Los proveedores de DNS te permiten mantener seguridad a la hora de realizar búsquedas en Internet. Los servicios de nombres de dominio son uno de los componentes más vitales de Internet el cual usas diariamente. Los sistemas de DNS son parte imprescindible de Internet, aunque no suelen ser del todo seguros.
Es por ello que te traemos la lista de los mejores servicios actualmente, tanto en seguridad como privacidad. Algunos de ellos son de pago, aunque realmente no es necesario pagar para tener un servicio de DNS de calidad. También incluimos algunas opciones para montar tu propio filtrado de DNS.
AdGuard
AdGuard es una empresa que quizás sea más conocida por sus servicios de bloqueo de anuncios, que también son amigables con la privacidad. Se recomienda AdGuard en Avoidthehack (versiones gratuitas o de pago) para bloquear anuncios en dispositivos móviles.
Sin embargo, AdGuard también es respetado por su servicio DNS de bloqueo de anuncios. A partir de julio de 2022, relanzaron su servicio DNS: AdGuard DNS 2.0.
El DNS de AdGuard proporciona sus servicios y tecnología de bloqueo de anuncios a nivel de red. Los solucionadores de DNS de AdGuard pueden bloquear anuncios, rastreadores y dominios maliciosos conocidos. AdGuard 2.0 es compatible con los protocolos DoH, DoT y DNSCrypt y la nueva infraestructura introducida es de código abierto. Además, con 2.0, AdGuard introdujo el filtrado personalizado que permite a los usuarios personalizar las listas de bloqueo.
AdGuard tiene su sede en Chipre y utiliza Anycast para sus servidores, lo que ayuda a promover velocidades de resolución de DNS más rápidas desde prácticamente cualquier parte del mundo. Su infraestructura para sus servicios de resolución de DNS está alojada en Choopa y Serveroid.
El servicio de DNS de AdGuard incluye cierta cantidad de registros, como se detalla en su política de privacidad de DNS.
No recopilan datos personales como direcciones IP, pero almacenan métricas de rendimiento agregadas para sus servidores DNS. Esta información agregada incluye datos como solicitudes completadas a otro servidor en particular, la cantidad de solicitudes bloqueadas y la velocidad de procesamiento de estas solicitudes.
También mantienen y almacenan una base de datos anónima de solicitudes de dominios en las últimas 24 horas. Los datos anonimizados recopilados tampoco se comparten con terceros.
Los solucionadores de DNS de AdGuard son compatibles con los protocolos DoT y DNSCrypt. ¡Además, publican el código fuente de su servidor para su revisión en GitHub!
Velocidades de AdGuard
AdGuard proporciona velocidades rápidas y constantes en casi todos los servidores que se han probado. Promete una conexión rápida, y eso es principalmente lo que los usuarios han obtenido. La caída de velocidad se mantuvo en el rango promedio de 10-20%.
Incluso, te ofrece la posibilidad de elegir entre las 3 ubicaciones más rápidas. Además, AdGuard verifica el ping de cada servidor en tiempo real y actualiza la lista tan pronto como hay un cambio de velocidad. Por lo tanto, las 3 ubicaciones que se muestran pueden cambiar con frecuencia. El ping se ve para cada servidor, por lo que siempre puedes elegir el mejor para tus necesidades.
La lista de servidores se muestra en el lado derecho de la aplicación, con una barra de búsqueda en la parte superior y los 3 servidores más rápidos directamente debajo. Los servidores se enumeran alfabéticamente junto con sus tiempos de ping.
El ping bajo por debajo de 100 ms se muestra en verde, mientras que el ping más alto está en amarillo, lo que facilita encontrar los servidores más rápidos. Lo único que no deja contento a los usuarios es que no puedes cerrar esta ventana, lo que hace que la interfaz esté un poco abarrotada.
NextDNS
NextDNS tiene como objetivo destacado ser el «nuevo cortafuegos para la Internet moderna».
Con sede en los EE. UU., NextDNS ofrece servicios de resolución de DNS gratuitos y de pago (¡pero asequibles!). El nivel gratuito está limitado a 300.000 consultas por mes, pero permite el acceso a todas las funciones, dispositivos y configuraciones ilimitadas.
Sus servidores usan Anycast, por lo que se puede proporcionar un servicio confiable en múltiples ubicaciones. Los solucionadores de DNS de NextDNS pueden bloquear anuncios, rastreadores y dominios maliciosos.
En términos generales, 300.000 consultas al mes son razonables para un par de dispositivos. Sin embargo, se recomienda realizar consultas ilimitadas si tienes muchos dispositivos en tu red. Como referencia, al contar los dispositivos en tu red, esto incluye cualquier dispositivo que use el Wi-Fi para conectarse a Internet.
El servicio no incluye registro siempre que los usuarios no se suscriban. NextDNS afirma que algunas funciones requieren algún tipo de retención de datos. En ese caso, los usuarios tienen la opción, el control y el acceso completo a lo que se registra y por cuánto tiempo.
Entonces, en última instancia, el registro depende de la elección del servidor/función del usuario, lo cual es justo.
NextDNS tiene una gran cantidad de configuraciones y capacidades para ajustar realmente el nivel de bloqueo y filtrado en tus dispositivos y/o red conectados. Por ejemplo, puede especificar si deseas bloquear rastreadores de amplio espectro, rastreadores de terceros «disfrazados», enlaces de afiliados, o puedes bloquearlos todos.
Además, puedes agregar y cambiar listas de bloqueo completas utilizadas, similar a la función de listas de bloqueo que se encuentra en Pi-Hole.
NextDNS también tiene configuraciones centradas en la seguridad disponibles. Tiene la discreción de utilizar fuentes de inteligencia de amenazas y/o detección de amenazas asistida por IA para minimizar los riesgos de seguridad.
También puedes optar específicamente por protegerte contra criptojacking, typosquatting, dominios estacionados y dominios registrados por menos de 30 días. Si es necesario, puedes bloquear dominios completos/subdominios/URL específicos o como mejor te parezca.
Para aquellos con niños, también tiene una pestaña de Control Parental en el tablero que permite bloquear y desbloquear sitios web específicos o categorías de sitios web.
Además, vale la pena mencionar que son un socio de confianza de Mozilla Firefox para ofrecer la función DNS sobre HTTPS de Firefox.
Control D
Control D es un proveedor de servicios de DNS que tiene como objetivo ayudar a los usuarios a «mejorar la privacidad y la productividad».
Control D tiene numerosos filtros seleccionados por el propio servicio. Los filtros van desde el bloqueo de anuncios y el bloqueo de dominios maliciosos hasta el «clickbait» y el bloqueo de telemetría de IoT. También es compatible con listas de bloqueo de terceros, implementables a través de anycast, que no son mantenidas por Control D. Algunas pueden parecer familiares.
Las reglas personalizadas hacen posible un control refinado sobre sitios web específicos. En general, los sitios web que los usuarios agregan como una regla personalizada se pueden bloquear, omitir o redirigir automáticamente a otro dominio. La función “servicios” permite la aplicación de reglas a sitios de transmisión o redes sociales populares y funciona junto con filtros.
Además de admitir DoH y DoT, Control D admite DNS sobre QUIC y DNS sobre HTTP3. DNSSEC es compatible de forma predeterminada, pero los usuarios premium pueden optar por deshabilitar DNSSEC en sus propias configuraciones.
Control D es una empresa hermana de WindScribe, que ha sido un proveedor de red privada virtual (VPN) de buena reputación a lo largo de los años. Los usuarios pueden estar familiarizados con WindScribe en el contexto de la violación de datos, donde las fuerzas del orden ucranianas incautaron servidores no cifrados.
La infraestructura de Control D opera desde nodos de disco RAM, que tratan los datos que pasan a través de ellos como temporales. Ello sucede al apagar los servidores donde, teóricamente, no habría datos presentes. La infraestructura del servicio es interna.
Actualmente, Control D está trabajando en la compatibilidad con Global EncryptedClientHello (ECH), donde los navegadores admiten ECH. Esta función encriptaría el tráfico HTTP y HTTPS por completo, brindando una funcionalidad similar a una VPN o un proxy de reenvío seguro, todo a través de DNS.
Control D ofrece un nivel de servicio de resolución de DNS gratuito. Para los usuarios que requieren o quieran más control, hay dos niveles para el servicio de suscripción premium. En cualquier caso, Control D tiene una política de «no registros».
Ambos niveles premium de Control D brindan a los usuarios un alto grado de personalización sobre sus configuraciones de DNS. Naturalmente, el nivel «Control total» ofrece más opciones de personalización y ajuste que el nivel «Algo de control».
Mullvad
Si estás familiarizado con Mullvad, entonces probablemente lo conozcas mejor por su fantástico servicio Mullvad VPN. En su conjunto, Mullvad es una empresa que se mantiene firme en su creencia de que la privacidad del usuario es importante y debe protegerse. Podemos ver esto reflejado en sus servicios, políticas y otras prácticas comerciales.
Cerca de fines de 2021, Mullvad abrió sus servidores DNS para uso público. Actualmente, este servicio de DNS público todavía está en versión beta. Pero está más o menos listo para la «producción» o para que los usuarios lo utilicen para resolver consultas de DNS.
Dado que está en versión beta, los usuarios deben esperar cambios que puedan afectar el servicio. El servicio Mullvad DNS se proporciona independientemente de su servicio VPN. Mientras que el servicio de VPN es de pago, el servicio de DNS de Mullvad es gratuito.
Mullvad tiene servidores DNS ubicados en EE. UU., Reino Unido, Suecia, Suiza, Australia, Singapur y Alemania. Al emplear este servicio, se usará el servidor DNS más cercano (en términos de saltos, no de ubicación geográfica) para responder consultas primero.
El servicio de DNS público de Mullvad ofrece una estricta política de no registros como se detalla en su política de privacidad. El DNS público de Mullvad viene en dos formatos distintos: servidores que utilizan listas de bloqueo de anuncios y los que no. Por lo general, dada la naturaleza de esta publicación, recomendamos usar las que tienen la función de bloqueo de anuncios.
Mullvad utiliza una variedad de listas de bloqueo de anuncios para los servidores que realizan este servicio, que se detalla en su repositorio de GitHub. Algunas de estas listas incluyen EasyList y AdGuardDNS.
Actualmente, no parece que los usuarios puedan elegir qué listas de adblock usar ni utilizar listas personalizadas a través del servicio. Por lo que no hay capacidades de DNS personalizadas. Sin embargo, Mullvad parece aceptar sugerencias de listas de bloqueo de anuncios en su GitHub.
Cloudflare
Es posible que conozcas a Cloudflare como el mayor proveedor de red de entrega de contenido (CDN) hasta la actualidad.
Los CDN se encuentran dentro de un área gris en la comunidad de privacidad. Su naturaleza y función es actuar como intermediario de terceros entre la conexión de su dispositivo a un sitio web o un servicio web. Al hacerlo, las CDN brindan servicios de equilibrio de carga y proxy inverso para los sitios web que las emplean.
Cloudflare también proporciona un servicio de DNS público (ubicado en 1.1.1.1) que es bastante amigable con la privacidad. El solucionador de Cloudflare bloquea y filtra los dominios maliciosos automáticamente pero no ofrece necesariamente el bloqueo de rastreadores o anuncios.
En pocas palabras, Cloudflare tiene y mantiene una lista de dominios maliciosos/spam (donde se sabe que envían cantidades masivas de spam, albergan malware, etc.) que el servidor no resolverá cuando una solicitud de conexión coincida con un dominio en esta lista.
Esta negativa a resolver significa que tu dispositivo no se conecta con estos dominios maliciosos conocidos. Lo que promueve una experiencia de navegación más segura en tu dispositivo o red.
El servicio DNS de Cloudflare realiza algunos registros, como se detalla en su sitio web. Cloudflare anonimiza la mayoría de los datos recopilados. Los datos recopilados se purgan en 25 horas. Cloudflare participa en el intercambio limitado con terceros (específicamente con la organización APNIC) con un tamaño de muestra de los datos recopilados.
El DNS de Cloudflare es compatible con DoT. La infraestructura para este servicio es interna. Además, al igual que NextDNS, vale la pena mencionar que son un socio de confianza de Mozilla Firefox para ofrecer la función DNS sobre HTTPS de Firefox.
Cloudflare es bien conocido por su infraestructura de red y la tecnología en seguridad. Pero su resolución de DNS 1.1.1.1 se encuentra dirigida directamente a los consumidores. Este servicio oculta tus solicitudes de DNS, protegiendo información importante de tu ISP.
La función Warp opcional busca mejorar las velocidades de navegación, al tiempo que ofrece algunas, pero no todas, las protecciones de una VPN. Si bien 1.1.1.1 y Warp mejorarán tu privacidad en línea, pueden sorprender los problemas de incompatibilidad que se encuentran con este producto.
¿Qué es 1.1.1.1?
Es importante decir anticipándonos que el 1.1.1.1 no se trata de una VPN. Una VPN cifra todos los datos del dispositivo que manejas y envía esa información a un servidor que es controlado por la empresa VPN.
Este proceso oculta tu verdadera dirección del IP y evita que tu ISP, o cualquier espía en la red que manejas, controlen tu tráfico. Para obtener más información sobre las VPN, puedes leer cientos de artículos sobre qué es una VPN y por qué necesitas una.
En lugar de generar preocupaciones por todo el tráfico, 1.1.1.1 solo se enfoca en las solicitudes del sistema de nombres de dominio (DNS). El DNS se trabaja como una guía telefónica que traduce URL legibles por humanos en direcciones IP legibles por operadores como máquinas.
Por lo general, tu ISP maneja la resolución de DNS y, por lo tanto, puedes monitorear todas las actividades en línea como resultado. Pero no si te encuentras utilizando 1.1.1.1, que se hace cargo de la resolución de DNS y, por lo tanto, elimina a los ISP que ingresan sin autorización.
Parte del argumento que conforma el 1.1.1.1 y productos similares es que las VPN son excesivas para la mayoría de las personas, y la protección tiene un alto coste de rendimiento. Si bien una resolución de DNS segura solo protege las solicitudes de DNS la amplia adopción de HTTPS significa que gran parte de tu actividad en línea ya se encuentra encriptada.
Sin embargo, la situación para 1.1.1.1 se vuelve un poco más confusa al momento de introducir la función Warp. Esta permite crear una conexión segura al servidor más cercano de Cloudflare y luego a Internet, como una VPN tradicional.
Warp protege tus datos de cualquier persona que se encuentre conectada en la misma red que tú y de tu ISP. Pero ello no va a ocultar la dirección IP pública. La compañía indica que Warp siempre será gratuito, al igual que su servicio 1.1.1.1.
Quad9
Quad9 es una organización sin fines de lucro que opera resolutores de DNS públicos de alto rendimiento y que respetan la privacidad. Los servidores DNS Quad9 se encuentran en todo el mundo. Específicamente, su infraestructura abarca 150 ubicaciones en 90 países diferentes.
Sus servidores DNS no cuentan con registro y no retienen datos personales sobre los usuarios que utilizan sus servidores. No es necesario registrarse para utilizar el servicio. Las direcciones IP de sus servidores DNS se enumeran y están disponibles para que todos las usen a voluntad.
Quad9 tiene su sede en Suiza, después de haberse mudado de su sede principal en los EE. UU. Al momento de escribir, todavía están trabajando para incorporarse completamente en Suiza. Esta reubicación fue un gran problema porque Suiza tiene algunos de los datos de consumo y privacidad en línea más sólidos que existen.
Quad9 cuenta con bloqueo de amenazas en todos los servidores. Esto significa que al usar los solucionadores de DNS de Quad9, denegarán automáticamente las conexiones a dominios maliciosos conocidos. Lo que en última instancia promoverá y mejorará la seguridad de sus dispositivos y sus conexiones.
Vale la pena señalar que Quad9 proporciona servidores sin bloqueo de amenazas, y tienes la opción de elegir con cuál conectarte. Sin embargo, es muy recomendable usar el servidor que hace uso de su tecnología de bloqueo de amenazas porque es un aumento sin esfuerzo en los niveles de seguridad de tu dispositivo y/o red (y también tu privacidad, al no conectarte a dominios maliciosos conocidos).
Estos dominios maliciosos conocidos son proporcionados por diversas entidades de inteligencia de amenazas asociadas con Quad9 y se actualizan constantemente para ofrecer una mejor protección contra las amenazas más nuevas.
Quad9 admite los protocolos DoH, DoT y DNSCrypt. Además, su infraestructura es una combinación de equipos internos y servicios de alojamiento proporcionados por Packet Clearing House y Global Secure Layer.
Listas blancas de Quad9
Quad9 también utiliza dos métodos de lista blanca. El primero utiliza una lista del millón de dominios más solicitados. Estos datos se extrajeron inicialmente de Alexa, pero la lista de un millón de sitios principales de Alexa ya no se mantiene.
En su lugar, Quad9 ahora usa el feed diario Majestic Million top one Million. El feed se actualiza constantemente y el DNS da cuenta de cualquier cambio.
La segunda es una «lista de oro» de dominios que deben permanecer seguros en todo momento. Estos incluyen sitios y servicios importantes como la nube de Microsoft Azure, Amazon Web Services, entre otros tantos.
Presencia global de Quad9
Los clústeres de servidores DNS Quad9 de todo el mundo reciben las listas de bloqueo, las listas blancas y la lista dorada de dominios.
En el momento del lanzamiento, Quad9 tenía clústeres de servidores DNS en 70 ubicaciones diferentes en todo el mundo, con un aumento programado de 100 para fines de 2017.
Desde Quad9 se explica que cada clúster tiene al menos tres servidores, pero en algunas áreas críticas, como Chicago, tienen cinco, siete o nueve sistemas detrás de un balanceador de carga. El equilibrador de carga de Quad9 elegido es dnsdist, que utiliza una combinación de servidores Unbound y PowerDNS para ofrecer respuestas ultrarrápidas.
Soluciones locales
Pi-hole
Pi-hole es un filtro de DNS de código abierto que funciona bloqueando el contenido web no deseado, como los anuncios.
Pi-hole está diseñado para ser alojado en una Raspberry Pi, pero no está limitado a este dispositivo. El software cuenta con una interfaz web muy sencilla para ver los datos y gestionar el contenido bloqueado.
AdGuard Home
Al igual que hemos hablado más arriba de su versión comercial, también podemos optar por la versión self-hosted de AdGuard.
AdGuard Home es un filtro DNS open-source que utiliza el filtrado DNS para bloquear contenidos web no deseados, como la publicidad. Además, este software cuenta con una cuidada interfaz web para ver los datos y gestionar el contenido bloqueado.
Conclusión
Utilizar un servicio de DNS que filtre el tráfico te va a permitir una mayor seguridad, sobre todo cuando se trata de dispositivos de menores o dispositivos más vulnerables. Una protección correcta a nivel de DNS puede ser una buena barrera contra todo tipo de problemas indeseados.
