Fugas de DNS: Causas y soluciones

Los navegadores usan el Sistema de nombres de dominio (DNS) para traducir entre las direcciones IP de Internet (números) y los nombres de dominio de los sitios web (palabras).

Cuando se escribe un nombre de dominio, se envía primero a un servidor DNS, donde se asocia el dominio con la dirección IP correspondiente para que la solicitud se reenvíe al equipo correcto.

Esto supone un problema grave para la privacidad, ya que el tráfico habitual de Internet debe pasar por un servidor DNS en el que se registran tanto el origen como el destino.

Ese servidor DNS suele pertenecer al ISP del usuario y está sometido a la jurisdicción de las leyes nacionales. Por ejemplo, en el Reino Unido la información en poder de los ISP debe entregarse a las fuerzas de seguridad cuando se lo requieran. En EE. UU. ocurre lo mismo, con el añadido de que el ISP puede vender los datos a empresas de marketing.

Aunque el contenido de las comunicaciones entre el ordenador del usuario y el sitio web de destino puede cifrarse con SSL/TLS (aparece como "https" en la URL), las direcciones de origen y destino no pueden cifrarse. Como resultado, cada sitio al que acceda será conocido por quien tenga acceso legal o ilícito a los registros DNS. Es decir, en circunstancias normales, un usuario no tiene privacidad sobre los sitios que visita en Internet.

Las VPN están diseñadas para resolver este problema creando una separación entre el ordenador del usuario y el sitio web de destino. Pero no siempre funcionan a la perfección. Una serie de circunstancias puede hacer que, en determinados casos, los datos DNS se filtren de nuevo al ISP y, por tanto, queden al alcance del gobierno y de las empresas de marketing.

A estos problemas se les conoce como fugas de DNS. A efectos de esta explicación, asumiremos, en general, que su VPN utiliza el protocolo VPN más común, OpenVPN.

¿Qué es una fuga de DNS?

Una VPN establece una conexión cifrada, normalmente llamada túnel, entre su ordenador y el servidor de la VPN. A continuación, el servidor de la VPN envía su solicitud al sitio web correspondiente. Siempre que la VPN funcione correctamente, lo único que verá su ISP es que usted se está conectando a una VPN; no podrá ver a qué sitios le conecta la VPN.

Los observadores en Internet, ya sean organismos públicos o delincuentes, no pueden ver el contenido porque está cifrado. Una fuga de DNS se produce cuando ocurre algo imprevisto y se omite o se ignora el servidor de la VPN. En ese caso, el operador del servidor DNS, a menudo su ISP, verá qué sitios visita mientras usted cree que no es así.

Esto es una mala noticia, ya que frustra el objetivo de usar una VPN. El contenido de su tráfico web sigue oculto por el cifrado de la VPN, pero lo más importante para el anonimato, su ubicación y sus hábitos de navegación, queda desprotegido y casi seguro registrado por su ISP.

¿Cuáles son los peligros de las fugas de DNS?

Las fugas de DNS no son algo que deba tomarse a la ligera. Son un fallo de seguridad crítico que puede suponer diversas amenazas para su privacidad en línea. Con las fugas de DNS:

Su ISP puede rastrear todo lo que hace en línea

Cuando se filtran las solicitudes DNS, su ISP puede ver cada sitio web que visita y registrar todo su historial de navegación. Sus maratones de Netflix, sus búsquedas en Google, sus inicios de sesión bancarios: todo puede quedar registrado y almacenado por su proveedor de Internet. Después, el ISP puede vender estos datos a anunciantes o compartirlos con agencias gubernamentales cuando se lo soliciten.

Los gobiernos pueden supervisar su actividad

En países donde el uso de Internet está fuertemente censurado o restringido, las fugas de DNS pueden ponerle en el punto de mira del gobierno. Estos fallos exponen a qué sitios intenta acceder y cuándo accede a ellos. Por ello, resulta fácil para las autoridades rastrear a las personas que intentan acceder a contenido prohibido en su región.

Los ciberdelincuentes pueden adaptar sus ataques a usted

Una fuga de DNS puede ser la puerta de entrada para que los ciberdelincuentes rastreen su actividad en línea. Los atacantes pueden ver los sitios web y servicios que utiliza habitualmente para crear campañas de phishing que parecen completamente legítimas. La próxima vez que haga clic en lo que parece un correo aparentemente rutinario de su banco, tenga en cuenta que una fuga de DNS podría ser la razón por la que sabían qué entidad suplantar.

Su ubicación real puede quedar expuesta

Las fugas de DNS exponen la dirección IP del servidor DNS que gestiona sus solicitudes, que por lo general pertenece a su ISP. Eso significa que cualquiera que vigile su actividad puede ver el país y la ciudad desde donde navega. Incluso si intenta ocultar su ubicación con una VPN, una fuga de DNS todavía puede revelar su IP real.

¿Cómo saber si mi VPN tiene una fuga de DNS?

Hay buenas y malas noticias para detectar una fuga de DNS. La buena noticia es que comprobar si su VPN está filtrando sus solicitudes DNS es rápido, fácil y sencillo; la mala noticia es que, si no lo comprueba, es poco probable que se entere de la fuga hasta que sea demasiado tarde.

Existen muchas herramientas en el navegador para probar si su VPN tiene una fuga de DNS u otra forma de fuga de datos, incluidas opciones completas como ipleak.net, dnsleaktest.com y browserleaks.com/dns. Estos sitios comprobarán automáticamente si hay una fuga de DNS y, de paso, proporcionarán mucha más información.

1. Escriba el sitio de prueba de fugas que haya elegido en la barra de direcciones de su navegador.
2. Una vez que cargue la página, la prueba comienza automáticamente y verá una dirección IP.
3. Si la dirección que aparece es su IP y muestra su ubicación, y está utilizando una VPN, significa que tiene una fuga de DNS. Si aparece la IP de su VPN, entonces funciona con normalidad.

Si es posible, conviene probar con varios comprobadores en línea, ya que distintas herramientas pueden detectar diferentes tipos de fugas.

La Figura 1 muestra ipleak.net utilizado con una VPN mal configurada. Devuelve la dirección IP correcta. Esto es una fuga de DNS.

Figura 1

La Figura 2 muestra ipleak utilizado con ExpressVPN configurado para usar un servidor belga (ExpressVPN le permite seleccionar entre una gama de diferentes países). No se aprecia ninguna fuga de DNS.

Figura 2

Para la mayoría de los usuarios, realizar esta comprobación antes de seguir navegando por otros sitios será suficiente. Para algunos usuarios, esta no será una solución perfecta, ya que requiere conectarse a Internet y enviar solicitudes DNS para acceder a las herramientas de verificación.

Es posible probar fugas de DNS y otras fugas sin utilizar uno de estos sitios web, aunque requiere que conozca su propia dirección IP y sepa cómo usar el símbolo del sistema de Windows. También requiere un servidor de prueba de confianza para hacer ping directamente; este podría ser un servidor privado que conozca y en el que confíe, o uno de los siguientes servidores de prueba públicos:

• whoami.akamai.net
• resolver.dnscrypt.org
• whoami.fluffcomputing.com
• whoami.ultradns.net

Para ello, abra el símbolo del sistema (vaya al menú Inicio, escriba "cmd" y pulse Intro) y, a continuación, introduzca el siguiente comando:

• ping [nombre del servidor] -n 1

Sustituya [nombre del servidor] por la dirección del servidor de prueba que haya elegido (por ejemplo, "ping whoami.akamai.net -n 1") y pulse Intro. Si alguna de las direcciones IP que aparecen en el resultado coincide con su IP real o local, es un indicio de que hay una fuga de DNS; solo debería aparecer la dirección IP de su VPN.

La Figura 3 muestra el resultado con ExpressVPN en ejecución. Fíjese en que la única dirección IP devuelta es la IP belga, tal y como se muestra en la Figura 2. No se aprecia ninguna fuga de DNS.

Figura 3

Si descubre que su VPN tiene una fuga de DNS, es hora de dejar de navegar hasta que pueda encontrar la causa y solucionar el problema. A continuación se enumeran algunas de las causas más probables de una fuga de DNS y sus soluciones.

Problemas y soluciones de fugas de DNS

El problema n.º 1: Red mal configurada

Esta es una de las causas más comunes de fugas de DNS para los usuarios que se conectan a Internet a través de diferentes redes; por ejemplo, alguien que cambia a menudo entre el router de casa, el wifi de una cafetería y puntos de acceso públicos. Antes de conectarse al túnel cifrado de su VPN, su dispositivo debe conectarse primero a la red local.

Sin la configuración adecuada, puede estar expuesto a fugas de datos. Al conectarse a una red nueva, la configuración DHCP (el protocolo que determina la dirección IP de su equipo dentro de la red) puede asignar automáticamente un servidor DNS para gestionar sus consultas: uno que puede pertenecer al ISP o uno que puede no estar debidamente protegido. Incluso si se conecta a su VPN en esa red, sus solicitudes DNS se saltarán el túnel cifrado, provocando una fuga de DNS.

La solución:

En la mayoría de los casos, configurar la VPN en su ordenador para usar el servidor DNS que proporcione o recomiende su proveedor de VPN hará que las solicitudes DNS pasen por la VPN, en lugar de salir directamente desde la red local.

La mayoría de los proveedores de VPN de renombre ya incluyen funciones integradas de protección contra fugas de DNS que redirigen automáticamente todo el tráfico DNS a través de sus servidores seguros. NordVPN, ExpressVPN y ProtonVPN son ejemplos de proveedores con sistemas sólidos de prevención de fugas de DNS para 2026.

Si su proveedor de VPN no incluye esta función, puede usar un servidor DNS independiente como Cloudflare (1.1.1.1) o Google Public DNS. Estos resolvedores DNS ofrecen mejores funciones de seguridad, como DNS sobre HTTPS (DoH) o DNS sobre TLS (DoT), que cifran sus solicitudes DNS para evitar interceptaciones y manipulaciones.

Si tiene que configurar manualmente su ordenador para usar un servidor DNS independiente, encontrará instrucciones paso a paso en la sección "Cambie la configuración a un servidor DNS independiente y de confianza" más abajo.

El problema n.º 2: IPv6

Por lo general, cuando piensa en una dirección IP, piensa en un código de 32 bits que consta de 4 grupos de hasta 3 dígitos, como 123.123.123.123 (como se ha descrito anteriormente). Esta es la versión 4 del protocolo IP (IPv4), actualmente la forma más común de dirección IP. Sin embargo, el conjunto de direcciones IPv4 disponibles se está agotando, e IPv4 está siendo reemplazado (muy lentamente) por IPv6.

Las direcciones IPv6 constan de 8 grupos de 4 caracteres, que pueden ser letras o números, como 2001:0db8:85a3:0000:0000:8a2e:0370:7334.

Internet sigue en fase de transición entre IPv4 e IPv6. Esto está creando muchos problemas, especialmente para las VPN. A menos que una VPN ofrezca compatibilidad explícita con IPv6, cualquier solicitud hacia o desde su equipo enviada a través de IPv6, o enviada mediante un túnel de doble pila para convertir IPv4 a IPv6 (véase Teredo más abajo), se saltará por completo el túnel de la VPN y dejará sus datos personales desprotegidos. En resumen, IPv6 puede interferir con su VPN sin que se dé cuenta.

La mayoría de los sitios web tienen direcciones IPv6 e IPv4, aunque un número significativo sigue siendo solo IPv4. También hay algunos sitios que son solo IPv6. Que sus solicitudes DNS sean para direcciones IPv4 o IPv6 dependerá, por lo general, de su ISP, de su equipo de red (como el router inalámbrico) y del sitio web concreto al que intente acceder (dado que la implantación de IPv6 aún es incompleta, no todos los usuarios podrán acceder a sitios web solo IPv6).

La mayoría de las consultas DNS seguirán siendo IPv4, pero muchos usuarios no sabrán si están realizando solicitudes IPv4 o IPv6 si tienen la posibilidad de hacer ambas.

La fuga de IPv6 no es estrictamente lo mismo que una fuga de DNS estándar, pero tiene prácticamente el mismo efecto sobre la privacidad. Es un problema del que cualquier usuario de VPN debería ser consciente.

La solución:

Desde 2025, muchos proveedores de VPN premium ofrecen compatibilidad total con IPv6, una mejora significativa frente a la situación de hace solo unos años. Si su proveedor de VPN no admite explícitamente IPv6, busque la opción de bloquear el tráfico IPv6 en la configuración de la VPN. La mayoría de las aplicaciones VPN modernas ya incluyen esta función para evitar fugas por IPv6.

Si su VPN no ofrece bloqueo de IPv6, puede desactivar IPv6 en su dispositivo. En Windows, puede hacerlo desde las propiedades del adaptador de red. En macOS y Linux, tendrá que usar comandos en Terminal para desactivar IPv6. Esta precaución garantiza que todo el tráfico, incluidas las solicitudes DNS, se mantenga en IPv4, que es el protocolo que su VPN puede proteger correctamente.

Para una seguridad máxima, considere usar un proveedor de VPN que haya abordado activamente los problemas de compatibilidad con IPv6. Según pruebas recientes, servicios como NordVPN, ExpressVPN, CyberGhost y Surfshark gestionan el tráfico IPv6 de forma segura, ya sea mediante compatibilidad nativa o con mecanismos de bloqueo adecuados.

El problema n.º 3: Proxies DNS transparentes

Algunos ISP han adoptado una política de imponer su propio servidor DNS si un usuario cambia la configuración para usar un servidor de terceros. Si se detectan cambios en la configuración DNS, el ISP usará un proxy transparente, un servidor independiente que intercepta y redirige el tráfico web, para asegurarse de que la solicitud DNS se envíe a su propio servidor DNS.

En la práctica, esto equivale a que el ISP fuerce una fuga de DNS e intente disfrazarla ante el usuario. La mayoría de las herramientas de detección de fugas de DNS podrán detectar un proxy DNS transparente igual que una fuga estándar.

La solución:

Los protocolos VPN modernos, como WireGuard y versiones actualizadas de OpenVPN, incluyen protecciones más sólidas contra proxies DNS transparentes. Si usa OpenVPN, asegúrese de que su configuración incluya la directiva "block-outside-dns", que evita que las solicitudes DNS salgan del túnel VPN.

Para añadir esta directiva, localice el archivo .conf o .ovpn de la conexión a su servidor (normalmente en C:\Program Files\OpenVPN\config en Windows), ábralo con un editor de texto como el Bloc de notas y añada la línea:

• block-outside-dns

Muchos proveedores de VPN premium incluyen protección integrada contra proxies DNS transparentes en sus aplicaciones. Algunas VPN, como ProtonVPN, aplican reglas de firewall personalizadas y técnicas específicas de la plataforma para garantizar que todo el tráfico de Internet, incluidas las consultas DNS, solo pueda pasar por la interfaz de la VPN.

Si su VPN ofrece una función de kill switch (interruptor de desconexión), asegúrese de que esté activada. Esto bloqueará todo el tráfico de Internet si la conexión VPN se cae, evitando que sus consultas DNS acaben por defecto en los servidores de su ISP.

El problema n.º 4: Funciones inseguras de Windows 10/11

Los sistemas operativos Windows, desde Windows 8 en adelante, han introducido varias funciones que, aunque están pensadas para mejorar la experiencia del usuario, pueden comprometer la seguridad de la VPN. Una de ellas es la "resolución de nombres multihomed inteligente" (Smart Multi-Homed Name Resolution), diseñada para mejorar la velocidad de navegación enviando solicitudes DNS a todos los servidores DNS disponibles al mismo tiempo.

En Windows 10 y 11, esta función, de forma predeterminada, acepta la respuesta del servidor DNS que conteste más rápido, lo que crea una grave vulnerabilidad de seguridad. Esto no solo aumenta la probabilidad de fugas de DNS, sino que también deja a los usuarios expuestos a ataques de suplantación de DNS, en los que actores maliciosos pueden interceptar y manipular solicitudes DNS.

La solución:

Este sigue siendo uno de los problemas de fugas de DNS más difíciles de solucionar, ya que estas funciones están integradas en el sistema operativo Windows. Para los usuarios de VPN, existen varios enfoques:

1. Utilice la protección integrada contra fugas de DNS de su VPN: La mayoría de las VPN premium incluyen protecciones específicas frente al manejo problemático de DNS en Windows. Revise la configuración de su VPN para localizar las funciones de prevención de fugas de DNS.

2. Desactive la Resolución de nombres multihomed inteligente mediante Directivas de grupo: Si utiliza Windows Pro o Enterprise, puede desactivar esta función desde el Editor de directivas de grupo local:

• Pulse Win+R, escriba "gpedit.msc" y pulse Intro.
• Vaya a Configuración del equipo > Plantillas administrativas > Red > Cliente DNS.
• Busque y haga doble clic en "Desactivar resolución de nombres de host inteligente".
• Seleccione "Habilitada" y haga clic en "Aceptar".

3. Use herramientas de terceros: El protocolo OpenVPN ofrece un plugin gratuito diseñado específicamente para abordar las fugas de DNS en Windows, disponible en GitHub.

4. Tenga en cuenta las directrices de US-CERT: El Equipo de Preparación ante Emergencias Informáticas de EE. UU. ha emitido alertas específicas sobre los problemas de seguridad de estas funciones de gestión de DNS en Windows, que incluyen estrategias de mitigación adicionales.

El problema n.º 5: Teredo

Teredo es la tecnología de Microsoft para mejorar la compatibilidad entre IPv4 e IPv6, y es una función integrada en los sistemas operativos Windows. Para algunos, es una tecnología de transición esencial que permite que IPv4 e IPv6 coexistan sin problemas, haciendo posible que las direcciones v6 se envíen, se reciban y se entiendan en conexiones v4.

Para los usuarios de VPN, el problema es aún mayor: supone una brecha de seguridad evidente. Dado que Teredo es un protocolo de túnel, a menudo puede tener prioridad sobre el propio túnel cifrado de su VPN, saltándoselo y provocando fugas de DNS.

La solución:

Afortunadamente, Teredo se puede desactivar fácilmente desde Windows. Abra el símbolo del sistema y escriba:

netsh interface teredo set state disabled

En 2026, muchos proveedores de VPN desactivan automáticamente Teredo cuando su software cliente está instalado o en ejecución. Aun así, es una buena práctica comprobar esta configuración, especialmente si ha actualizado recientemente el sistema operativo o ha instalado nuevo software de red.

También se recomienda desactivar otras tecnologías de transición IPv6 en la configuración del router o del adaptador de red para garantizar que ningún tráfico pueda saltarse el túnel de su VPN. Los routers modernos a menudo incluyen opciones específicas para desactivar mecanismos de transición IPv6 como 6to4 e ISATAP junto con Teredo.

Prevención de fugas futuras

Ahora que ha comprobado si hay una fuga de DNS y no se ha detectado ninguna, o bien ha encontrado y corregido una, es el momento de reducir al mínimo las probabilidades de que su VPN vuelva a tener fugas en el futuro.

En primer lugar, asegúrese de que ya ha aplicado todas las correcciones anteriores. Desactive Teredo y la Resolución de nombres multihomed inteligente, compruebe que su VPN admite o bloquea el tráfico IPv6, etc.

1. Cambie la configuración a un servidor DNS independiente y de confianza

Su router o su adaptador de red debería permitir cambiar la configuración TCP/IP para indicar servidores DNS de confianza mediante sus direcciones IP. Muchos proveedores de VPN tienen sus propios servidores DNS, y al usar la VPN a menudo se conectará automáticamente a ellos. Consulte la documentación de su VPN para obtener más información.

Si su VPN no dispone de servidores propios, considere usar un servidor de resolución DNS seguro como Cloudflare (1.1.1.1) o Google Public DNS. Estos resolvedores ofrecen funciones de seguridad mejoradas, como DNS sobre HTTPS (DoH) o DNS sobre TLS (DoT), que cifran sus solicitudes DNS para protegerlas frente a interceptaciones y manipulaciones.

Para cambiar la configuración DNS en Windows 10/11:

1. Abra el Panel de control.
2. Haga clic en "Redes e Internet".
3. Haga clic en "Centro de redes y recursos compartidos".
4. Haga clic en "Cambiar configuración del adaptador" en el panel izquierdo.
5. Haga clic con el botón derecho en el icono de su red y seleccione "Propiedades".
6. Localice "Protocolo de Internet versión 4" en la ventana que se abre. Haga clic en él y, a continuación, haga clic en "Propiedades".
7. Haga clic en "Usar las siguientes direcciones de servidor DNS".

Ahora puede introducir una dirección preferida y otra alternativa para los servidores DNS. Para Cloudflare DNS, use 1.1.1.1 como DNS preferido y 1.0.0.1 como alternativo. Para Google Public DNS, use 8.8.8.8 y 8.8.4.4, respectivamente. Véase la Figura 4 para un ejemplo con DNS de Google.

Figura 4

También puede que quiera cambiar la configuración DNS en su router. Consulte el manual o la página de soporte de su dispositivo para obtener más información.

2. Use un cortafuegos o su VPN para bloquear el tráfico que no pase por la VPN

Los proveedores de VPN premium suelen incluir una función llamada kill switch (interruptor de desconexión) que bloquea automáticamente cualquier tráfico de Internet que no pase por la VPN. Esto es esencial para prevenir fugas de DNS si la conexión VPN se cae de forma inesperada.

Busque VPN que ofrezcan:

• Kill switch a nivel de sistema, que bloquee todo el tráfico de Internet si la VPN se desconecta.
• Kill switch a nivel de aplicación, que le permita elegir qué aplicaciones se bloquean cuando la VPN se desconecta.
• Funciones de túnel dividido (split tunneling), que le permitan decidir qué aplicaciones usan la VPN y cuáles no.

Como alternativa, puede configurar el cortafuegos para permitir solo el tráfico de entrada y salida a través de la VPN. Para ello, puede cambiar la configuración del Firewall de Windows:

1. Asegúrese de que ya está conectado a su VPN.
2. Abra el "Centro de redes y recursos compartidos" y compruebe que aparecen tanto su conexión con el ISP (que debería mostrarse como "Red") como su VPN (que debería mostrarse con el nombre de la VPN). "Red" debería ser una red doméstica, mientras que su VPN debería ser una red pública. Si alguna de ellas está configurada de otra forma, haga clic en ella y seleccione el tipo de red adecuado en la ventana que se abre.
3. Inicie sesión como Administrador en el equipo y abra la configuración del Firewall de Windows (los pasos exactos varían según la versión de Windows).
4. Haga clic en "Configuración avanzada" (véase la Figura 5).
5. Localice "Reglas de entrada" en el panel izquierdo y haga clic en él.
6. En el panel derecho, en "Acciones", debería ver la opción "Nueva regla…". Haga clic en ella.
7. En la nueva ventana, elija "Programa" y haga clic en "Siguiente".
8. Elija "Todos los programas" (o seleccione un programa concreto para el que quiera bloquear el tráfico que no pase por la VPN) y haga clic en "Siguiente".
9. Elija "Bloquear la conexión" y haga clic en "Siguiente".
10. Marque "Dominio" y "Privado", pero asegúrese de que "Público" no esté marcado. Haga clic en "Siguiente".
11. Volverá al menú de "Configuración avanzada" del Firewall de Windows. Localice "Reglas de salida" y repita los pasos 6 a 10.

Figura 5

3. Realice pruebas de fuga de DNS periódicamente

Desde 2025, hay disponibles varias herramientas completas para comprobar fugas de DNS en línea. Las opciones más fiables incluyen:

• IPLeak.net: Ofrece pruebas completas de fugas de IPv4, IPv6, WebRTC y DNS.
• DNSLeakTest.com: Proporciona pruebas de fuga de DNS tanto estándar como ampliadas.
• BrowserLeaks.com/dns: Comprueba fugas de DNS y ofrece información detallada sobre los servidores DNS que está utilizando su navegador.

Se recomienda usar varias herramientas, ya que cada una puede detectar distintos tipos de fugas. Convierta estas pruebas en parte habitual de su rutina de privacidad, especialmente después de:

• Actualizar el sistema operativo.
• Instalar un nuevo cliente VPN o actualizar el existente.
• Conectarse a una red nueva o no fiable.
• Realizar cambios en la configuración de red.

4. Tenga cuidado con las fugas de WebRTC

Además de las fugas de DNS, las fugas de WebRTC (comunicación web en tiempo real) son una preocupación importante para la privacidad. WebRTC es una tecnología que permite a los navegadores comunicarse directamente entre sí, pero también puede exponer su dirección IP real incluso cuando usa una VPN.

Para prevenir fugas de WebRTC:

• En Firefox: Introduzca "about:config" en la barra de direcciones, busque "media.peerconnection.enabled" y cámbielo a "false".
• En Chrome: Instale la extensión WebRTC Network Limiter.
• En Edge: Utilice extensiones similares diseñadas para bloquear fugas de WebRTC.
• Compruebe si su proveedor de VPN incluye protección contra fugas de WebRTC.

5. Habilite DNS sobre HTTPS (DoH) o DNS sobre TLS (DoT)

Los navegadores y los sistemas operativos modernos ya admiten protocolos DNS cifrados que añaden una capa adicional de protección frente a fugas de DNS:

• DNS sobre HTTPS (DoH): Cifra las consultas DNS dentro del tráfico HTTPS, de modo que resultan indistinguibles de la navegación web normal.
• DNS sobre TLS (DoT): Crea un canal cifrado dedicado para el tráfico de DNS.

Para habilitar DoH en Firefox:

1. Vaya a Ajustes > General > Configuración de red.
2. Haga clic en "Configuración…".
3. Desplácese hacia abajo hasta "Activar DNS sobre HTTPS".
4. Elija un proveedor (como Cloudflare o NextDNS).

Chrome, Edge y otros navegadores basados en Chromium también admiten DoH desde su configuración.

6. Elija una VPN con una protección sólida contra fugas de DNS

El panorama de los proveedores de VPN ha evolucionado significativamente desde que se publicó este artículo por primera vez. En 2026, los principales proveedores de VPN con una sólida protección contra fugas de DNS incluyen:

• NordVPN: Ofrece protección integral contra todo tipo de fugas, incluidas fugas de DNS, IPv6 y WebRTC.
• ExpressVPN: Utiliza sus propios servidores DNS privados y cifrados para todas las solicitudes DNS.
• ProtonVPN: Implementa protección contra fugas de DNS mediante reglas de cortafuegos (firewall) y técnicas específicas de la plataforma.
• Surfshark: Redirige automáticamente todas las solicitudes DNS a través de servidores seguros con protección contra fugas.
• CyberGhost: Incluye protección integrada contra varios tipos de fugas.

Al evaluar proveedores de VPN, busque aquellos que:

• Mantengan sus propios servidores DNS privados.
• Hayan demostrado eficacia en pruebas independientes de fugas.
• Ofrezcan características como kill switches y protección automática contra fugas.
• Proporcionen actualizaciones periódicas para abordar nuevas vulnerabilidades.