y responsabilidades. El primero es evidente: si tu servidor DNS se cae, se satura o lo configuras mal, puedes dejar sin Internet aparente a toda tu red, porque las webs dejarán de resolverse aunque tu conexión funcione.

Si confías en un servidor DNS desconocido o de dudosa reputación, el riesgo se multiplica. Un DNS malicioso o comprometido puede manipular tus peticiones para llevarte a webs falsas (phishing), instalar malware o interceptar información sensible. El envenenamiento de caché de DNS o el secuestro de servidores DNS son técnicas bastante utilizadas por los atacantes para redirigir tráfico a sitios controlados por ellos.

Además, un DNS personalizado puede no tener las mismas medidas de protección frente a ataques DDoS o de infraestructura que los grandes proveedores. Un ataque de denegación de servicio contra tu resolver puede tumbar la resolución de nombres para todos los usuarios que dependen de él. Por eso, si montas tu propio DNS para una empresa o servicio crítico, conviene desplegarlo con redundancia y en una red robusta.

Otro punto delicado es que, si no aplicas medidas como DNSSEC o configuraciones seguras, tu servidor puede ser vulnerable a ataques de intoxicación de caché. En estos casos, un delincuente convence al resolver de que cierto dominio legítimo apunta en realidad a la IP de un servidor fraudulento. A partir de entonces, todos los usuarios que pregunten recibirán la dirección manipulada hasta que la caché se vacíe.

Finalmente, un DNS muy agresivo filtrando anuncios, rastreadores o categorías de contenido puede causar falsos positivos y romper funcionalidades legítimas: webs que no cargan correctamente, servicios que dejan de funcionar o actualizaciones de seguridad que nunca llegan porque sus dominios están bloqueados. Ajustar bien las listas y revisar los logs es obligado.

dns personalizados: ventajas y riesgos

Amenazas específicas relacionadas con DNS y cómo mitigarlas

La infraestructura DNS, por ser tan crítica, es objetivo de diversos ataques. Estos son los más habituales:

  • Ataques DDoS (denegación de servicio distribuida) contra servidores DNS de un sitio o de un proveedor. Al bombardear el servidor con tráfico malicioso, saturan sus recursos y las peticiones legítimas dejan de ser atendidas, provocando que las webs “desaparezcan” de Internet mientras dura el ataque.
  • Typosquatting. Consiste en registrar dominios casi idénticos a los de marcas conocidas, aprovechando errores tipográficos de los usuarios. Un DNS no filtrante te llevará a esos dominios falsos si los escribes mal, y desde ahí pueden montarte ataques de phishing o robo de credenciales de forma muy convincente.
  • Secuestro de registros de dominio. Si un atacante compromete la cuenta del registrador que usas para tu dominio, puede cambiar los registros DNS y apuntarlos a servidores que él controle, alterando incluso la propiedad efectiva del dominio. Para reducir este riesgo es fundamental usar contraseñas robustas, autenticación de dos factores y registradores con buenas medidas de seguridad.
  • Envenenamiento de caché de DNS van un paso más allá. El delincuente introduce en la caché del servidor DNS datos falsos para determinados dominios, de modo que futuras consultas de usuarios inocentes se resuelven con la IP fraudulenta. Como el navegador confía en la respuesta del DNS, el usuario puede acabar en una copia falsa de su banco o en un sitio cargado de malware sin darse cuenta.

Para mitigar estos riesgos, es recomendable usar DNSSEC (extensiones de seguridad para DNS), que añaden firmas criptográficas a las respuestas de DNS para garantizar que los datos no han sido manipulados. Complementar esto con cifrado en las comunicaciones (DoT, DoH, VPN) y políticas estrictas de acceso al servidor DNS reduce mucho las posibilidades de secuestro o envenenamiento.

Servidores DNS públicos y privados más habituales

Además de los DNS del ISP o de tu VPN, tienes un amplio catálogo de servidores DNS libres y gratuitos que puedes configurar manualmente en tu router, PC o móvil. Algunos de los más conocidos son:

  • OpenDNS (208.67.222.222 y 208.67.220.220). Uno de los servicios públicos más veteranos, ahora propiedad de Cisco. Ofrece versiones de pago y una gratuita con buena velocidad, alta disponibilidad, bloqueo de webs de phishing por defecto y opciones de control parental.
  • Cloudflare (1.1.1.1 y 1.0.0.1). Centrado en rendimiento y privacidad. Promete no usar tus datos para publicidad y no escribir tu IP en disco. Suele ser muy rápido y sencillo de configurar, sin demasiados extras.
  • Google Public DNS (8.8.8.8 y 8.8.4.4). Diseñado para usuarios menos técnicos, con buena documentación. A cambio de esa facilidad de uso y rendimiento, conserva logs anonimizados de navegación y tu IP durante un tiempo limitado.
  • Comodo Secure DNS (8.26.56.26 y 8.20.247.20). Orientado a bloquear sitios peligrosos, spyware y dominios con publicidad excesiva, apoyándose en la experiencia de Comodo en el ámbito de la seguridad.
  • Quad9 (9.9.9.9 y 149.112.112.112). Relativamente joven, pero enfocado en bloquear dominios maliciosos usando inteligencia de amenazas de múltiples fuentes. Ofrece un buen equilibrio entre seguridad y rendimiento.
  • Yandex.DNS (77.88.8.8 y 77.88.8.1). Alternativa rusa, con perfiles básicos y variantes “Safe” (77.88.8.88 y 77.88.8.2) para bloquear webs peligrosas y “Family” (77.88.8.7 y 77.88.8.3) para filtrar contenido adulto.
  • Public DNS Server List. Base de datos enorme en la que puedes buscar servidores DNS gratuitos de todo el mundo, filtrando por país.

A la hora de elegir entre dejar los DNS de tu VPN, usar servidores públicos o montar tu propio Pi-hole, el factor clave es decidir a quién quieres otorgar la confianza para ver tus consultas de dominios y qué grado de control necesitas sobre filtrado, rendimiento y privacidad. Conociendo bien las ventajas y riesgos de cada opción, es mucho más fácil ajustar la configuración a tus prioridades sin llevarte sustos inesperados en seguridad o navegación.

eliminar anuncios smarttv
Artículo relacionado:
Guía para eliminar los anuncios de tu Smart TV