DNS público de Mullvad: guía completa en español

Informatec Digital » Recursos » DNS público de Mullvad: guía completa en español

Si has llegado hasta aquí preguntándote si instalar un perfil DNS de Mullvad en el móvil o en el Mac cambia realmente tu proveedor de DNS, no eres el único. Mucha gente ve que, después de instalar el perfil, en los ajustes de red siguen apareciendo servidores como 1.1.1.1 o los de su operador y piensa que algo no está funcionando. En realidad, todo esto tiene truco: iOS, macOS y muchos navegadores manejan el DNS a varios niveles, y la interfaz clásica de «DNS del sistema» no siempre refleja lo que está pasando por debajo.

Además, Mullvad no ofrece un DNS cualquiera, sino un servicio de DNS público cifrado (DoH y DoT) con filtros de privacidad que se puede usar aunque no seas cliente de su VPN. Eso abre muchas dudas razonables: ¿pueden dar DNS sobre HTTPS usando los DNS de otra empresa?, ¿qué pasa si estoy conectado a la VPN?, ¿pierdo velocidad?, ¿cómo sé si realmente estoy usando sus servidores y no los del ISP?

Qué es el DNS público cifrado de Mullvad y para qué sirve

El servicio de DNS público de Mullvad es un resolver de DNS accesible por DNS over HTTPS (DoH) y DNS over TLS (DoT). En vez de enviar las peticiones DNS «a pelo» en texto claro por UDP/TCP 53, el dispositivo establece una conexión cifrada (HTTPS o TLS) con los servidores de Mullvad y todas las consultas van encapsuladas dentro de esa conexión.

El objetivo principal es evitar que terceros (proveedor de Internet, redes WiFi públicas, etc.) puedan espiar qué dominios visitas cuando no estás conectado a la VPN de Mullvad. Con la VPN activa, tus consultas DNS ya van por el túnel cifrado hacia un resolver dentro del propio servidor VPN y el beneficio extra de usar DoH/DoT suele ser mínimo e incluso contraproducente en términos de latencia.

Un detalle interesante es que este servicio es público y gratuito, y no requiere tener cuenta de Mullvad VPN. Puedes usarlo en navegadores, móviles, ordenadores o incluso a nivel de sistema siempre que el dispositivo soporte DoH o DoT.

Para ayudar con la primera resolución, Mullvad mantiene un resolver DNS muy limitado en el puerto 53 (UDP/TCP) que sólo sirve para resolver nombres como dns.mullvad.net, adblock.dns.mullvad.net y similares. La idea es que el cliente pueda averiguar la IP del resolver cifrado antes de empezar a usar DoH/DoT; el resto de consultas no se sirven por ese canal sin cifrar.

Características de privacidad y seguridad del DNS de Mullvad

Además del propio cifrado, el servicio de DNS público de Mullvad incorpora varias medidas adicionales orientadas a la privacidad del usuario que conviene entender si buscas algo más que un simple cambio de servidor DNS.

Por un lado, incluye bloqueo de contenidos configurable mediante distintos perfiles. Según el hostname de DNS que utilices, podrás bloquear anuncios, rastreadores, dominios maliciosos, páginas para adultos, webs de apuestas y redes sociales. Es una forma de filtrar bastante agresiva a nivel de DNS sin tener que andar instalando listas manualmente en cada dispositivo.

También implementan minimización QNAME, una técnica mediante la cual el servidor de Mullvad reduce al mínimo la información que comparte con otros servidores DNS durante el proceso de resolución. Así, los servidores autoritativos que participan en la cadena ven menos datos sobre la consulta original y se limita la exposición de tu actividad de navegación.

En cuanto a la disponibilidad, Mullvad usa un servicio anycast: varias máquinas repartidas en distintas ubicaciones anuncian la misma dirección IP de DNS, y el enrutado de Internet debería llevar tus peticiones al servidor «más cercano» en términos de topología de red. Si el servidor más próximo cae, el tráfico se redirige al siguiente sin que tengas que cambiar nada en tu configuración.

Conviene saber que no utilizan ECS (EDNS Client Subnet) ni tienen servidores DNS en España. Eso significa que, para servicios que dependen mucho de la geolocalización (CDN, por ejemplo), algunas resoluciones pueden dirigirte a puntos de presencia cercanos al servidor DNS de Mullvad en lugar de a un nodo español. En la práctica esto puede implicar algunos milisegundos extra de latencia en ciertas circunstancias.

Perfiles de bloqueo y hostnames disponibles en Mullvad DNS

La forma de elegir qué tipo de filtrado quieres es cambiando el hostname de DNS que configuras en DoH o DoT. Cada nombre apunta a un perfil distinto, con varios niveles de bloqueo:

• dns.mullvad.net: resolución «limpia», sin bloqueo de anuncios, rastreadores ni nada. DNS sin filtros.
• adblock.dns.mullvad.net: bloquea publicidad y rastreo básico.
• base.dns.mullvad.net: publicidad + rastreadores + dominios de malware.
• extended.dns.mullvad.net: todo lo anterior más bloqueo de redes sociales.
• family.dns.mullvad.net: publicidad, rastreadores, malware y contenido para adultos, además de otras categorías pensadas para uso familiar.
• all.dns.mullvad.net: el paquete completo, con bloqueos de anuncios, rastreo, malware, adultos, apuestas y redes sociales.

En cuanto a direcciones IP e integración con DoH/DoT, Mullvad publica pares IPv4/IPv6 para cada opción, junto a los puertos correspondientes (443 para DoH, 853 para DoT). Un detalle importante es que esas IPs no se pueden usar como DNS normal sobre UDP/TCP 53; están pensadas para resolvers que entienden los protocolos cifrados.

Por ejemplo, para la opción «base» (bloqueo de anuncios, rastreadores y malware) puedes encontrar asociadas direcciones como 194.242.2.4 (IPv4) y 2a07:e340::4 (IPv6), junto con la URL de consulta DoH https://base.dns.mullvad.net/dns-query y el puerto TLS 853 para DoT.

Algo a tener en cuenta es que Mullvad no ofrece un perfil que bloquee únicamente malware. El mínimo que incluye protección frente a dominios maliciosos también lleva bloqueo publicitario y de rastreadores. Si quieres exclusividad en filtros de malware, tendrás que buscar otro servicio o afinar a nivel de listas en un resolver propio.

En materia de transparencia, Mullvad detalla en su repositorio de GitHub qué listas de bloqueo componen cada perfil. Utilizan fuentes ampliamente conocidas como OISD, AdGuard, Hagezi o UrlHaus para malware, y listas específicas para ecosistemas concretos (Alexa, Apple, Windows, Samsung, etc.) a la hora de bloquear rastreadores. Su filosofía es clara: pocas listas, bien seleccionadas, para evitar una avalancha de falsos positivos.

Rendimiento, anycast y comportamiento según tu operador

Desde un punto de vista práctico, el servicio de DNS de Mullvad no dispone de una red de servidores tan extensa como otros grandes proveedores, pero aún así funciona de forma muy razonable desde la mayoría de conexiones europeas. Eso sí, la experiencia real depende bastante del proveedor de Internet con el que navegues.

Como el servicio es anycast y carece de ECS, el operador decide mediante BGP a qué instancia de Mullvad envía tu tráfico. En pruebas desde España, por ejemplo, se ha visto que algunos ISPs enrutan las consultas hacia servidores europeos (latencias alrededor de 30-40 ms), mientras que otros terminan saliendo por nodos en Estados Unidos, subiendo la latencia a más de 100 ms.

En casos como estos, se puede hacer un ping a las IP de Mullvad DNS para comprobar si te están atendiendo desde Europa o desde USA. Si ves tiempos por encima de los 100 ms de forma constante, es probable que tu ISP esté enrutando las peticiones fuera del continente. Para muchos usos no será dramático, pero es un factor a considerar si buscas el mínimo retardo posible.

Este comportamiento hace que no todos los ISP sean igual de idóneos para usar Mullvad DNS. Hay operadores que lo rutan muy bien hacia Europa, mientras que otros terminan mandando las consultas al otro lado del charco. No es un fallo del servicio en sí, sino una consecuencia del enrutado anycast y de las políticas de interconexión de cada compañía.

Aunque pueda sonar a limitación importante, para un uso habitual de navegación web, streaming y ofimática online, estos retrasos raramente suponen un problema grave. El mayor impacto lo notarás si eres especialmente sensible a la latencia (juegos online muy competitivos, por ejemplo) o si tu conexión ya va muy justa.

Configuración del DNS de Mullvad en navegadores web

Dependiendo del navegador que uses, puedes configurar DNS sobre HTTPS directamente en el propio cliente, sin tocar el DNS del sistema operativo. Esto es clave para entender por qué ves aún 1.1.1.1 o los DNS del router en los ajustes de red: el navegador puede estar enviando todas las consultas por DoH a Mullvad aunque el sistema siga mostrando otros servidores.

Mullvad Browser, basado en Firefox y orientado a la privacidad, viene por defecto usando el DNS de Mullvad sin filtros. La recomendación oficial es emplear este DNS cifrado sólo cuando no estés conectado a la VPN de Mullvad, ya que con el túnel activo las peticiones DNS se resuelven en el servidor VPN y el uso de DoH además suele añadir latencia.

En el propio Mullvad Browser (y en Firefox de escritorio), puedes ir a los ajustes de «Privacidad y seguridad» y activar «DNS seguro» con protección máxima. Después, en la opción de proveedor, eliges «Personalizado» y pegas una de las URLs DoH ofrecidas por Mullvad, como:

• https://dns.mullvad.net/dns-query
• https://adblock.dns.mullvad.net/dns-query
• https://base.dns.mullvad.net/dns-query
• https://extended.dns.mullvad.net/dns-query
• https://family.dns.mullvad.net/dns-query
• https://all.dns.mullvad.net/dns-query

En Chrome, Brave y Edge el proceso es similar: desde la sección de privacidad/seguridad habilitas el uso de «DNS seguro», escoges un proveedor personalizado y añades una de las URLs anteriores. A veces el navegador tarda un poco en validar el nuevo servidor, por lo que puede aparecer un aviso de «comprueba que este proveedor es válido»; basta con esperar unos instantes y volver a intentarlo.

Un matiz importante: si el navegador usa su propio cliente DoH, puede ignorar el DNS del sistema operativo. Esto implica que, aunque en las preferencias de red de tu equipo veas Cloudflare, Google DNS o el DNS del router, el tráfico del navegador puede estar yendo en realidad por Mullvad. Es justo lo que te puede estar pasando si instalas un perfil DNS de Mullvad en macOS/iOS, pero además tienes el DoH interno del navegador activado apuntando a otro sitio.

Uso de Mullvad DNS en Android, iOS, Windows, macOS y Linux

Si prefieres aplicar el DNS de Mullvad a todo el sistema (no sólo al navegador), puedes recurrir a las opciones de DNS privado o perfiles de configuración que ofrecen las distintas plataformas modernas.

En Android 9 o superior, tienes la opción de «DNS privado» en los ajustes de red. Seleccionando «Proveedor de DNS privado» e introduciendo uno de los hostnames de Mullvad (dns.mullvad.net, adblock.dns.mullvad.net, base.dns.mullvad.net, etc.), todo el tráfico DNS del sistema intentará resolverse vía DoT hacia ese servidor. Si Android considera que la latencia es excesiva o no consigue conectar, desactivará ese DNS privado, así que en redes complicadas puede darte errores.

En el ecosistema Apple (iOS, iPadOS y macOS recientes), Mullvad ofrece perfiles de configuración específicos para DoH y DoT. Se descargan desde su repositorio de GitHub, se instalan desde Ajustes/Sistema y quedan listos para que todo el sistema use esos DNS cifrados. Es aquí donde surge la confusión: el panel clásico de DNS en la sección de «Red» puede seguir mostrando servidores heredados (como 1.1.1.1), pero el tráfico efectivo se encamina mediante el perfil.

Hay dos limitaciones a tener presentes en Apple:

• Si activas iCloud Private Relay, parte o todas tus consultas DNS pueden ir a servidores de Apple, incluso aunque tengas el perfil de Mullvad instalado.
• En macOS 13 y anteriores, es mejor no instalar varios perfiles DNS a la vez, ya que la gestión de múltiples perfiles puede ser problemática.

En Windows 11, el sistema incluye soporte para DoH a nivel de sistema. Puedes editar la configuración DNS de tu interfaz de red (Wi-Fi o Ethernet), fijar las direcciones IPv4/IPv6 de Mullvad para el perfil deseado y luego marcar la opción de «DNS sobre HTTPS (plantilla manual)», indicando la URL correspondiente (por ejemplo, https://base.dns.mullvad.net/dns-query). Si usas tanto Wi-Fi como Ethernet en el mismo equipo, conviene configurar ambos adaptadores o asegurarte de que uno de ellos no interfiera.

En Linux (Ubuntu, Fedora y derivados), la forma más limpia es emplear systemd-resolved. Configuras el archivo resolved.conf para que use las IPs de Mullvad como DNS global, activas DNSOverTLS=yes (o opportunistic si tienes problemas) y apuntas /etc/resolv.conf a la stub de systemd-resolved. Tras reiniciar servicios, el comando resolvectl status debería mostrar como DNS actual el de Mullvad.

Cómo comprobar si realmente estás usando el DNS de Mullvad

Una vez configurado el servicio, es normal querer asegurarse de que no hay fugas de DNS ni consultas saliendo por otros servidores. Mullvad ofrece una página muy sencilla para esto en su web oficial.

Desde el navegador, puedes ir a https://mullvad.net/check. Si la configuración es correcta, el apartado de DNS te indicará «No DNS leaks» y, al desplegar el detalle, verás que el servidor empleado incluye «dns» en su nombre de host, por ejemplo algo como se-mma-dns-001.mullvad.net. Esa es la prueba de que las consultas están llegando a la infraestructura de Mullvad.

Si en esa misma página aparecen resolvers pertenecientes a tu operador, a Google, a Cloudflare u otros proveedores, significa que tu dispositivo o tu navegador sigue enviando parte o todas las consultas fuera de Mullvad. En ese caso, revisa si tienes DoH habilitado en el navegador apuntando a otro servicio, algún proxy SOCKS5 con opción «Proxy DNS al usar SOCKS v5» activada (caso típico en Firefox con el proxy de Mullvad), u otras capas intermedias.

También hay que recordar que, cuando estás conectado a la VPN de Mullvad, la propia aplicación te enruta el DNS a los resolvers del servidor VPN al que estás conectado. Usar simultáneamente el DNS público cifrado puede ser innecesario o incluso introducir problemas de latencia o de resolución, de modo que la recomendación oficial es dejar el DNS público para cuando no uses la VPN.

Bloqueo de contenidos: cómo funciona y qué puedes esperar

El mecanismo de bloqueo de contenidos de Mullvad DNS es relativamente sencillo pero efectivo. Cuando haces una consulta por un dominio que aparece en las listas de bloqueo seleccionadas, el resolver simplemente responde que ese nombre no existe (devuelve un NXDOMAIN). El navegador interpreta que el dominio no tiene dirección IP y el contenido asociado sencillamente no se carga.

Esto permite bloquear una buena cantidad de anuncios, rastreadores, dominios maliciosos, webs para adultos, apuestas o redes sociales sin instalar extensiones en cada dispositivo. No obstante, el bloqueo a nivel DNS tiene limitaciones estructurales: por ejemplo, no puede filtrar bien anuncios de plataformas que sirven publicidad y contenido principal desde el mismo dominio (como ocurre con YouTube en muchos casos).

Por eso, incluso Mullvad recomienda combinar su DNS con bloqueadores de contenido en el navegador como uBlock Origin, que de hecho viene preinstalado en el Mullvad Browser. El DNS hace de primera línea de defensa, reduciendo mucho el ruido general, y la extensión afina el filtrado dentro del propio navegador.

La ventaja de la aproximación de Mullvad es que la selección de listas está muy cuidada. No intentan sumar decenas de ficheros de bloqueo por sumar, sino escoger fuentes fiables que minimicen los falsos positivos. Esto hace que, para un uso doméstico o incluso profesional, el equilibrio entre protección y compatibilidad sea bastante razonable.

En cuanto a la parte técnica, si quieres profundizar, en el GitHub de Mullvad puedes ver exactamente qué listas se usan en cada perfil (adblock, base, extended, family, all), así como la fuente original de cada una. Eso te permite evaluar si alguna lista podría chocar con tus necesidades (por ejemplo, si usas servicios muy de nicho que suelen acabar listados por error en algunos bloqueos agresivos).

Al final, el DNS público de Mullvad se ha convertido en una opción muy interesante para quienes quieren elevar su privacidad y reducir la basura publicitaria sin depender de gigantes tecnológicos ni de los DNS por defecto del operador. Tiene sus pegas —no hay servidores DNS en España, no soporta ECS, no ofrece perfiles «sólo malware» y su comportamiento depende mucho del enrutado de cada ISP—, pero a cambio ofrece transparencia en los filtros, cifrado extremo a extremo de las consultas y un enfoque coherente con la filosofía de privacidad de la marca.