Saltar al contenido principal

DNS over HTTPS (DoH) - Cifrado de consultas DNS

Lectura de 2 min aprox.

DNS over HTTPS (DoH) es una tecnología que cifra las consultas DNS, que tradicionalmente se enviaban y recibían en texto plano, mediante el protocolo HTTPS. Protege la privacidad al impedir que los ISP y los administradores de red intercepten o manipulen los sitios que visita el usuario. Estandarizado como RFC 8484 en 2018, su adopción se aceleró cuando Firefox comenzó a admitirlo ese mismo año. A fecha de 2025, casi todos los navegadores principales admiten DoH, y el soporte de DoH a nivel del sistema operativo también avanza en Windows 11 y macOS.

Casos de uso reales

«Detectamos un problema en el que los navegadores con DoH habilitado en nuestra red corporativa estaban eludiendo el filtrado DNS. Estamos usando directivas de grupo para bloquear el acceso a los resolvedores DoH externos y cambiando a una configuración que proporciona DoH a través de nuestros servidores DNS internos.»

Flujo de DoH

El navegador genera una consulta DNS
Se cifra y se envía por HTTPS (TLS)
Un resolvedor DoH (Cloudflare / Google) resuelve el nombre
Se devuelve la respuesta cifrada
Los ISP y los administradores de red no pueden interceptar el contenido de la consulta

Antecedentes históricos

El DNS tradicional no se diseñó pensando en el cifrado desde su origen en 1983, y el contenido de las consultas circulaba por las redes en texto plano. Esto hacía que el DNS spoofing y la recopilación del historial de navegación por parte de los ISP fueran técnicamente sencillos. En 2018, Mozilla implementó DoH en Firefox, y en 2020 Google Chrome y Microsoft Edge también añadieron soporte. Hoy en día, Cloudflare (1.1.1.1), Google (8.8.8.8) y Quad9 (9.9.9.9) proporcionan los principales resolvedores DoH.libros de introducción a la seguridad DNS (Amazon) permiten un aprendizaje sistemático.

Ventajas y desafíos

La mayor ventaja de DoH es evitar la interceptación y manipulación de las consultas DNS y mejorar la privacidad. Por otro lado, para los administradores de seguridad de las empresas existe el riesgo de que se eluda el filtrado DNS de la red interna. También se han reportado casos en los que el malware usa DoH para ocultar la comunicación C2. En entornos corporativos, se recomienda proporcionar DoH a través de servidores DNS internos mientras se bloquea el acceso a los resolvedores DoH externos. Protege el panel de administración de la configuración DNS con una contraseña aleatoria fuerte y refuerza de forma integral tu seguridad DNS.libros sobre privacidad en redes (Amazon) también son una referencia útil.

Términos relacionados

¿Te resultó útil este artículo?

XHatena