- El DNS es una pieza clave de la privacidad: cambiarlo y cifrar las consultas limita el rastreo y ciertos tipos de ataques.
- Android 9+ permite usar DNS privado (DoT), pero los dispositivos conectados al hotspot suelen necesitar su propia configuración DNS.
- Servicios como Cloudflare, Google, Quad9 o NextDNS mejoran velocidad, seguridad y control de contenidos frente al DNS del operador.
- Combinar DNS cifrado con VPN y, si procede, un DNS casero (AdGuard Home, Pi-hole) ofrece el mayor nivel de protección en casa y en movilidad.
Si tiras de datos móviles para todo y además sueles compartir Internet con el portátil, la tablet o la consola, convertir el móvil en un punto de acceso robusto con DNS personalizados y cifrados es uno de esos ajustes que de verdad marcan la diferencia. No hace falta ser ingeniero de redes: con entender unas cuantas ideas básicas y toquetear bien dos o tres menús puedes mejorar la velocidad, reforzar la privacidad y recortar bastante el cotilleo de tu operadora o de las WiFi públicas.
También es lógico que te preguntes si al activar el hotspot del móvil esa protección llega de verdad al resto de aparatos que se conectan. La realidad es que, según cómo configures los DNS en Android, iPhone, ordenadores, router y apps, el blindaje puede quedarse solo en el móvil o extenderse, con matices, al resto de dispositivos. Vamos a repasar todo el escenario con calma y con un enfoque práctico, sin jerga irrelevante, para que sepas exactamente qué puedes esperar y qué debes configurar.
Qué es el DNS y por qué te interesa cuidarlo
El DNS, acrónimo de Domain Name System, funciona como la agenda de contactos de Internet: tú escribes un nombre fácil de recordar como «google.com» y, por debajo, el sistema tiene que traducirlo a una dirección IP numérica para llegar al servidor correcto. Esa «traducción» la realizan unos servidores especializados, y casi todas las conexiones empiezan preguntando a un servidor DNS qué IP corresponde a un dominio.
Por defecto, tu móvil, tu router o la WiFi del bar utilizan el DNS que les entrega automáticamente el operador. Normalmente no tocas nada y todo «funciona», pero hay letra pequeña: las consultas suelen ir en texto claro y representan un registro bastante detallado de todo lo que visitas. Tu proveedor ve qué dominios consultas, aunque la web en sí vaya por HTTPS.
Además, el DNS se usa en muchos países y redes corporativas para bloquear el acceso a determinadas páginas. Basta con que el servidor DNS deje de resolver cierto dominio y, a ojos del usuario, esa web parece caída o desaparecida. No sale un mensaje de «censurado», simplemente no responde.
Si tomas tú el control de qué servidores DNS utilizas y cómo se comunica tu dispositivo con ellos, puedes ganar rendimiento, mejorar mucho tu privacidad y saltarte algunos filtros. Y, de paso, transformar tu móvil en un hotspot bastante más seguro que el que sale «de fábrica».
Desventajas del DNS clásico y riesgos reales
El DNS tradicional tiene un fallo de diseño importante: las consultas ni se cifran ni se autentican. En una red normal, cualquiera que controle la infraestructura (un atacante, el dueño del WiFi gratis de hotel, aeropuerto o cafetería) puede ver qué dominios estás mirando, modificar respuestas sobre la marcha o redirigirte a sitios falsos sin que lo notes.
Seguro que has visto el típico ejemplo en WiFi gratis de hotel, aeropuerto o cafetería donde, en lugar de abrir directamente la web que has tecleado, primero aparece una página de login o de publicidad. Eso se consigue alterando la respuesta DNS para apuntar a otra dirección IP distinta. La misma técnica, en manos de alguien malintencionado, puede acabar en algo mucho más serio.
Con un simple cambio en la respuesta, un ciberdelincuente podría mandarte a una página de phishing que imita a tu banco o a tu correo, o hacia un sitio que descarga malware. Tu navegador ve una dirección aparentemente correcta, pero la IP adonde llega no es la legítima.
El control del DNS también se emplea para filtrar o censurar contenidos. Empresas, universidades y gobiernos bloquean dominios completos de descargas, webs incómodas o servicios concretos. Como el usuario solo percibe que «esa página no carga», es una forma de censura muy silenciosa.
No hay que olvidar la parte comercial: con un historial completo de peticiones DNS, tu proveedor puede elaborar perfiles bastante finos sobre tus hábitos, intereses y horarios. Esa información se puede usar para segmentar publicidad, vender datos agregados o aplicar prácticas comerciales muy agresivas.
Ventajas de cambiar los servidores DNS
Elegir tú mismo los servidores DNS del móvil, del PC o del router no es un capricho para frikis. Al hacerlo, puedes mejorar velocidad, privacidad, seguridad y acceso a contenidos. No esperes milagros de pasar de ADSL a fibra, pero sí un comportamiento más fino y bajo tu control.
A nivel de rendimiento, muchos resolutores públicos tienen infraestructura muy optimizada, con nodos repartidos por todo el mundo, lo que se traduce en respuestas más rápidas al preguntar por una web. Ganar unos milisegundos en cada consulta parece poco, pero en una navegación con decenas de peticiones por página se nota.
En el terreno de la privacidad, varios proveedores públicos prometen políticas de retención de datos más estrictas que las de la operadora. Cloudflare, por ejemplo, afirma purgar los registros en poco tiempo y no monetizar las consultas. Quad9 presume de recoger solo lo imprescindible para centrarse en la seguridad.
En cuanto a protección, hay servicios como Quad9, algunos perfiles de OpenDNS o NextDNS que integran listas negras de malware, phishing, botnets y publicidad muy invasiva. Cuando intentas acceder a un dominio conocido por ser peligroso, el DNS directamente bloquea la resolución y evita que la web llegue a cargarse.
Finalmente, al usar un DNS de un tercero fuera del control de tu proveedor o de tu país, puedes esquivar buena parte de los bloqueos por DNS. No siempre funcionará al 100 %, pero en muchas webs «misteriosamente caídas» basta con cambiar a otro resolutor.
Si quieres afinar al máximo, puedes probar varios proveedores y usar herramientas como DNSPerf o mide la velocidad de tu red en tiempo real para ver cuál responde mejor desde tu zona. Lo ideal es combinar uno muy rápido con uno muy respetuoso con la privacidad.
Servidores DNS recomendados para velocidad, privacidad y seguridad
A la hora de elegir proveedor no hay un ganador universal: influyen mucho tu ubicación, tus prioridades de privacidad y el grado de filtrado que quieres. Aun así, hay varios servicios gratuitos y muy conocidos que merece la pena tener en la recámara como DNS personalizados para tu hotspot.
Uno de los veteranos es Google Public DNS, con IPv4 8.8.8.8 y 8.8.4.4, y equivalentes en IPv6. Es rápido, estable y soporta cifrado mediante DNS-over-TLS y DNS-over-HTTPS con el nombre de host dns.google, que es justo el formato que necesitas en el ajuste de DNS privado de Android.
Cloudflare es otro de los grandes, famoso por su 1.1.1.1. Sus direcciones IPv4 son 1.1.1.1 y 1.0.0.1, y para Android con DNS privado se usan hostnames como one.one.one.one o 1dot1dot1dot1.cloudflare-dns.com. Hace mucho hincapié en la privacidad y suele aparecer en los primeros puestos de sitios de benchmarks como DNSPerf.
Si tu prioridad absoluta es la seguridad, Quad9 es una alternativa muy interesante, con IP destacada 9.9.9.9 y host dns.quad9.net para DoT. Este proyecto mantiene listas de dominios maliciosos y bloquea el acceso antes de que el navegador cargue nada, actuando como un escudo en la propia resolución de nombres.
También hay servicios configurables como OpenDNS (Cisco) o NextDNS, que permiten montar perfiles de filtrado, control parental, bloqueo de anuncios y registros detallados de actividad. Son ideales si quieres reglas muy finas para dispositivos de trabajo o equipos que usan menores.
Si quieres afinar al máximo, puedes probar varios proveedores y usar herramientas como DNSPerf u otros test de latencia para ver cuál responde mejor desde tu zona. Lo ideal es combinar uno muy rápido con uno muy respetuoso con la privacidad.
DNS seguros: DoH, DoT, DNSCrypt y el «DNS privado» de Android
Cuando hablamos de DNS seguro en realidad nos referimos al canal por el que viajan las consultas entre tu dispositivo y el resolutor. En lugar de ir en claro, protocolos como DNS-over-HTTPS (DoH), DNS-over-TLS (DoT) o DNSCrypt añaden cifrado y, en algunos casos, autenticación del servidor.
Con DNS-over-HTTPS, las peticiones DNS se encapsulan dentro de conexiones HTTPS normales por el puerto 443. Esto hace más complicado que un operador o un sistema de censura pueda distinguir y bloquear el tráfico DNS sin cargarse a la vez buena parte del resto de navegación.
DNS-over-TLS, por su parte, utiliza el protocolo TLS específicamente para las consultas DNS, manteniendo un canal cifrado entre tu dispositivo y el servidor. Android usa DoT cuando configuras el famoso «DNS privado», por lo que lo que realmente estás haciendo es forzar ese tipo de canal seguro a nivel de sistema.
DNSCrypt es otra solución que aporta cifrado y autenticación, aunque ha perdido algo de protagonismo frente a DoH y DoT. Aun así, sigue muy presente en montajes caseros, resolutores propios y configuraciones de usuarios avanzados que montan su propia infraestructura DNS en casa o en servidores remotos.
En Android 9 y posteriores, la opción de DNS privado habría sido más clara si se llamase «DNS seguro»: no montas un servidor tuyo, simplemente indicas un proveedor que soporte DoT y obligas al sistema a hablar con él cifrado. Si el servidor no soporta ese protocolo, la conexión falla, precisamente para evitar volver a DNS sin cifrar sin que te enteres.
DNS seguro y VPN: aliados, no sustitutos
Activar un DNS cifrado mejora muchísimo el panorama, pero no es lo mismo que usar una VPN. Con DoH o DoT, solo las peticiones DNS viajan protegidas; el resto del tráfico (webs, vídeos, descargas) seguirá dependiendo de HTTPS y de lo que haga cada app.
Una VPN crea un túnel cifrado entre tu dispositivo y un servidor remoto, de manera que todo lo que sale del móvil (o casi todo, según la app) va cifrado hasta la VPN y con una IP de salida distinta. Muchos servicios comerciales incluyen sus propios DNS protegidos dentro del túnel para evitar fugas hacia la operadora.
Hay proveedores de VPN que permiten elegir si quieres usar sus DNS, otros públicos o uno propio, lo que abre la puerta a combinar DNS casero y VPN para conseguir un nivel de control muy alto. Otros simplemente ignoran la configuración de DNS privado de Android y tiran de sus resolutores internos.
Lo ideal, si te preocupa seriamente la privacidad, es combinar DNS seguro con VPN: mantienes las consultas cifradas a nivel de sistema y, cuando te conectas a la VPN, todo el tráfico, incluidas esas consultas, viaja dentro del túnel. Esto es especialmente recomendable en redes públicas o cuando viajas.
Aun así, si estás empezando, solo el salto de pasar de DNS tradicional a DNS cifrado ya es enorme. Es un cambio rápido de hacer y reduce mucho la capacidad de terceros para espiarte o manipular tus resoluciones.
Cómo cambiar las DNS en Android: versiones modernas y antiguas
En Android, el proceso para personalizar DNS depende bastante de la versión que lleve tu móvil y de las capas de cada fabricante. Desde Android 9 (Pie) en adelante tienes la opción de DNS privado a nivel de sistema, que se aplica tanto a WiFi como a datos móviles, y por tanto también afecta al hotspot que crees desde ese teléfono.
En muchos móviles la ruta estándar es algo del estilo Ajustes > Red e Internet (o Conexiones) > DNS privado. En Samsung recientes suele estar en Ajustes > Conexiones > Más ajustes de conexión > DNS privado. Una vez dentro verás varios modos: Desactivado, Automático y Nombre de host del proveedor.
En el modo Automático, el sistema intenta usar DNS cifrado con el servidor que le da la red, pero si no funciona, vuelve silenciosamente a DNS sin cifrar. Si quieres ir a tiro fijo, elige «Nombre de host del proveedor de DNS privado» y escribe el dominio del servicio (por ejemplo, dns.google o one.one.one.one).
Es importante que tengas en cuenta que en este campo Android no acepta direcciones IP numéricas tipo 1.1.1.1 u 8.8.8.8. Siempre debes usar el nombre de host que indique el proveedor. Si te equivocas al escribirlo o el servidor deja de responder, verás que ninguna web carga aunque tengas datos o WiFi; simplemente vuelve a poner el modo Desactivado o Automático para recuperar la navegación.
Si tu dispositivo sigue en Android 8 o anterior, no tendrás esta opción global. En ese caso, solo puedes modificar manualmente el DNS de cada red WiFi: entras en Ajustes > WiFi, pulsas sobre la red conectada, eliges Modificar red y cambias la configuración IP de DHCP a Estática para desbloquear los campos DNS 1 y DNS 2.
Convertir tu Android en un hotspot seguro con DNS personalizados
Cuando activas el tethering o punto de acceso WiFi, tu móvil se comporta como un mini router: asigna IP privadas por DHCP a los clientes (portátil, tablet, consola) y les indica qué servidores DNS deben usar. Lo habitual es que esos DNS sean los que la red móvil entrega al teléfono.
Si has configurado DNS privado en Android 9 o superior, las consultas que hace el propio móvil irán cifradas hacia el proveedor que hayas elegido. El problema es que muchos modelos no propagan esa configuración a los dispositivos conectados al hotspot, sino que siguen anunciando los DNS del operador en las respuestas DHCP.
Esto se traduce en que tu smartphone navega protegido, pero el portátil que se cuelga de su punto de acceso puede seguir preguntando a los DNS de la operadora como si nada. Desde el punto de vista del ISP, la diferencia es mínima respecto a que conectases el portátil directamente.
Para conseguir una protección homogénea, lo más fiable suele ser configurar el DNS personalizado en cada dispositivo cliente. En Windows, macOS o Linux puedes entrar en las propiedades de la conexión WiFi (la que ve el hotspot del móvil) y escribir manualmente servidores como 1.1.1.1 / 1.0.0.1, 8.8.8.8 / 8.8.4.4 o los que prefieras.
En iPhone o iPad puedes ir a Ajustes > Wi-Fi, tocar la «i» del hotspot del Android y cambiar «Configurar DNS» a Manual para añadir tus direcciones. Es algo pesado si tienes muchos equipos, pero es la forma de garantizar que tanto el móvil como los dispositivos conectados pasan por resolutores que tú controlas.
DNS casero, AdGuard Home, Pi-hole y acceso desde el hotspot
Si tienes un servidor en casa (NAS, mini PC, Raspberry Pi…), puede que ya hayas montado un DNS personalizado local, accesible en una IP tipo 192.168.x.x, y que tu router lo esté anunciando por DHCP. En ordenadores Windows, Linux y Mac suele funcionar sin problemas, pero Android a veces ignora esos DNS locales o no permite usarlos como DNS privado.
El ajuste de DNS privado de Android solo admite nombres de host públicos que hablen DoT, no direcciones IP internas. Si intentas poner ahí la IP de tu DNS casero, fallará la verificación con mensajes tipo «no se puede conectar». Por tanto, ese menú no sirve para enganchar un resolutor que solo vive en tu red local.
La forma más sencilla de aprovechar soluciones como AdGuard Home o Pi-hole es configurarlas como DNS del router, de manera que todos los dispositivos conectados por WiFi o cable, incluidos los Android, usen ese resolutor mientras estén en tu casa. Así obtienes filtrado de publicidad, bloqueo de malware y control parental de forma centralizada.
Si quieres seguir usando ese DNS doméstico cuando sales de casa y además que el hotspot del móvil se beneficie de él, tienes dos caminos principales: exponer tu DNS casero a Internet mediante DoH/DoT o montar una VPN propia (WireGuard, OpenVPN, etc.) hacia tu red doméstica.
Publicar el DNS hacia fuera exige abrir puertos en el router, usar certificados válidos y asegurar bien el servicio, porque pasará a ser una pieza accesible desde cualquier parte del mundo. Es potente, pero arriesgado si no controlas lo que haces.
La opción de la VPN, en cambio, hace que cuando te conectes desde el móvil todo el tráfico, incluidas las consultas DNS, viajen a través de tu red local y pasen por AdGuard Home o Pi-hole como si estuvieras en casa. Es más trabajo de configuración inicial, pero no dejas el resolutor expuesto al exterior.
DNS, control de contenidos y bloqueo de escapes en redes WiFi
En entornos corporativos, redes de invitados o soluciones tipo WifiCloud, el DNS se usa también como mecanismo de filtrado de contenidos. Se configuran DNS propios en la WAN del equipo y se aplican reglas de firewall para impedir que el usuario cambie sus DNS por otros públicos como 8.8.8.8 y se salte los filtros.
Una estrategia típica es permitir solo el tráfico DNS (puerto 53) hacia las IP de los resolutores autorizados y bloquear cualquier otra petición a nivel de firewall. De este modo, aunque alguien intente configurar manualmente 8.8.8.8 en su portátil, esas consultas no salen a Internet y el usuario se queda sin navegación.
Este enfoque ilustra que, del mismo modo que tú puedes usar DNS personalizados para ganar privacidad, los administradores de red pueden forzar el uso de determinados DNS para reforzar políticas de control parental, seguridad o cumplimiento normativo.
Si estás al otro lado, como usuario que levanta su propio hotspot, lo que te interesa es justo lo contrario: asegurarte de que ni la operadora ni una WiFi intermedia se salten tu configuración. Por eso resulta tan importante usar protocolos cifrados (DoH/DoT) y, cuando procede, una VPN que encapsule todo el tráfico.
Vista toda la película, queda claro que el DNS es mucho más que un mero traductor de nombres: es una pieza estratégica de la conexión. Ajustando DNS seguros y personalizados en tu móvil Android y completándolo con cambios en iPhone, ordenadores y router, puedes conseguir que tanto tu navegación diaria como el hotspot del móvil trabajen de tu lado y no al revés, equilibrando mejor velocidad, libertad y protección sin necesidad de complicarte la vida en exceso.
