DNS over HTTPS (DoH) - Cifrado de consultas DNS
Lectura de 2 min aprox.
DNS over HTTPS (DoH) es una tecnología que cifra las consultas DNS, que tradicionalmente se enviaban y recibían en texto plano, mediante el protocolo HTTPS. Protege la privacidad al impedir que los ISP y los administradores de red intercepten o manipulen los sitios que visita el usuario. Estandarizado como RFC 8484 en 2018, su adopción se aceleró cuando Firefox comenzó a admitirlo ese mismo año. A fecha de 2025, casi todos los navegadores principales admiten DoH, y el soporte de DoH a nivel del sistema operativo también avanza en Windows 11 y macOS.
Casos de uso reales
«Detectamos un problema en el que los navegadores con DoH habilitado en nuestra red corporativa estaban eludiendo el filtrado DNS. Estamos usando directivas de grupo para bloquear el acceso a los resolvedores DoH externos y cambiando a una configuración que proporciona DoH a través de nuestros servidores DNS internos.»
Flujo de DoH
Antecedentes históricos
El DNS tradicional no se diseñó pensando en el cifrado desde su origen en 1983, y el contenido de las consultas circulaba por las redes en texto plano. Esto hacía que el DNS spoofing y la recopilación del historial de navegación por parte de los ISP fueran técnicamente sencillos. En 2018, Mozilla implementó DoH en Firefox, y en 2020 Google Chrome y Microsoft Edge también añadieron soporte. Hoy en día, Cloudflare (1.1.1.1), Google (8.8.8.8) y Quad9 (9.9.9.9) proporcionan los principales resolvedores DoH.libros de introducción a la seguridad DNS (Amazon) permiten un aprendizaje sistemático.
Ventajas y desafíos
La mayor ventaja de DoH es evitar la interceptación y manipulación de las consultas DNS y mejorar la privacidad. Por otro lado, para los administradores de seguridad de las empresas existe el riesgo de que se eluda el filtrado DNS de la red interna. También se han reportado casos en los que el malware usa DoH para ocultar la comunicación C2. En entornos corporativos, se recomienda proporcionar DoH a través de servidores DNS internos mientras se bloquea el acceso a los resolvedores DoH externos. Protege el panel de administración de la configuración DNS con una contraseña aleatoria fuerte y refuerza de forma integral tu seguridad DNS.libros sobre privacidad en redes (Amazon) también son una referencia útil.
¿Te resultó útil este artículo?