Si usas tu móvil para casi todo y encima compartes conexión con otros dispositivos, convertirlo en un punto de acceso seguro con DNS personalizados es una de esas configuraciones que marcan la diferencia en privacidad y control. No hace falta ser un gurú de redes: conociendo cuatro conceptos clave y tocando un par de ajustes puedes mejorar velocidad, seguridad y reducir el cotilleo de operadores y redes WiFi públicas.
También es muy común que, al tirar del hotspot del móvil para dar internet al portátil o a la tablet, nos preguntemos si esa protección llega a todos los equipos. La respuesta es matizada: según cómo configures los DNS en Android, iPhone, router o apps, la seguridad puede aplicarse solo al teléfono o extenderse (en parte) a los dispositivos conectados. Vamos a verlo todo con calma y con un enfoque práctico, sin rodeos ni tecnicismos vacíos.
Qué es el DNS y por qué debería preocuparte
El DNS, siglas de Domain Name System, funciona como la agenda de contactos de Internet. Tú escribes un nombre cómodo como «google.com» o «xatakandroid.com» y, por debajo, tu dispositivo necesita una dirección IP numérica (por ejemplo, 216.58.211.142) para llegar al servidor correcto. El servidor DNS es el que se encarga de traducir ese nombre en su IP correspondiente.
Lo habitual es que tu móvil, tu router o la red WiFi a la que te conectes usen el DNS que les asigna por defecto el operador de internet. Suele funcionar sin que tengas que hacer nada, pero tiene una pega importante: esas consultas DNS normalmente viajan en claro y, de paso, se convierten en una mina de oro de datos sobre lo que visitas.
En el momento en que tu teléfono pregunta por la IP de un dominio, esa petición pasa casi siempre por los servidores DNS del proveedor. De este modo, tu operadora sabe qué webs intentas abrir, aunque no siempre pueda ver el contenido si navegas con HTTPS. Además, los DNS se usan en muchos países para bloquear páginas: simplemente dejan de resolver ciertos dominios y, de cara al usuario, parece que la web está caída.
Por todo esto, manejar tú mismo esta parte de la conexión abre la puerta a mejorar el rendimiento, reforzar la privacidad y esquivar ciertos filtros o bloqueos. Y sí, también te ayuda a convertir tu móvil en un hotspot bastante más seguro que el que viene de fábrica.
Desventajas del DNS tradicional y riesgos reales
El DNS clásico tiene un problema de base: las consultas no van cifradas ni autenticadas. Eso significa que, en una conexión normal, cualquiera que controle la red (un atacante, el dueño del WiFi público o tu ISP) puede ver a qué dominios estás accediendo, manipular la respuesta o incluso redirigirte a un sitio falso.
Un ejemplo típico lo tienes en muchas WiFi gratuitas de hoteles, aeropuertos o cafeterías. Al abrir cualquier web, en lugar de ir al sitio que querías, aparece primero una página de login o publicidad. Esto se consigue precisamente modificando la respuesta de los servidores DNS para mostrar una web distinta a la que habías pedido.
Esa misma técnica, si cae en malas manos, permite lanzar ataques mucho más serios. Un ciberdelincuente podría redirigirte a una página de phishing que imita la de tu banco, o a un sitio que descarga malware, simplemente devolviendo una dirección IP adulterada en la respuesta DNS.
Otro uso habitual del control DNS es el filtrado de contenidos. Con la misma mecánica se puede bloquear el acceso a webs incómodas, servicios de descargas o determinados contenidos, sin que el usuario vea ningún mensaje claro: la web no resuelve y da error, como si hubiera desaparecido. Es una forma sencilla de censura técnica que se emplea tanto en redes corporativas como a nivel de operadoras.
Tampoco hay que olvidar el aspecto de la publicidad. Cuando tu proveedor conoce con detalle los dominios que consultas, puede elaborar perfiles muy precisos sobre tus hábitos y usar esa información para segmentar anuncios, vender datos agregados o aplicar políticas comerciales algo agresivas.
Qué aporta cambiar los servidores DNS
Cambiar el DNS de tu móvil, ordenador o router no es solo un capricho friki. Al elegir tú el servidor, puedes ganar en varios frentes: velocidad, privacidad, seguridad y desbloqueo de ciertos contenidos. Las mejoras no siempre son espectaculares, pero sí son muy palpables en el día a día.
En primer lugar, están los temas de rendimiento. Algunos resolutores públicos tienen infraestructura muy optimizada, con muchos nodos repartidos por el mundo. Eso se traduce en que, al preguntar por la IP de una web, la respuesta llega antes y las páginas empiezan a cargar más rápido. No vas a pasar de ADSL a fibra por arte de magia, pero sí puedes rascar unos milisegundos de latencia que se notan al hacer muchas consultas.
En segundo lugar, muchos servicios DNS alternativos declaran tener políticas de privacidad más estrictas que las de tu operador. Cloudflare, por ejemplo, indica que no vende los datos de tus consultas y que limpia los registros en pocos días, mientras que Quad9 presume de minimizar la información recogida y centrarse en la seguridad.
La tercera pata es la protección. Algunos proveedores, como Quad9 o determinados perfiles de OpenDNS y NextDNS, integran listas negras de dominios de malware, phishing, botnets o publicidad invasiva. Así, si intentas acceder (consciente o no) a una web peligrosa, el propio DNS bloquea la petición y evita que llegue a cargar la página maliciosa.
Por último, está el tema de los bloqueos. Dado que muchos gobiernos y operadoras aplican censura a nivel DNS, en el momento en que cambias al servidor de un tercero fuera de su control puedes sortear parte de esos filtros. No siempre funciona en todos los casos, pero para bastantes webs “misteriosamente caídas” basta con usar otro proveedor de nombres.
Servidores DNS recomendados: velocidad, privacidad y seguridad
A la hora de escoger proveedor de DNS no hay un único ganador absoluto. Depende de dónde vivas, de cuánto valoras la privacidad, de si prefieres más velocidad o más protección y, en general, de qué compromisos estás dispuesto a aceptar. Aun así, hay varios servicios muy populares y bien considerados que conviene tener en el radar.
Uno de los veteranos es Google Public DNS. Sus direcciones IPv4 son 8.8.8.8 y 8.8.4.4, y para IPv6 ofrece 2001:4860:4860::8888 y 2001:4860:4860::8844. Son resolutores gratuitos, rápidos y muy estables, y además soportan cifrado mediante DNS-over-TLS y DNS-over-HTTPS con el nombre de host dns.google, que se utiliza en el modo DNS privado de Android.
Otro gran protagonista es Cloudflare con su famoso 1.1.1.1. Para IPv4 se usan 1.1.1.1 y 1.0.0.1, y para Android con DNS privado el host suele ser 1dot1dot1dot1.cloudflare-dns.com u opciones similares como one.one.one.one. Cloudflare hace especial hincapié en la privacidad y asegura que purga los registros en un periodo corto de tiempo. Además, suele encabezar rankings de velocidad como DNSPerf.
Si te preocupa mucho la seguridad, Quad9 es otra opción muy interesante. Su IP más conocida es 9.9.9.9 y para DNS privado de Android el host típico es dns.quad9.net. Este proyecto se especializa en bloquear accesos a dominios de malware, phishing y otros riesgos, con lo que actúa como un filtro de seguridad a nivel de resolución de nombres, antes incluso de que cargue la web en el navegador.
También entran en juego servicios configurables como OpenDNS (propiedad de Cisco) o NextDNS. Estos permiten ajustar perfiles de filtrado de contenido, control parental, bloqueo de anuncios o registro detallado de actividad. Con ellos puedes diseñar políticas a medida, por ejemplo, para limitar accesos en dispositivos infantiles o en entornos de trabajo.
Antes de decidirte, merece la pena probar varios proveedores y comprobar su rendimiento desde tu ubicación y ver cuál es el más rápido entre Cloudflare y Google. Herramientas como DNSPerf comparan latencia y disponibilidad de diferentes DNS desde muchas zonas del mundo, lo que te sirve de guía para elegir el que mejor responde en tu región.
DNS seguros: DoH, DoT, DNSCrypt y DNS privado
Cuando se habla de DNS seguro, en realidad nos estamos refiriendo a cómo viajan las consultas entre tu dispositivo y el servidor. En lugar de ir en claro, los nuevos protocolos como DNS-over-HTTPS (DoH) o DNS-over-TLS (DoT) cifran el tráfico DNS para que nadie entre medias pueda cotillear, modificar o bloquear fácilmente las respuestas.
DNS-over-HTTPS encapsula las peticiones dentro de conexiones HTTPS normales, generalmente usando el puerto 443. Esto hace que sea más complicado para un proveedor o un censurador distinguir el tráfico DNS del resto de navegación web, por lo que es mucho más difícil bloquearlo sin cargarse medio Internet en el proceso.
DNS-over-TLS, por su parte, cifra las consultas utilizando el protocolo TLS, de forma similar a HTTPS pero pensado específicamente para DNS. Es el método que Android utiliza por defecto cuando hablas de DNS privado en las versiones modernas del sistema, de ahí que se considere la opción más directa a nivel de sistema.
DNSCrypt es otro enfoque que también añade cifrado y autenticación a las peticiones, aunque en la práctica ha quedado un poco eclipsado por DoH y DoT. Aun así, hay servicios y clientes que lo soportan, sobre todo entre usuarios avanzados que montan sus propios resolutores o redes protegidas.
En Android 9 y versiones posteriores, la opción de DNS privado debería haberse llamado más bien “DNS seguro”, porque lo que estás haciendo es forzar que las consultas se manden cifradas a un servidor que soporte DoT. No estás montando un DNS tuyo en casa, sino eligiendo un proveedor que ofrece este tipo de acceso protegido.
DNS seguro y VPN: aliados, no sustitutos
Es fácil confundirse: activar un DNS cifrado mejora mucho la situación, pero no es lo mismo que usar una VPN. Con un DNS seguro, solo las consultas de nombres van protegidas; el resto del tráfico (las webs, los vídeos, las descargas) seguirá dependiendo de si la página usa HTTPS y de otros factores.
Una VPN, en cambio, crea un túnel cifrado entre tu dispositivo y un servidor remoto. Todo lo que salga de tu móvil (o casi todo, si está bien configurada) viaja encapsulado y cifrado hasta el servidor de la VPN, cambiando además la IP de salida que ven las webs y servicios.
Hay servicios de VPN comerciales que ya incluyen sus propios DNS protegidos, de forma que, al conectarte, no solo cambias tu IP, sino que también evitas fugas de DNS hacia tu operador. Otros permiten elegir si quieres usar DNS del proveedor, de terceros o incluso de tu propio servidor casero.
Lo ideal, si te preocupa en serio la privacidad y la seguridad, es combinar ambas cosas: activar un DNS seguro a nivel de sistema y, cuando lo necesites, conectarte a una VPN que gestione a su vez las resoluciones. Eso sí, conviene revisar la documentación de tu VPN, porque algunas apps pueden ignorar la configuración de DNS privado de Android y usar sus propios resolutores por defecto.
En cualquier caso, si estás empezando, configurar DNS cifrado ya es un salto enorme respecto al escenario tradicional. Luego, si quieres ir un paso más allá, puedes añadir la capa de VPN para blindar todo el tráfico, especialmente en redes públicas o al viajar.
Cómo cambiar las DNS en tu móvil Android
En Android, el camino para personalizar las DNS depende mucho de la versión que lleve tu móvil. Desde Android 9 (Pie) en adelante contamos con la opción de DNS privado, que aplica a todo el sistema y funciona con datos móviles y WiFi, mientras que en versiones más antiguas solo puedes tocar las DNS en cada red WiFi por separado.
Además, cada fabricante se inventa sus propios nombres para los menús. Lo que en un móvil Pixel aparece como «Red e Internet», en un Samsung puede llamarse «Conexiones» o «Ajustes de conexión». Aun así, la lógica general y los pasos son muy parecidos en la mayoría de modelos.
En el caso de los Samsung Galaxy recientes, por ejemplo, la ruta suele ser Ajustes > Conexiones > Más ajustes de conexión > DNS privado. En otros Android, lo habitual es Ajustes > Red e Internet (o similar) > Avanzado > DNS privado. Una vez ahí, verás varias opciones para seleccionar.
Si eliges «Automático», el sistema intenta usar DNS cifrado con el servidor que le dé la red, pero si no está disponible, vuelve silenciosamente al modo tradicional. Para forzar un proveedor concreto, hay que seleccionar «Nombre de host del proveedor de DNS privado» e introducir el dominio correcto.
Ten en cuenta un detalle importante: en el apartado de DNS privado, Android no acepta direcciones numéricas tipo 1.1.1.1 u 8.8.8.8. Siempre debes introducir el nombre de host que te indique tu proveedor, como dns.google, one.one.one.one o 1dot1dot1dot1.cloudflare-dns.com, según el servicio que quieras usar.
Configurar DNS privado en Android 9 y versiones posteriores
Si tu smartphone corre Android 9 o superior, estás de enhorabuena porque puedes fijar un único proveedor de DNS seguro para todo el sistema. Esta configuración se aplica tanto al WiFi como a los datos móviles, y por tanto también impacta en el hotspot que crees desde el mismo dispositivo.
Los pasos generales para activar DNS privado en Android moderno son muy similares, aunque la ruta exacta cambie un poco según la marca. En la mayoría de móviles basta con ir a Ajustes > Red e Internet (o Conexiones) > DNS privado, y elegir la opción para especificar un proveedor mediante nombre de host.
Una vez dentro de la pantalla de DNS privado seleccionas «Nombre de host del proveedor de DNS privado» e introduces, por ejemplo, dns.google si quieres usar Google Public DNS con cifrado, o one.one.one.one para el servicio de Cloudflare. Tras pulsar en Guardar, el móvil comprobará la conexión y, si todo va bien, empezará a usar ese DNS seguro.
Si te equivocas al escribir el dominio o el servidor deja de responder, notarás que de repente no carga ninguna web aunque tengas cobertura o WiFi. Es normal: sin resolución de nombres, Internet parece caído. Para arreglarlo, vuelve a los ajustes de DNS privado y cambia el modo a «Automático» o «Desactivado» para recuperar la navegación con los DNS de tu operador.
En algunos casos, ciertas aplicaciones de VPN o utilidades que cambian el DNS a su manera pueden interferir con esta función. En Android 10 y posteriores el sistema gestiona bastante mejor estas interacciones, pero aun así conviene comprobar después, con alguna herramienta de verificación online, qué DNS está usando realmente tu dispositivo cuando te conectas.
Cambiar DNS en Android 8 y anteriores, red por red
Si tu teléfono todavía funciona con Android 8 o una versión anterior, no tendrás disponible la opción de DNS privado a nivel global. En estos equipos, la única salida es modificar manualmente las DNS en cada red WiFi a la que te conectes, lo que implica repetir el proceso para casa, trabajo, etc.
El procedimiento suele empezar conectándote a la WiFi deseada y entrando en Ajustes > WiFi o Ajustes > Red e Internet > WiFi. Una vez veas la lista de redes, tocas o mantienes pulsada la que estés usando y eliges la opción para Modificar red u Opciones avanzadas, que es donde se esconde el ajuste de DNS.
En el apartado avanzado verás un campo de «Configuración IP» o similar, que por defecto estará en «DHCP». Al cambiarlo a «Estática» se desbloquean los campos de dirección IP, puerta de enlace y, lo importante, DNS 1 y DNS 2, donde podrás escribir los servidores que quieras utilizar.
En DNS 1 y DNS 2 puedes introducir, por ejemplo, 8.8.8.8 y 8.8.4.4 para Google, o 1.1.1.1 y 1.0.0.1 si prefieres Cloudflare. Después guardas los cambios, el móvil se reconecta a la red y a partir de ese momento las resoluciones de esa WiFi pasarán a través de los DNS que has puesto.
Si en algún momento la red empieza a fallar o quieres volver a la configuración del router, basta con regresar a esa pantalla y cambiar de nuevo la IP a «DHCP». Con eso, se restauran automáticamente los servidores de nombres que provee el punto de acceso y dejas de depender de los que habías escrito a mano.
Convertir tu móvil en un hotspot seguro con DNS personalizados
Ahora viene la parte interesante: ¿qué ocurre cuando activas el tethering o punto de acceso personal en tu móvil? La idea es que, si el teléfono usa un DNS seguro a nivel de sistema, los dispositivos conectados a su hotspot hereden esa protección. La realidad, sin embargo, es algo más compleja y depende de cómo el sistema gestione el reparto de DNS por DHCP.
Por defecto, cuando conviertes tu móvil en un punto de acceso WiFi, este actúa como una especie de router pequeño. Asigna direcciones IP privadas a los equipos conectados (portátil, tablet, consola, etc.) y les indica qué servidores DNS deben usar para resolver dominios. Normalmente, esos DNS son los que el propio móvil recibe de la red del operador.
Si has configurado DNS privado en Android, las consultas que hace el propio teléfono irán cifradas. Sin embargo, eso no implica automáticamente que los dispositivos que se conectan a tu hotspot utilicen también ese mismo DNS seguro. Muchos modelos siguen anunciando a los clientes el servidor del operador, de forma que solo el móvil va protegido.
Esto significa que, si quieres una protección DNS coherente en todos los equipos que dependen de tu tethering, es muy posible que tengas que configurar el DNS manualmente en cada dispositivo cliente (portátiles, tablets, etc.). Al menos, así te aseguras de que no están usando un servidor que no controlas.
Otra opción, algo más avanzada, es montar un servidor DNS cifrado propio en casa (por ejemplo con AdGuard Home o un resolver con DoH/DoT) y conectarte a él desde el móvil. El problema es que para que funcione fuera de tu red local suele haber que exponer ese servidor a internet mediante puertos abiertos, lo cual introduce riesgos adicionales si no está muy bien asegurado.
Usar AdGuard Home y DNS caseros con tu Android
Si ya tienes montado un servidor de DNS doméstico con AdGuard Home u otra solución, lo más simple suele ser configurarlo en el router de tu casa para que todos los dispositivos conectados por WiFi o cable utilicen ese DNS sin tocar nada más. Así filtras anuncios, malware y demás basurilla a nivel de red local.
El problema viene cuando sales de casa y quieres seguir usando esa protección con el móvil y, de paso, que los aparatos que tiran de tu hotspot también se beneficien. Hay varias estrategias, cada una con sus pros y sus contras, y conviene saber en qué punto te compensa complicarte la vida.
Una posibilidad es dar acceso público a tu AdGuard Home mediante DNS-over-HTTPS o DNS-over-TLS, de forma que puedas configurar esa dirección como DNS privado en Android, estés donde estés. Esto exige abrir puertos en tu router, usar certificados válidos y medidas de seguridad serias, porque básicamente estás colocando un servicio tuyo como pieza accesible desde internet.
Otra opción más equilibrada es combinar tu servidor casero con una VPN propia (WireGuard, OpenVPN, etc.). De esta manera, el móvil se conecta a tu VPN cuando estás fuera y todo el tráfico, incluidas las consultas DNS, pasa por tu red de casa y por AdGuard Home. Es más trabajo de configuración, pero te ahorras exponer el resolutor directamente.
Si todo esto te suena a demasiado “overkill” para el uso que le das, probablemente lo más práctico sea usar AdGuard Home en casa a través del router y, cuando salgas, configurar un DNS público seguro en tu Android (Cloudflare, Quad9, Google…). Para muchos usuarios es el equilibrio perfecto entre comodidad y protección.
¿El DNS del móvil protege también a los dispositivos conectados?
Una duda muy frecuente es si basta con activar la protección DNS en el móvil para que todos los aparatos conectados a su compartición de internet queden cubiertos automáticamente. La respuesta corta es que, en la mayoría de casos, no del todo.
Tal y como están diseñados hoy muchos sistemas, el teléfono hace de router improvisado cuando compartes datos, pero los parámetros de red que distribuye (entre ellos, los DNS) suelen ser los que el propio móvil recibe de la red móvil, no necesariamente los del DNS privado que has configurado para él.
Consecuencia: tu smartphone puede navegar con consultas cifradas y filtradas, mientras que el portátil que está colgando de su hotspot sigue preguntando a los DNS del operador como si nada. Desde el punto de vista del ISP, apenas notarías diferencia respecto a que te conectaras directamente.
La forma segura de garantizar protección completa es configurar el DNS personalizado en cada uno de los dispositivos clientes. Por ejemplo, en Windows, macOS o Linux puedes entrar en la configuración de red y especificar manualmente los servidores de nombres que quieras usar, independientemente de lo que les diga el móvil por DHCP.
En iPhone o iPad también puedes ajustar las DNS para cada red WiFi, entrando en Ajustes > Wi-Fi, tocando la «i» de la red que uses (incluso si es el hotspot del Android) y cambiando la opción de Configurar DNS a «Manual» para escribir las direcciones que prefieras. Es un poco tedioso, pero te asegura que todo el tráfico de esos dispositivos pasa por los resolutores que tú controlas.
Cómo cambiar las DNS en iPhone y otros dispositivos
Si además de Android utilizas un iPhone o iPad, también puedes mejorar su privacidad DNS, aunque el enfoque es algo distinto. En iOS no existe un ajuste de «DNS privado» integrado para todo el sistema; en su lugar, se configura por red WiFi o mediante perfiles y apps específicas.
El método básico consiste en ir a Ajustes > Wi-Fi, pulsar sobre el icono «i» de la red a la que estás conectado y desplazarte hasta el apartado «Configurar DNS». Ahí cambias la opción de «Automático» a «Manual», borras los servidores existentes y añades tus propios DNS, como 1.1.1.1 y 1.0.0.1 o 8.8.8.8 y 8.8.4.4.
Ten en cuenta que esta configuración solo se aplica a la red concreta en la que la configures. Si cambias de WiFi, tendrás que repetir el proceso para esa nueva red. Para datos móviles y para un control más avanzado de DNS cifrado en iOS, existen aplicaciones en la App Store que instalan perfiles con DoH o DoT, así como herramientas para usuarios avanzados que manejan perfiles de configuración personalizados.
En ordenadores Windows, macOS y Linux, la idea es similar: entras en las propiedades de red del adaptador (WiFi o Ethernet) y sustituyes los servidores DNS automáticos por los que quieras usar. En Windows se hace desde la sección «Red e Internet» o el Centro de redes; en Mac, desde Preferencias del sistema > Red > Avanzado > DNS; y en muchas distribuciones Linux, desde Network Manager o editando archivos como /etc/resolv.conf.
Una alternativa muy potente, si no quieres ir dispositivo por dispositivo, es modificar el DNS a nivel de router. Accediendo a la interfaz web de tu router, suele haber una sección de WAN o Internet donde puedes especificar DNS primario y secundario para toda la red local. Al guardar y reiniciar, todos los aparatos que obtengan su IP por DHCP heredarán esos resolutores sin que tengas que tocar nada más.
Al final, cuanto más homogénea sea la configuración de DNS en tus equipos, más fácil será controlar qué se filtra, qué se registra y qué nivel de privacidad y seguridad estás consiguiendo realmente.
El DNS es mucho más que un simple traductor de nombres: es una pieza clave de tu conexión que puede acelerar la carga de webs, evitar ataques, saltarse bloqueos y limitar cuánta información cedes a terceros. Configurando DNS seguros y personalizados en tu móvil Android, y complementándolo con ajustes en iPhone, ordenadores y routers, consigues que tanto tu navegación diaria como el hotspot del móvil trabajen a tu favor y no al revés, manteniendo un mejor equilibrio entre velocidad, libertad y protección sin necesidad de complicarte en exceso.
Continúar leyendo...