Cuando navegas por internet o abres cualquier app en el móvil, rara vez piensas en todo lo que se mueve por detrás. Pero casi siempre, junto a la función principal, se activan módulos ocultos que registran cómo usas el dispositivo, qué webs visitas, cuánto tiempo pasas en cada sitio o incluso dónde estás, aunque hayas dicho que no a los permisos de ubicación. Todo esto sucede de forma silenciosa, sin avisos claros y sin que puedas controlar realmente qué se comparte.
La buena noticia es que no hace falta ser un gurú de la tecnología para poner freno a buena parte de este rastreo. Con solo cambiar cómo se resuelven las direcciones de internet en tus dispositivos, puedes bloquear anuncios, rastreadores y muchos dominios maliciosos a nivel de DNS en toda tu red, sin instalar extensiones en cada aparato ni complicarte la vida. Y ahí es donde entra en juego la idea de usar DNS filtrantes o incluso un sistema operativo centrado en la privacidad como IODÉOS.
¿Qué es el DNS y qué tiene que ver con tu privacidad?
Para entender por qué un sistema como IODÉOS que bloquea rastreadores a nivel de DNS es tan interesante, primero conviene tener claro qué es el DNS. El DNS (Domain Name System) funciona como la agenda de contactos de internet que traduce nombres a direcciones IP. Cuando escribes una URL en el navegador, tu equipo pregunta a un servidor DNS qué IP corresponde a ese nombre para poder conectarse.
Normalmente usas el DNS que te da tu operadora o servicios populares como Google DNS o Cloudflare sin darte cuenta. El problema es que estos servidores suelen registrar qué dominios consultas, desde qué dirección y con qué frecuencia. Aunque no vean el contenido exacto de lo que haces, sí pueden construir un perfil bastante afinado sobre tus intereses, horarios de uso o qué aplicaciones se conectan a internet desde tu red.
Además, muchas apps no trabajan solas. Integran bibliotecas de publicidad, analítica y seguimiento que se comunican constantemente con dominios externos, incluso con la app cerrada. Cada vez que uno de esos módulos hace una petición a un servidor remoto, esa consulta pasa antes por el DNS. Esto convierte al DNS en un punto estratégico tanto para rastrearte como para protegerte.
Si cambias a un DNS pensado para la privacidad o ejecutas tu propio resolutor, puedes bloquear de raíz las peticiones a dominios conocidos por servir anuncios, rastreadores o malware. Y si encima el sistema operativo integra esa protección de serie, como ocurre con enfoques centrados en bloquear a bajo nivel, evitas depender de que cada usuario instale algo en cada dispositivo.
¿Por qué las apps te rastrean incluso cuando crees que no?
La mayoría de la gente piensa que una aplicación solo actúa cuando la abre. Sin embargo, muchas incluyen componentes de terceros que recopilan datos en segundo plano, tanto cuando navegas como cuando usas otras apps. Pueden medir qué pantallas visitas, qué botones pulsas, qué enlaces abres y desde qué zona geográfica te conectas.
Ese flujo constante de información acaba en manos de empresas que se dedican a segmentar publicidad, perfilar usuarios o revender datos a otras compañías. La parte más preocupante es que gran parte de este seguimiento es opaco: el sistema operativo, los servicios en la nube y los SDK externos trabajan a espaldas del usuario, que rara vez tiene opciones reales para limitar todo este tráfico.
En un contexto así, un filtro a nivel de DNS es una especie de portero en la puerta de tu red. Sin cambiar tu forma de usar el móvil, impide que muchas conexiones asociadas a rastreadores lleguen a sus servidores. No detiene absolutamente todo, pero reduce de forma muy notable la cantidad de datos que salen de tus dispositivos sin que te enteres.
Servidores DNS más privados y seguros que los de tu operadora
Si no quieres o no puedes cambiar de sistema operativo, una opción muy efectiva es modificar el DNS que usas. Existen servicios públicos que filtran anuncios, rastreadores y dominios peligrosos sin necesidad de instalar nada en tu móvil o en tu ordenador, simplemente cambiando una configuración de red.
Entre los servidores DNS más recomendados por la comunidad de privacidad, destacan algunos que ya vienen preparados para bloquear publicidad y seguimiento. Por ejemplo, AdGuard ofrece un servicio específico en el dominio dns.adguard-dns.com que está diseñado para cortar conexiones hacia redes publicitarias, rastreadores y sitios maliciosos. Es gratuito y funciona en prácticamente cualquier dispositivo.
Otro proveedor bastante popular es Quad9, accesible mediante el dominio dns.quad9.net. Su objetivo principal es la seguridad frente a sitios maliciosos, phishing y dominios asociados a malware. Aunque está menos orientado al bloqueo de anuncios, sí aporta una capa importante de protección.
Hay servicios adicionales como el DNS de Google, accesible a través de dns.google, que se caracteriza por su rapidez y estabilidad. Sin embargo, al pertenecer a una gran compañía basada en la explotación de datos, no es la opción más recomendable desde el punto de vista de la privacidad, aunque a nivel técnico funcione muy bien.
Si priorizas al máximo el anonimato, existen alternativas como all.dns.mullvad.net, desarrollado por el equipo de la conocida VPN Mullvad, con una política estricta de no registros. Además, hay variantes especializadas como adblock.dns.mullvad.net para bloquear publicidad o family.freedns.controld.com para combinar filtrado de anuncios con control de contenidos para menores.
Cada uno de estos servicios ofrece niveles distintos de filtrado y protección, pero todos comparten un objetivo común: examinar las consultas DNS y bloquear las que intentan llegar a dominios asociados con rastreo, anuncios intrusivos o contenido malicioso.
Cambiar el DNS privado en Android para frenar el rastreo
En Android, sin tocar el router ni instalar apps extra, puedes configurar un DNS privado a nivel de sistema. Esta función permite que todas las conexiones pasen por un servidor DNS cifrado y, si quieres, con filtrado de rastreadores. Lo único que necesitas es conocer el nombre de host del proveedor DNS compatible con DoT (DNS-over-TLS).
El procedimiento exacto varía ligeramente según la capa de personalización del fabricante, pero la idea es siempre parecida: entrar en los ajustes de red y configurar un DNS privado con nombre de host. Por ejemplo, para usar AdGuard DNS cifrado, se suele introducir algo como dns.adguard-dns.com; para otros servicios, el proveedor indica el host correspondiente.
Al activar un DNS privado de este tipo, el sistema empieza a cifrar las consultas DNS y a enviarlas al servidor seleccionado. Si el proveedor también aplica listas de bloqueo, automáticamente se cortan las peticiones a dominios de publicidad y rastreadores. Es una medida reversible y gratuita, así que puedes probar distintos servicios hasta encontrar el que mejor se adapte a tu uso diario.
Este cambio no sustituye a una VPN ni cifra todo el contenido de tu tráfico, pero ofrece una primera capa defensiva muy potente, válida para cualquier app que utilice el sistema DNS del dispositivo. En un escenario en el que todo el mundo quiere saber más de ti, es un ajuste que merece la pena activar cuanto antes.
Bloquear publicidad y rastreadores en toda la red desde el router
Si quieres ir un paso más allá, en lugar de configurar cada dispositivo por separado puedes bloquear anuncios y rastreadores a nivel de red doméstica entera. La idea es simple: tu router ya actúa como intermediario entre tus equipos e internet, y también indica qué DNS deben usar los clientes vía DHCP.
En lugar de dejar los servidores DNS del proveedor de internet, puedes sustituirlos por direcciones de servicios DNS con filtrado incorporado. De esta forma, cualquier dispositivo que se conecte a tu WiFi (móviles, portátiles, Smart TV, consolas, altavoces inteligentes, etc.) utilizará automáticamente esos DNS sin que tengas que tocar nada en cada uno.
Para hacerlo, normalmente entras en la interfaz web del router desde una dirección tipo 192.168.1.1 (o similar) y buscas el apartado donde se configuran los servidores DNS para la conexión WAN o para la red local. Ahí sustituyes los valores actuales por las IP del servicio que prefieras.
Algunas direcciones típicas muy usadas son las de AdGuard DNS (94.140.14.14 y 94.140.15.15), que bloquean anuncios, rastreadores y muchos dominios maliciosos. Otra opción es NextDNS, que permite un nivel de personalización extra; en modo básico puedes indicar IPs como 45.90.28.152 y 45.90.30.152. También hay servicios como ControlD, con pares de direcciones como 76.76.2.2 y 76.76.10.2, que permiten ajustar qué tipo de contenido se filtra.
Una vez guardados los cambios en el router, es importante comprobar que los dispositivos de la casa obtienen los parámetros de red automáticamente mediante DHCP y no tienen DNS fijos configurados manualmente. Así todos empezarán a usar el nuevo DNS filtrante sin mayor esfuerzo.
Servidor doméstico con Pi-hole, AdGuard Home o Technitium
Si quieres un control todavía más detallado, en lugar de depender de un servicio externo puedes levantar tu propio servidor DNS filtrante en casa. Esto te permite decidir qué listas de bloqueo usar, crear tus propias reglas, ver estadísticas de consultas y gestionar dominios internos para tu red.
Las soluciones más populares en este terreno son Pi-hole, AdGuard Home y Technitium DNS Server. Todas funcionan como resolutores DNS que reciben las consultas de tus dispositivos, bloquean los dominios incluidos en listas negras y envían el resto a servidores externos fiables.
Pi-hole es conocido por su facilidad de uso en dispositivos tipo Raspberry Pi y se ha ganado fama de «caja negra» para la publicidad de toda la red. AdGuard Home ofrece una interfaz muy pulida y una configuración bastante flexible, con registros detallados y opciones avanzadas de filtrado DNS. Technitium, por su parte, combina funciones de resolución recursiva, DNS autoritativo y bloqueo de dominios en una misma herramienta de código abierto.
Un servidor como Technitium se puede desplegar fácilmente usando contenedores Docker, configurando puertos como el 53/udp y 53/tcp para el servicio DNS y otros opcionales para DNS cifrado (DoH, DoT, DoQ) o para su interfaz web de administración. A través de esta consola gráfica, puedes activar listas automáticas de bloqueo, definir dominios internos y ver estadísticas de uso, todo desde el navegador.
Además, Technitium soporta protocolos modernos como DNS-over-HTTPS, DNS-over-TLS y DNS-over-QUIC, que cifran las consultas DNS para evitar que tu proveedor de internet o cualquier otro observador vea qué dominios estás resolviendo. También incluye soporte para DNSSEC, aplicaciones DNS personalizadas y una API HTTP para automatizar tareas de gestión.
AdGuard Home, por otro lado, se puede instalar tanto en contenedor como de forma manual en Windows, macOS o Linux. Descargas el binario, lo descomprimes y lo instalas como servicio del sistema usando comandos como AdGuardHome.exe -s install en Windows o sudo ./AdGuardHome -s install en sistemas tipo Unix. Después accedes desde el navegador a http://SERVIDOR:3000 para completar un asistente que te guía en la configuración básica y en la activación de listas de bloqueo por defecto.
Una vez instalado tu servidor DNS doméstico, solo tienes que apuntar el router para que use la IP de esa máquina como DNS principal. Desde ese momento, todos los dispositivos de la red resolverán dominios a través de tu servidor, que filtrará anuncios, rastreadores y dominios maliciosos según las listas que hayas configurado.
DNS recursivo, DNS autoritativo y la importancia del cifrado (DoH, DoT, DoQ)
Para entender mejor qué te ofrecen soluciones como Technitium, conviene repasar rápidamente la diferencia entre un DNS recursivo y uno autoritativo. El recursivo es el que hace el trabajo pesado: si no tiene una respuesta en caché, consulta a los servidores raíz, de dominio de nivel superior (TLD) y luego a los autoritativos hasta encontrar la IP correcta para un dominio.
El DNS autoritativo, en cambio, es el que posee la información oficial sobre un determinado dominio. Guarda registros como A, MX o CNAME y responde con la verdad definitiva sobre la dirección IP, el servidor de correo, etc. Cuando montas tu propio DNS en casa, puedes combinar los dos roles: resolver dominios externos de forma recursiva y, a la vez, ser autoritativo para un dominio interno (por ejemplo, para servicios autohospedados o entornos de desarrollo).
El otro punto clave es el cifrado. Por defecto, la mayoría de las consultas DNS viajan en texto claro por la red, lo que significa que cualquiera con acceso al canal (tu ISP, un administrador de red, un atacante en una WiFi pública) puede ver a qué dominios te conectas. Para solventar esto se han desarrollado varios protocolos:
- DNS-over-HTTPS (DoH): encapsula las consultas DNS dentro de peticiones HTTPS por el puerto 443, haciéndolas parecer tráfico web normal y más difíciles de bloquear o inspeccionar.
- DNS-over-TLS (DoT): usa el puerto 853 y establece una conexión TLS específica para DNS, lo que ofrece cifrado sin pasar por HTTP y una gestión más clara en redes controladas.
- DNS-over-QUIC (DoQ): basa su funcionamiento en QUIC sobre UDP, priorizando baja latencia y seguridad, aunque todavía no está tan extendido como los dos anteriores.
Los servidores modernos como Technitium o algunos proveedores públicos de DNS privados ya permiten usar uno o varios de estos protocolos, evitando que terceros puedan espiar o manipular tus consultas. Esto se complementa muy bien con sistemas operativos que apuestan por bloquear rastreadores a nivel de DNS desde el propio dispositivo.
Cómo detectar y solucionar problemas al bloquear con DNS
Al empezar a jugar con estas configuraciones, es posible que algo no funcione como esperabas. Por ejemplo, puedes instalar una solución como AdGuard Home en un portátil viejo, creer que lo has dejado todo listo y, sin embargo, notar que el control parental o el bloqueo de ciertos servicios no se aplican en los dispositivos.
En estos casos, conviene revisar varios puntos básicos. Primero, comprueba que el DNS configurado en los dispositivos o en el router apunta realmente a la máquina donde corre el servidor. No basta con que el software esté en marcha; si la red sigue usando el DNS del proveedor o de Google, el filtrado nunca entrará en juego.
También es importante verificar que el servidor DNS no esté simplemente reenviando todo el tráfico sin aplicar listas de bloqueo, o que no haya reglas que omitan el filtrado para ciertas redes o direcciones. En soluciones avanzadas como Technitium, puedes definir ACL (listas de control de acceso) que permitan o nieguen la recursión para determinados rangos, así que un ajuste mal puesto puede dejar a tus dispositivos fuera del filtrado.
Por último, hay que recordar que el bloqueo a nivel de DNS no es mágico ni total. No puede aplicar cambios cosméticos en las páginas (ocultar huecos de anuncios, reorganizar elementos, etc.) porque solo actúa en la resolución de nombres. Además, algunos anuncios se sirven desde el mismo dominio que el contenido principal, de modo que bloquearlos implicaría romper la web entera. En esos casos es normal que ciertos banners no desaparezcan, y ahí entran en juego extensiones de navegador o filtros adicionales.
La importancia del feedback para mejorar servicios DNS como AdGuard
Los servicios de filtrado DNS mejoran día a día gracias a la colaboración de los usuarios. Plataformas como AdGuard DNS permiten reportar fácilmente anuncios que se han colado, rastreadores que no se han bloqueado o webs que se rompen por culpa de un filtro demasiado agresivo.
El proceso suele consistir en seleccionar el producto (por ejemplo, AdGuard DNS), indicar qué dispositivo y configuración estás usando, describir el problema, pegar la URL afectada, aportar capturas de pantalla y señalar qué listas de bloqueo tienes activas. Esa información se convierte en un issue público en GitHub, donde los desarrolladores pueden analizarlo, ajustar filtros y mejorar la calidad del servicio.
Cuantos más informes recibe un proyecto de este tipo, más precisos se vuelven sus filtros y menos publicidad o rastreadores se cuelan. También se minimizan los falsos positivos, es decir, sitios que se rompen por bloqueos incorrectos. Por tanto, si detectas que algo no va fino, reportarlo ayuda tanto a ti como al resto de la comunidad.
Con todas estas piezas —cambio de DNS en Android, configuración del router, servidores domésticos como Pi-hole, AdGuard Home o Technitium, y protocolos cifrados como DoH, DoT o DoQ— puedes montar una defensa muy sólida contra el rastreo y la publicidad invasiva, tanto si eliges un sistema operativo ya orientado a bloquear rastreadores a nivel de DNS como si prefieres construir tu propia solución a medida.
