Una fuga de DNS es una vulnerabilidad de privacidad que ocurre cuando tus consultas DNS — las búsquedas que traducen nombres de dominio como google.com en direcciones IP — viajan fuera de tu túnel cifrado y llegan a los servidores de tu ISP. Incluso con una VPN activa, tu proveedor de Internet puede ver cada sitio web que visitas si tienes una fuga de DNS. Puedes verificar tu seguridad DNS ahora mismo en whatsmy.fyi.
¿Qué es el DNS?
DNS (Domain Name System) es la guía telefónica de Internet. Cada vez que escribes una dirección web en tu navegador, tu dispositivo envía una consulta DNS preguntando «¿cuál es la dirección IP de este dominio?» Un resolvedor DNS — normalmente operado por tu ISP — busca la respuesta y devuelve la IP para que tu navegador pueda conectarse.
Por defecto, esta búsqueda se envía en texto plano sobre el puerto UDP 53. Tu ISP puede registrar cada consulta DNS, construyendo un registro detallado de tus hábitos de navegación sin ver nunca el contenido de tu tráfico.
¿Qué es una fuga de DNS?
Cuando usas una VPN, todo tu tráfico de Internet — incluidas las consultas DNS — debería viajar a través del túnel VPN cifrado y salir a través de los servidores de tu proveedor de VPN. Una fuga de DNS ocurre cuando tu dispositivo evita este túnel para las consultas DNS y las envía directamente al resolvedor DNS de tu ISP.
El resultado: tu VPN oculta tu dirección IP y cifra tus datos de navegación, pero tu ISP aún recibe un registro completo de cada nombre de dominio que visitas.
¿Por qué ocurren las fugas de DNS?
- DNS en túnel dividido: Algunos clientes VPN usan túnel dividido para enrutar solo cierto tráfico a través de la VPN. Si DNS no está explícitamente incluido en el túnel, las consultas van a través de la interfaz predeterminada.
- Fallback DNS a nivel de SO: Windows tiene una función llamada «smart multi-homed name resolution» que envía consultas DNS a todas las interfaces de red disponibles simultáneamente.
- Fugas DNS por IPv6: Muchas VPN solo hacen un túnel con el tráfico IPv4. Si tu dispositivo tiene una conexión IPv6, las consultas DNS pueden viajar sobre la interfaz IPv6 desprotegida.
- Anulación DNS por DHCP: Al conectarte a una red, DHCP asigna un servidor DNS. Si tu dispositivo acepta esta asignación en lugar de usar el DNS de la VPN, las consultas se filtran a ese servidor.
Cómo corregir una fuga de DNS
Opción 1: Usa una VPN con protección integrada contra fugas de DNS
La mayoría de los proveedores de VPN de confianza incluyen protección contra fugas de DNS como característica. Busca este ajuste en tu cliente VPN y asegúrate de que esté habilitado.
Opción 2: Configura un resolvedor DNS centrado en la privacidad
- Cloudflare 1.1.1.1 — Rápido, centrado en privacidad, sin registro de consultas. Admite DNS sobre HTTPS y DNS sobre TLS.
- Google 8.8.8.8 — Ampliamente usado, confiable. Algún registro de consultas para seguridad.
- Quad9 9.9.9.9 — Centrado en privacidad con bloqueo integrado de malware. Operado sin fines de lucro.
Opción 3: Habilita DNS sobre HTTPS (DoH)
DNS sobre HTTPS cifra las consultas DNS envolviéndolas en HTTPS. Tu ISP ve tráfico HTTPS hacia un proveedor DoH — no los nombres de dominio individuales que estás resolviendo.
Fuga de DNS vs fuga de WebRTC
Las fugas de DNS y las fugas de WebRTC son problemas separados pero ambos pueden exponer tu identidad real al usar una VPN. whatsmy.fyi verifica ambos en la misma página.
Preguntas frecuentes
¿Puedo tener una fuga de DNS sin usar una VPN?
Técnicamente no — una «fuga» implica tráfico evitando un canal seguro esperado. Sin una VPN, todas tus consultas DNS van a tu ISP por defecto; esto es funcionamiento normal. La solución es cambiar a un resolvedor DNS que respete la privacidad o habilitar DNS sobre HTTPS.
¿Una fuga de DNS expone mis contraseñas o el contenido de mi navegación?
No. Las fugas de DNS solo exponen los nombres de dominio que visitas (ej.: google.com), no el contenido de tus conexiones. Tus contraseñas, mensajes y contenido de páginas todavía están protegidos por cifrado TLS.
