Cómo activar DNS sobre HTTPS (DoH) en Windows 11 y mejorar tu privacidad

Informatec Digital » Recursos » Cómo activar DNS sobre HTTPS (DoH) en Windows 11 y mejorar tu privacidad

Si te preocupa cada vez más lo que los demás pueden ver de tu actividad en Internet, Windows 11 tiene un ajuste muy potente que casi nadie usa y que puede marcar una gran diferencia en tu privacidad: el cifrado de DNS mediante DNS sobre HTTPS (DoH). Con un par de cambios en la configuración, tus peticiones DNS dejarán de viajar en texto plano y pasarán a ir protegidas dentro de una conexión segura.

Activar DoH en Windows 11 no requiere instalar programas raros ni ser un experto en redes; es algo que puedes configurar en pocos minutos desde las opciones del sistema. A cambio, conseguirás que tu proveedor de Internet, los administradores de una red pública o incluso posibles atacantes tengan mucho más difícil espiar qué webs visitas, registrar tus hábitos de navegación o manipular algunas conexiones. Vamos a ver con calma qué es DoH, por qué merece la pena, cómo activarlo paso a paso y qué opciones avanzadas existen en el ecosistema Windows.

Qué es el DNS y por qué afecta tanto a tu privacidad

Cuando escribes una dirección como adslzone.com o cualquier otra página en el navegador, tu ordenador no se conecta directamente usando ese texto. Lo que realmente entiende la red son direcciones IP numéricas, así que antes de cargar la web tiene que preguntar a un servidor DNS dónde está alojado ese dominio.

El DNS funciona como una especie de guía telefónica de Internet: tú das un nombre y él te devuelve el número (la IP) correspondiente. El problema es que, en la configuración por defecto, esa consulta viaja sin cifrar, en texto plano. Eso significa que cualquier equipo intermedio entre tu PC e Internet —tu operador, un punto de acceso Wi-Fi público, un router comprometido, un atacante en la misma red…— puede ver las direcciones que estás resolviendo.

Además, muchos proveedores aprovechan esta situación para generar un historial muy detallado de todas las webs que visitas. Es información extremadamente sensible, porque permite perfilarte como usuario: qué servicios usas, qué intereses tienes, qué horarios manejas, etc. Esos datos pueden usarse para publicidad, venderse a terceros o, en el peor de los casos, acabar en manos de actores maliciosos.

También hay que tener en cuenta que, al ir sin cifrado, ciertas entidades pueden aplicar bloqueos de páginas a nivel de DNS, redirigir dominios a webs con publicidad o incluso manipular respuestas para lanzar ataques. Todo esto se hace aprovechando precisamente que el tráfico DNS tradicional viaja en claro y sin integridad garantizada.

Qué es DNS sobre HTTPS (DoH) y qué ventajas tiene

DNS sobre HTTPS, o DoH, es un sistema que toma esas peticiones DNS de toda la vida y las encapsula dentro de una conexión HTTPS cifrada. Es el mismo tipo de cifrado que se usa cuando entras en una web segura con candado en el navegador, pero aplicado al canal que utiliza tu equipo para resolver nombres de dominio.

Con DoH activo, las consultas DNS dejan de ser fácilmente visibles para cualquiera que esté en medio del camino. Lo único que verán es tráfico HTTPS cifrado hacia el servidor del proveedor DNS. No podrán leer qué dominios preguntas, ni modificar la respuesta sin romper la seguridad de la conexión.

Entre las principales ventajas de activar DNS sobre HTTPS en Windows 11 destacan varias muy claras: por un lado, tu operador ya no puede ver ni registrar cómodamente todo tu historial de dominios; por otro, se complica mucho la interceptación o manipulación de las peticiones por parte de terceros. Además, en algunos casos puede ayudarte a saltarte ciertos bloqueos básicos implementados a nivel DNS por algunos proveedores.

Conviene tener en cuenta que el cifrado introduce un pequeño proceso extra en cada consulta, pero en la práctica la pérdida de rendimiento suele ser mínima o imperceptible para la mayoría de usuarios. A cambio, la mejora en privacidad y seguridad es considerable, así que el balance suele salir muy a favor de activarlo.

Cómo activar DNS sobre HTTPS (DoH) en Windows 11 paso a paso

Windows 11 incluye soporte nativo para DNS sobre HTTPS, así que no necesitas programas externos. El proceso se resume en dos partes: configurar manualmente unos servidores DNS compatibles con DoH y después elegir el tipo de cifrado que quieres usar para esos servidores.

1. Accede a la configuración de red de Windows 11

Lo primero es abrir la aplicación de Configuración del sistema. La forma más rápida es pulsar teclas Windows + I al mismo tiempo. También puedes hacerlo desde el menú Inicio, pero el atajo es más cómodo si lo vas a repetir varias veces.

Dentro de Configuración, ve al apartado «Red e Internet». Ahí verás las opciones tanto para conexiones Wi-Fi como para Ethernet (cable). Escoge la que estés usando en ese momento: si navegas por Wi-Fi, pulsa en «Wi-Fi»; si estás por cable, entra en «Ethernet».

Una vez dentro de la sección correspondiente, localiza tu conexión activa y haz clic en «Propiedades de hardware» o en la entrada que muestre los detalles de la red. Desde ahí podrás modificar la configuración de IP y de DNS para esa interfaz concreta.

2. Cambia la asignación de DNS a manual

En las propiedades de tu conexión verás un apartado llamado «Asignación de servidor DNS». Lo normal es que esté en «Automático (DHCP)», lo que significa que tu router o tu operador son los que deciden qué DNS usas y cómo se gestionan esas peticiones.

Haz clic en el botón «Editar» de esa sección. Se abrirá una ventana emergente en la que debes seleccionar la opción «Manual» en el desplegable de configuración. Este cambio permite que seas tú quien indique qué servidores DNS quieres usar en lugar de aceptar los que te asigna la red.

Dentro de la configuración manual, activa el interruptor de IPv4 y, si tu red lo admite, también el de IPv6. La mayoría de conexiones domésticas funcionan perfectamente con IPv4, pero cada vez es más habitual disponer de IPv6, así que conviene habilitarlo si está disponible para que las consultas se realicen también por ese protocolo.

3. Elige servidores DNS compatibles con DoH

Una vez habilitado el modo manual, verás los campos para introducir las direcciones IP de los servidores DNS. Aquí es donde tienes que poner los datos de un proveedor que soporte DNS sobre HTTPS de forma oficial, ya que Windows 11 trae registrada una lista interna de Windows de servidores DoH conocidos.

Algunos de los más usados, incluidos ya en la lista interna de Windows para que se configure el cifrado automáticamente, son los siguientes:

• Cloudflare: 1.1.1.1 como DNS preferido y 1.0.0.1 como DNS alternativo. También disponen de direcciones IPv6 2606:4700:4700::1111 y 2606:4700:4700::1001.
• Google Public DNS: 8.8.8.8 como servidor preferido y 8.8.4.4 como alternativo. En IPv6 utilizan 2001:4860:4860::8888 y 2001:4860:4860::8844.
• Quad9: 9.9.9.9 como preferido y 149.112.112.112 como alternativo. En IPv6 cuentan, entre otras, con 2620:fe::fe y 2620:fe::fe:9.

Introduce, por ejemplo, las direcciones de Google o Cloudflare en los campos de DNS preferido y DNS alternativo para IPv4. Si también tienes activado IPv6, rellena sus correspondientes textos con las IPs v6 del proveedor elegido. A partir de aquí, Windows 11 sabrá que esos servidores admiten DoH y podrá ofrecerte las distintas opciones de cifrado.

4. Configura el cifrado DNS (DoH) en Windows 11

Justo bajo las direcciones DNS de cada protocolo aparecen una o varias opciones relacionadas con el cifrado, según la versión de Windows 11 que tengas y el tipo de servidor que hayas puesto. Es donde podrás activar DNS sobre HTTPS y decidir el comportamiento exacto de tu equipo con esas consultas.

En muchas configuraciones, Windows muestra un menú «Cifrado DNS» o «DNS sobre HTTPS» para el DNS preferido y el alternativo. Aquí puedes encontrarte, entre otras, estas posibilidades:

• Solo cifrado (DNS sobre HTTPS): el cliente intentará siempre usar DoH con ese servidor. Si el servidor o la conexión segura fallan, no se hará la consulta en texto plano.
• Cifrado preferido, sin cifrar permitido (o un texto similar): primero se intenta DoH y, si no es posible, se vuelve a las consultas clásicas sin cifrado.
• Solo sin cifrar: desactiva DoH para ese servidor específico, usando solo DNS de texto plano tradicional.

Si tu prioridad es la privacidad y quieres ir a por todas, selecciona «Solo cifrado (DNS sobre HTTPS)» tanto en el servidor preferido como en el alternativo. De esta forma, todo el tráfico DNS hacia esos servidores viajará siempre dentro de HTTPS y nunca en claro.

En algunos textos de la interfaz también puede aparecer la opción «Activado (plantilla automática)». Esto indica que Windows 11 reconoce el servidor como parte de su lista de resolutores DoH conocidos y utiliza automáticamente la plantilla HTTPS adecuada para enviar las consultas cifradas, sin que tengas que indicarla a mano.

5. Usa plantillas DoH manuales con proveedores específicos

Para algunos servidores, o si quieres tener un control aún más fino, puedes encontrarte con la posibilidad de usar una «plantilla manual» de DNS a través de HTTPS. Esto sirve para indicar directamente la URL que utiliza el proveedor para su servicio DoH.

Es el caso, por ejemplo, de ciertas configuraciones avanzadas de Quad9, donde puedes especificar una plantilla concreta que incluya opciones como ECS (EDNS Client Subnet) para que las resoluciones se hagan desde el datacenter más cercano a tu ubicación. En ese campo de plantilla se introduce algo del estilo de la URL que el proveedor documente para su endpoint DoH.

Si eliges la opción de plantilla manual, asegúrate de copiar exactamente la dirección que proporciona el servicio DNS en su documentación oficial. Un error tipográfico podría hacer que el cifrado no funcione o que directamente no se resuelvan los dominios.

Cómo comprobar si DNS sobre HTTPS está funcionando

Una vez que has guardado los cambios en la configuración de tu conexión, lo normal es que las peticiones DNS ya estén viajando cifradas. Aun así, merece la pena hacer un par de comprobaciones para asegurarte de que todo se ha aplicado correctamente y que no estás navegando aún en texto plano sin darte cuenta.

Verificación desde la propia configuración de Windows

Vuelve a la ruta Configuración > Red e Internet > Wi-Fi o Ethernet (según estés usando una u otra) y entra de nuevo en las propiedades de hardware de tu conexión. Baja hasta la sección donde aparecen las direcciones del servidor DNS que acabas de configurar.

Si todo está en orden, junto a cada dirección IP de los servidores DNS debería aparecer alguna indicación como «(Encriptado)» o un texto similar. Esa etiqueta es la forma más rápida de confirmar que Windows ha reconocido el servidor como compatible con DoH y que está aplicando el cifrado a las consultas.

Comprobar DoH con PowerShell

Otra manera muy fiable de comprobar el estado del DNS sobre HTTPS es usar PowerShell, la consola avanzada de Windows. Para ello, abre el menú Inicio, busca «PowerShell», haz clic derecho y selecciona «Ejecutar como administrador» para tener los permisos necesarios.

En la ventana que se abre, escribe el siguiente comando y pulsa Enter:

Get-DnsClientDohServerAddress

La salida de este comando mostrará la lista de servidores DoH que el cliente DNS de Windows conoce, incluyendo los que has configurado. Verás sus direcciones IP y un indicador de estado. Si aparece «Habilitado» para tus DNS configurados, significa que tu equipo está usando DoH con ellos.

Usar pruebas en línea para confirmar el cifrado

Como comprobación adicional, puedes recurrir a páginas de prueba ofrecidas por algunos proveedores de DNS. Por ejemplo, Cloudflare dispone de herramientas online que permiten ver si tu navegador está usando DNS sobre HTTPS o DNS sobre TLS. Solo tienes que acceder a una de estas páginas desde tu navegador habitual y seguir las instrucciones que muestren.

Aunque estas pruebas se centran en el navegador, son una buena referencia para complementar lo que has visto en la configuración de Windows y en PowerShell, confirmando que las consultas salen cifradas desde tu sistema.

DNS sobre HTTPS en Windows Server 2022 y directiva de grupo

Además de en Windows 11, Microsoft ha incorporado soporte para DNS sobre HTTPS en Windows Server a partir de la versión 2022. En estos sistemas, el cliente DNS puede establecer conexiones cifradas mediante HTTPS hacia servidores que estén en su lista de resolutores DoH conocidos, de forma similar a como ocurre en el entorno de escritorio.

En Windows Server con experiencia de escritorio, la configuración básica se hace desde el mismo panel de Configuración > Red e Internet > Ethernet. Seleccionas la interfaz de red a configurar, entras en su pantalla de red, bajas hasta «Configuración de DNS» y pulsas en «Editar» para cambiar el modo de automático a manual, igual que en Windows 11.

A partir de ahí, introduces servidores DNS que estén en la lista de servidores DoH conocidos. Si lo están, se habilitará el desplegable «Cifrado DNS preferido», desde el cual puedes elegir entre varios comportamientos:

• Solo cifrado (DNS a través de HTTPS): todas las consultas DNS se intentan mediante DoH. Si el servidor no soporta DoH o la conexión HTTPS falla, la resolución también falla.
• Se admiten cifrados preferidos y sin cifrar: se prioriza DoH, pero si por algún motivo no es posible, se vuelve a las consultas de DNS en texto plano sin cifrar.
• Solo sin cifrar: se desactiva DoH para ese servidor y se usa exclusivamente DNS tradicional.

Cuando configuras las direcciones DNS de Windows Server usando PowerShell y el cmdlet Set-DnsClientServerAddress, el comportamiento DoH depende de si esas direcciones aparecen o no en la tabla interna de servidores DoH conocidos. En este momento, esa configuración específica de DoH todavía no se puede ajustar con Windows Admin Center ni con herramientas como sconfig.cmd en Server 2022.

Configurar DoH mediante directiva de grupo

Configuración del equipo\Directivas\Plantillas administrativas\Red\Cliente DNS

Al habilitar esta directiva, puedes elegir entre tres comportamientos principales para el cliente DNS:

• Permitir DoH: las consultas se harán mediante DNS sobre HTTPS cuando los servidores DNS configurados lo soporten. Si no lo soportan, se usarán consultas sin cifrar.
• Prohibir DoH: impide el uso de DNS sobre HTTPS, forzando siempre DNS tradicional en texto plano.
• Requerir DoH: obliga a que todas las consultas se hagan con DoH; si los servidores no lo aceptan, la resolución de nombres falla.

Es importante tener cuidado con la opción «Requerir DoH» en equipos unidos a un dominio, porque los servicios de Active Directory dependen fuertemente de DNS tradicional y el rol de Servidor DNS de Windows no admite consultas DoH de forma nativa. En redes de este tipo, si quieres proteger el tráfico DNS interno, suele ser mejor recurrir a soluciones como reglas de seguridad de conexión basadas en IPsec para cifrar el tráfico entre clientes y servidores.

Lista de servidores DoH conocidos en Windows

Tanto Windows 11 como Windows Server incluyen de serie una lista de servidores DNS que se sabe que admiten DoH. Esta lista es la que permite que el sistema habilite de manera automática las opciones de cifrado y las plantillas automáticas para esos servidores concretos.

Para ver qué servidores están en esa lista, puedes usar el cmdlet Get-DnsClientDohServerAddress en PowerShell. Entre los proveedores más habituales que aparecen están Cloudflare, Google y Quad9, con sus direcciones IPv4 e IPv6 más conocidas, como las ya comentadas 1.1.1.1, 8.8.8.8 o 9.9.9.9 junto a sus alternativas.

Si quieres añadir un servidor nuevo a esa tabla de conocidos, por ejemplo un resolutor propio o uno de un tercero especializado, puedes usar el comando Add-DnsClientDohServerAddress indicando la IP del servidor, la plantilla DoH y si permites o no volver a UDP en caso de fallo:

Add-DnsClientDohServerAddress -ServerAddress "<IP-del-resolvedor>" -DohTemplate "<URL-plantilla-DoH>" -AllowFallbackToUdp $False -AutoUpgrade $True

De este modo, Windows sabrá que ese servidor soporta DoH, intentará siempre usarlo de forma segura y, según la opción elegida, evitará en lo posible el retorno a consultas sin cifrar.

Uso de la NRPT (tabla de directivas de resolución de nombres) con DoH

En escenarios avanzados, como redes corporativas complejas o configuraciones híbridas, puedes utilizar la tabla de directivas de resolución de nombres (NRPT) para enviar las consultas de ciertos dominios a servidores DNS concretos. Si esos servidores soportan DoH y están registrados como tal, las consultas para esos espacios de nombres se harán usando DNS sobre HTTPS.

Esto permite, por ejemplo, que determinados dominios críticos o especialmente sensibles se resuelvan siempre a través de un resolvedor de confianza con DoH activo, mientras que el resto del tráfico DNS puede seguir otra política o usar otros servidores diferentes.

Activar y aprovechar DNS sobre HTTPS en Windows 11 —y, cuando proceda, en Windows Server 2022— es una forma bastante sencilla de elevar el nivel de privacidad y seguridad de tu navegación diaria sin cambios drásticos en la forma de usar el equipo. Con unos pocos pasos en la configuración y alguna comprobación extra, tus consultas DNS dejarán de ser ese punto débil que cualquiera podía observar en claro y pasarán a viajar protegidas dentro de una conexión cifrada, mucho más acorde con lo que se espera hoy en día de una conexión segura.