Qué es el DNS y cómo cambiarlo en tu router
El DNS es la agenda de contactos de internet: convierte google.com en una dirección IP que tu dispositivo entiende. Te explico cómo funciona por dentro, qué resolvers alternativos existen y cómo cambiarlo en el router.
Esto va contigo si tu router hace magia y no sabes cómo
Has oído que «cambiar el DNS» mejora la conexión, o que hay servidores más privados que los de tu operador. Pero cuando buscas explicaciones encuentras siglas, puertos y diagramas que parecen sacados de un manual de ingeniería. Normal que lo hayas dejado para otro día.
Este post no asume que sabes nada de redes. Te voy a explicar qué es el DNS con palabras de verdad, qué ocurre exactamente cada vez que escribes una dirección en el navegador, y qué opciones tienes si quieres cambiar la configuración, ya sea en tu router o en un solo dispositivo.
Al final tendrás claro qué cambia al tocar el DNS, qué no cambia (y por qué algunos lo venden mejor de lo que es), y si merece la pena hacerlo en tu caso concreto.
Por qué importa
La agenda telefónica de internet
El DNS convierte google.com en la IP real del servidor. Sin él, tendrías que memorizar números como 142.250.184.14.
Tus consultas viajan en abierto
El DNS estándar usa el puerto 53 sin cifrar. DoH y DoT cifran esas consultas para que nadie en tu red las lea.
Un cambio, toda la red
Si lo configuras en el router, todos los dispositivos de casa usan el nuevo DNS sin tocar nada más.
Filtrado de dominios maliciosos
Quad9 (9.9.9.9) bloquea dominios peligrosos antes de que llegues a ellos, usando inteligencia de amenazas de múltiples fuentes.
Cómo funciona el DNS por dentro (sin ponerse técnico)
Cuando escribes google.com en el navegador, tu dispositivo no sabe dónde está ese servidor. Necesita una dirección IP, que es el número real que identifica cada máquina en internet. El DNS es el servicio que hace esa traducción.
El proceso, resumido:
- Tu ordenador pregunta al resolver local (normalmente el router, que a su vez consulta al de tu operador).
- Si nadie tiene la respuesta en caché, el resolver sube hasta uno de los 13 grupos de root servers distribuidos globalmente mediante anycast.
- El root server apunta al servidor TLD responsable del dominio de primer nivel (
.com,.es,.net…). - El servidor TLD indica cuál es el servidor autoritativo del dominio concreto.
- Ese servidor autoritativo responde con la IP real.
- La respuesta vuelve a tu dispositivo y se guarda en caché durante el tiempo que indica el TTL del registro.
Todo esto ocurre en milisegundos. La próxima vez que tu navegador pida google.com, la respuesta ya estará en caché y la resolución es casi instantánea.
Escribe
google.comen el navegador y pulsa Enter: en ese instante tu sistema ya está consultando el DNS. Si el TTL del registro no ha expirado, la respuesta viene de caché. Si expiró, hay que recorrer la cadena entera de nuevo.
Por qué el DNS de tu operador no es la única opción
Por defecto, tu router usa los servidores DNS que tu operador asigna automáticamente por DHCP. Funciona en la mayoría de los casos, pero hay cosas que conviene entender.
Las consultas DNS estándar viajan sin cifrar en texto plano por UDP, puerto 53. Cualquiera que esté escuchando en la red puede ver a qué dominios estás consultando. Además:
- Algunos operadores hacen DNS hijacking: interceptan el tráfico al puerto 53 aunque hayas configurado otro servidor en el router.
- Ciertos ISP redirigen dominios con erratas a páginas propias con publicidad en lugar de devolver un error.
- El operador puede registrar tus consultas DNS con fines de análisis o publicidad dirigida, según su política.
Si escribes
googel.com(con errata) y en lugar de un error 404 aparece una página de búsqueda de tu operador con anuncios, ya has visto el DNS hijacking en su versión más visible.
DNS cifrado: DoH y DoT
Para que las consultas viajen cifradas existen dos estándares consolidados: DNS over TLS (DoT) y DNS over HTTPS (DoH).
DoT (RFC 7858) cifra la consulta usando TLS sobre el puerto 853. Es fácil de distinguir del tráfico web normal, lo que permite a los administradores de red gestionarlo o filtrarlo con precisión.
DoH (RFC 8484) encapsula las consultas dentro de HTTPS en el puerto 443. Desde fuera parece tráfico web normal, lo que dificulta el bloqueo selectivo.
Una aclaración importante: cifrar el DNS no te hace invisible. La dirección IP del servidor al que te conectas sigue siendo visible en la capa de red. DoH y DoT protegen únicamente la consulta DNS —el nombre de dominio que estás resolviendo—, no el tráfico posterior.
- DoT: puerto 853, separado del tráfico web, más fácil de gestionar en redes corporativas o de empresa.
- DoH: puerto 443, mezclado con HTTPS, más difícil de bloquear selectivamente.
- Ambos cifran la consulta; ninguno oculta la IP de destino.
Firefox y Chrome llevan años soportando DoH. En Firefox lo activas desde Preferencias → General → Configuración de red → DNS over HTTPS. En Chrome desde Configuración → Privacidad y seguridad → Seguridad → Usar DNS seguro.
Resolvers alternativos: Cloudflare, Google y Quad9
Los tres más usados fuera del DNS del operador:
Cloudflare (1.1.1.1 / 1.0.0.1)
Anuncian centrarse en privacidad: según su política, no registran la IP del cliente más de 24 horas y no la usan para publicidad. Tienen soporte para DoH y DoT.
Google Public DNS (8.8.8.8 / 8.8.4.4)
El más conocido. Fiable y con buena latencia en la mayoría de Europa. Google sí recoge datos de uso con fines de depuración y mejora del servicio, según su propia documentación.
Quad9 (9.9.9.9 / 149.112.112.112)
Filtra dominios maliciosos conocidos usando inteligencia de amenazas de varias organizaciones de seguridad. Si intentas resolver un dominio que está en su lista negra, Quad9 bloquea la consulta. No es una protección total: solo actúa sobre los dominios presentes en sus fuentes de threat intelligence.
¿Cuál elegir? Depende de lo que priorices:
- Si quieres filtrado básico de dominios maliciosos sin instalar nada extra: Quad9.
- Si priorizas privacidad respecto al resolver: Cloudflare.
- Si necesitas fiabilidad ante todo y ya usas servicios Google: Google Public DNS.
Sobre si el cambio hace la navegación más rápida: puede haber diferencia si el DNS de tu operador tiene latencia alta, pero no es algo garantizado. Depende mucho de tu ubicación y de cuánto distan los servidores del resolver que elijas. Puedes medirlo antes de decidir con nslookup o herramientas como DNS Benchmark.
Llevo años con Quad9 en el router de casa. No es magia, pero ya me bloqueó algún dominio de phishing que llegó por email sin que tuviera que hacer nada.
Cómo cambiar el DNS en tu router
Cambiarlo en el router es lo más práctico: se aplica a todos los dispositivos de la red de una vez, sin tocar cada móvil, ordenador o televisión por separado.
El proceso general (varía según marca y modelo):
- Accede al panel de administración del router. La IP suele ser
192.168.1.1o192.168.0.1. Si no la sabes, búscala en la etiqueta del dispositivo o ejecutaip routeen Linux/Mac oipconfigen Windows y localiza el valor «gateway». - Entra con las credenciales de administrador (a veces están en la etiqueta inferior del propio router).
- Busca la sección de red local, DHCP o DNS. Los nombres varían según el fabricante: «Red LAN», «Configuración DHCP», «Servidor DNS».
- Sustituye el DNS primario y secundario por los que quieras usar.
- Guarda los cambios. Algunos routers necesitan reiniciarse para aplicarlos.
Los cambios se aplican a los dispositivos conforme renuevan su concesión DHCP. Para aplicarlo de inmediato a un dispositivo concreto, desconéctalo de la red y vuelve a conectarlo.
IPs de referencia rápida
- Cloudflare:
1.1.1.1/1.0.0.1 - Google:
8.8.8.8/8.8.4.4 - Quad9:
9.9.9.9/149.112.112.112
En routers Movistar con el HGU Arcadyan o el Smart WiFi 6, la sección de DNS suele estar bajo Red local → Servidor DHCP. En routers propios con OpenWrt o pfSense, puedes configurar DoT o DoH directamente en el resolver, sin depender de ningún resolver externo.
Cuando no puedes cambiar el DNS del router
Hay situaciones en que esto no es tan directo, y conviene saberlo antes de frustrarse.
Router bloqueado por el operador: algunos ISP entregan el router con el panel restringido o sin acceso de usuario al administrador. En ese caso, no puedes modificar nada desde ahí.
DNS hijacking activo: algunos operadores interceptan todo el tráfico UDP al puerto 53, independientemente de la IP de destino que hayas configurado. Si apuntas al 9.9.9.9 de Quad9, el operador puede estar redirigiendo silenciosamente esas consultas a sus propios servidores sin que lo notes.
Alternativas si el router no coopera
- DoH en el navegador: Firefox y Chrome permiten configurarlo directamente desde sus ajustes de privacidad y red. Aplica solo al tráfico de ese navegador, no al resto del sistema.
- DoH en el sistema operativo: Windows 11, macOS Ventura y versiones recientes de Ubuntu soportan DoH a nivel de sistema, cubriendo todo el tráfico DNS del dispositivo.
- Resolver local en casa: si tienes un servidor doméstico —una Raspberry Pi, un mini-PC, una VM en Proxmox— puedes instalar Pi-hole o AdGuard Home, configurarlos para resolver vía DoH o DoT, y apuntar el DHCP del router a esa IP local. El operador solo ve tráfico HTTPS hacia el resolver que hayas elegido.
En casa tengo Pi-hole con Unbound como resolver recursivo. Unbound consulta directamente a los root servers sin pasar por ningún resolver de terceros. Es la opción más independiente posible en un entorno doméstico, aunque requiere algo más de configuración inicial. Pero eso da para otro post entero.
Preguntas frecuentes
Q: ¿Qué pasa si cambio el DNS del router y algo falla?
A: El peor escenario es que algunos dominios dejen de resolver y pierdas acceso a ciertas páginas. Basta con volver al DNS original (normalmente el de tu operador vía DHCP automático) para revertirlo. Guarda siempre los valores anteriores antes de cambiar nada.
Q: ¿Vale cambiar el DNS si mi router lo gestiona el operador?
A: Depende del operador: algunos entregan el router con el panel bloqueado o interceptan el tráfico al puerto 53, redirigiendo todas las consultas a sus propios servidores independientemente de lo que configures. Si sospechas que es tu caso, la alternativa es cambiar el DNS directamente en cada dispositivo.
Q: ¿Por qué mis búsquedas DNS viajan sin cifrar por defecto?
A: El protocolo DNS estándar usa UDP por el puerto 53 en texto plano, un diseño de los años 80 que prioriza velocidad sobre privacidad. Esto significa que tu operador, o cualquiera en la misma red, puede ver qué dominios consultas. DNS over HTTPS (puerto 443) y DNS over TLS (puerto 853) solucionan esto cifrando las consultas.
Q: ¿Cuánto mejora la velocidad de navegación cambiando el DNS?
A: La mejora real depende de la latencia entre tu ubicación y el servidor DNS alternativo, y de qué tan lento sea el DNS de tu operador. En algunos casos la diferencia es perceptible; en otros es mínima. No es una mejora garantizada ni uniforme: lo más honesto es medirlo con herramientas como DNS Benchmark antes de decidir.
Q: ¿Qué pasa si uso Quad9 y visito una web maliciosa?
A: Quad9 (9.9.9.9) bloquea dominios incluidos en sus listas de amenazas usando inteligencia de múltiples fuentes, pero no es una protección absoluta: solo actúa sobre dominios que ya están catalogados como maliciosos. Un dominio nuevo o no listado pasa sin filtro. Úsalo como una capa de defensa más, no como sustituto del sentido común o de un antivirus actualizado.
Deja una respuesta