Este articulo será más una lista de recomendaciones que una explicación de conceptos a profundidad, yo asumo que si estás leyendo esto sabes de que estoy hablando pero para no dejar a nadie atrás dejemos claros algunos conceptos, tomando de referencia a Privacy Guides

Para facilitar la navegación estaré dejando una tabla de contenidos a las distintas secciones:

Tabla de contenidos

• ¿Qué es el DNS?
• ¿Realmente necesito uno?
• ¿Qué es DNS cifrado o privado?
• ¿Cuales recomiendo?
• AdGuard
• NextDNS
• ControlD
• RethinkDNS
• LibreDNS
• RockDNS

¿Que es el DNS?

Tomando el resumen de Privacy Guides podemos entender varias cosas, lo primero:

El Sistema de Nombres de Dominio es la «guía telefónica de Internet». El DNS traduce los nombres de dominio a direcciones IP para que los navegadores y otros servicios puedan cargar los recursos de Internet, a través de una red descentralizada de servidores.

Esto quiere decir que cuando visitas un sitio web, estás haciendo una solicitud y el sitio responde a esa solicitud con una dirección númerica como: 192.98.54.105, el DNS se encarga de convertir eso al nombre del sitio.

Algo importante para quienes se preocupan por la privacidad es:

DNS ha existido desde los primeros días de Internet. Las solicitudes DNS realizadas desde y hacia servidores DNS no son generalmente cifradas. En un entorno residencial, el cliente recibe servidores del ISP a través de DHCP. Las solicitudes de DNS sin cifrar pueden ser fácilmente vigiladas y modificadas en tránsito. En algunas partes del mundo, a los ISP se les ordena que hagan un filtrado de DNS primitivo. Cuando se solicita la dirección IP de un dominio que está bloqueado, es posible que el servidor no responda o lo haga con una dirección IP diferente. Como el protocolo DNS no está encriptado, el ISP (o cualquier operador de red) puede utilizar DPI para controlar las solicitudes. Los ISP también pueden bloquear las solicitudes en función de características comunes, independientemente del servidor DNS que se utilice.

Es decir, si no cambias el DNS predeterminado que te asignó tu compañía de internet, probablemente tus solicitudes no son cifradas, lo que quiere decir que son transparentes, públicas, tu compañía y cualquier atacante en la red pueden saber que estás haciendo.

Muy bien, entendiendo este resumen pasemos a la siguiente pregunta:

¿Qué es DNS cifrado o privado?

Hay varios protocolos de cifrado DNS, los más comunes serían DNS sobre HTTPS (DOT) y DNS sobre TLS (DOT). Existen otros pero vamos a enfocarnos en esos dos.

Volviendo a la explicación de Privacy Guides, empecemos con DOH:

DNS sobre HTTPS, según se define en RFC 8484, empaqueta las consultas en el protocolo HTTP/2 y proporciona seguridad con HTTPS. La compatibilidad se añadió por primera vez en navegadores web como Firefox 60 y Chrome 83. La implementación nativa de DoH apareció en iOS 14, macOS 11, Microsoft Windows y Android 13 (sin embargo, no estará habilitada por defecto). El soporte general de los escritorios de Linux está a la espera de la implementación de systemd por lo que la instalación de software de terceros sigue siendo necesaria.

Es común saber del DOH gracias a los navegadores web, es lo que usan, puede usarse también en IOS, macOS y Windows, sin embargo en Linux no hay una implementación nativa. Deberás usar herramientas de terceros o usar DOT.

Y DOT:

DNS sobre TLS es otro método para cifrar la comunicación DNS que se define en RFC 7858. La compatibilidad se implementó por primera vez en Android 9, iOS 14 y en Linux en systemd-resolved en la versión 237. La preferencia en la industria se ha estado alejando del DoT al DoH en los últimos años, ya que el DoT es un protocolo complejo y tiene un cumplimiento variable del RFC entre las implementaciones que existen. DoT también opera en un puerto dedicado 853 que puede ser bloqueado fácilmente por cortafuegos restrictivos.

Es decir, ambas opciones cifran tus solicitudes y sirven para el mismo propósito, DOT puede ser más fácil de bloquear pero eso no lo descarta como una buena opción. De todas formas en Android si o si debes usarlo. Yo personalmente lo uso, no solo porque es lo que usa Android, en Linux también uso DOT.

Bueno, aclarando ya lo básico creo que podemos pasar a la siguiente etapa.

¿Realmente necesito uno?

Esto dependerá de cada quien pero, usar un DNS privado no solamente puede significar una mejora de tu privacidad, también puede mejorar la velocidad con la que cargan las paginas web y demás, ¿Por qué? si un dns tarda 100ms en resolver una solicitud pero cambias a uno que tarde 20ms o 5ms será algo que vas a notar, las solicitudes que haces se resuelven y entregan más rápido, lo que es una mejora para tí.

También puedes bloquear anuncios y rastreadores a nivel de dns usando algunos proveedores que incluyen listas de bloqueos, lo cual es muy útil, sí, probablemente me dirás “Ya tengo un bloqueador de anuncios en mi navegador” pero, no veas esto como un reemplazo, míralo como un complemento, además de que esto se aplicará a todo tu sistema. El filtrado de contenidos a nivel de cliente usando herramientas como Ublock Origin en algunos contextos puede significar una degradación del rendimiento, si visitas una página infestada de anuncios toda la carga de esos bloqueos estará en el cliente, tu navegador. Pero si lo complementas con un resolvedor DNS que tenga filtración de contenidos, reducirás la carga, el DNS bloqueará gran parte de ellos antes de que lleguen a tu navegador, y los que logren escapar a esa barrera serán bloqueados por tu herramienta, mucho más eficiente.

Pero: ¿Son realmente privados?

Eso dependerá mucho de que proveedor elijas, hay algunos que no son confiables y deberías descartarlos a la primera (Te estoy viendo Google) pero hay buenas opciones, aunque recuerda: La privacidad total o el anonimato total en internet no existen. Si ese es tu propósito esto no es para ti, cambiar DNS te da algunas mejoras en privacidad pero no hace magia negra, en este caso mi recomendación aunque va enfocada un poco en la privacidad también va por velocidad web y bloqueo de contenidos.

¿Cuales recomiendo?

Quiero ser claro: voy a tratar de hablar de resolvedores que conozco personalmente por haber sido usuario y trataré de darle visibilidad a algunas alternativas de código abierto, no todos aquí son de código abierto, pero como mínimo tienen buena reputación y buenas practicas de privacidad. Además, si no menciono lo que tú estás usando y consideras la mejor opción probablemente sea porque no conozco o porque no lo he usado, no pienses mal. Si tienes algún proveedor que no esté en esta lista, déjame un comentario, dialoguemos :)

AdGuard DNS

Comenzamos con el que estoy usando actualmente, AdGuard. Adguard podemos dividirlo en 3 partes:

• AdGuard DNS público: El DNS público de AdGuard es simple y viene listo para usar, con soporte de DOH y DOT, es decir DNS cifrado. Esto de por sí es una buena opción si no quieres complicarte la vida, la versión pública bloquea anuncios, rastreadores, malware y todo el paquete. Además la política de privacidad es clara:

No procesamos ninguno de tus Datos Personales cuando te conectas y usas el AdGuard DNS público. Sin embargo, obtenemos y procesamos estadísticas generales sobre el uso de AdGuard DNS público. Estos datos no están vinculados de ninguna manera a ti; se acumulan cuando el AdGuard DNS público es utilizado por todos los usuarios en general.

• Adguard DNS privado: El servidor privado permite más personalización tanto como para usuarios gratuitos como para usuarios de pago, si bien el DNS privado tiene planes de pago realmente la versión gratuita tiene mucho que ofrecer, como registros (los cuales puedes desactivar), listas de bloqueo de anuncios y rastreadores para elegir y en general más control. Importante, el DNS privado tiene una limitación a las cuentas gratuitas: 2 servidores (donde configuras las listas de bloqueo y demás), 5 dispositivos, y 300K de solicitudes dns (realmente es muchísimo, nunca he llegado ni 100K en ningún servicio xD), además como no tener acceso a algunas funciones de paga, pero de resto está muy bien. Según la política de privacidad de AdGuard nuevamente:

Procesamos los siguientes datos para permitirte usar AdGuard DNS privado:

• La dirección de correo electrónico que usaste para crear tu cuenta.
• Almacenamos los registros de consultas DNS de los dispositivos conectados para mostrarlos en el panel de AdGuard DNS. Los registros contienen el estado y contenido de las solicitudes, los nombres de las empresas que poseen los recursos solicitados, los nombres de los dispositivos conectados, la fecha de las solicitudes. Además, registraremos las direcciones IP anonimizadas (limitadas a la subred) de los dispositivos conectados desde los cuales se reciben las solicitudes DNS entrantes, cuando esta opción esté habilitada por ti. Los usuarios pueden optar por desactivar el registro a través de la configuración de la cuenta. El registro solo se almacena por un tiempo limitado, lo cual también se puede configurar a través de la configuración de la cuenta.

• AdGuard Home: ¿Quieres control total? entonces AdGuard Home es para ti, esta versión no depende de los servidores de AdGuard, depende de ti. Es de código abierto y es una herramienta para ser auto hospedada, solamente tú serás el responsable por tus datos, AdGuard no procesará ninguno de ellos porque nunca te conectarás a sus servidores, ellos solo ofrecen el software, tu pones el hardware, en pocas palabras: tendrás tu propio servidor AdGuard, controlado exclusivamente por ti. A este servidor puedes añadirle las listas de bloqueo que quieras, obviamente no tiene limite de solicitudes ni nada porque no dependes de nadie y las únicas limitaciones serán tu hardware y tus conocimientos.

NextDNS

Fui usuario de NextDNS por un tiempo, casi un año. Quiero hacer algunas aclaraciones, mucha gente ya no lo recomienda por una sencilla razón: No hay actualizaciones relevantes, el soporte brilla por su ausencia y en general podríamos decir que está en modo mantenimiento. Los servidores funcionen y el servicio es bueno, claro, pero es importante destacar eso, el estado actual de NextDNS deja mucho que desear y si quieres usar algo que mínimo tengas la seguridad de que está mantenido y sigue recibiendo actualizaciones y mejoras no es para ti. Pero bueno, pasemos a los datos:

• NextDNS es freemium como el DNS privado deAdGuard, la versión gratuita ofrece varias funciones útiles pero hay algunas que son de pago.
• Limite de solicitudes gratuitas: 300K (Parece un estándar ya)
• Política de privacidad estricta, posibilidad de deshabilitar logs y de elegir en que región guardar los mismos en caso de que quieras tenerlos, pudiendo elegir entre Europa y USA
• Una robusta red de servidores, probablemente de los más rápidos de esta lista En términos de funciones está muy completo incluso en el plan gratuito, de no ser por los detalles que comenté al principio seguiría siendo mi DNS de confianza.

ControlD

Uno de los más recomendados últimamente, aunque su mejor versión es la de paga y es la que siempre se menciona, realmente también tiene un DNS público y hasta con listas de bloqueo, lo cual está muy bien. ControlD por cierto viene de la mano de los creadores de Windscribe VPN (Gracias José Carlos en Telegram por el dato)

• En su versión gratuita ofrece: DNS sin filtrado (No bloquea nada), DNS con bloqueo de dominios de sospechosos de Malware, DNS + bloqueo de anuncios y rastreadores, Family Friendly, Social, Sin censura, entre otros. Los recomendados serían Anuncios y rastreo.
• Pero como dije, puedes usar las listas de bloqueo, de forma limitada (una sola) pero para ser algo gratuito y sin registro está muy bien, les recomendaría las que usan las listas de Hagezi y Hblock, las cuales ya serían suficientes para un uso general y sin complicaciones.
• Otra buena opción con una estricta política de privacidad

Pero como he dicho ControlD tiene una versión de paga que es la que tiene todas sus funciones, más personalización y control, poder elegir las listas que tu quieras, etc, solamente que estoy tratando de enfocarme en opciones gratuitas que todos podemos usar, pero si puedes pagar una suscripción, deberías revisar la versión de paga, la recomiendan mucho.

RethinkDNS

Rethink es un cliente DNS para android y de código abierto, soporta DOH y DOT (y otros protocolos). Tiene funciones útiles como registro de consultas, firewall, etc.

Pero RethinkDNS también ofrece un servicio como resolvedor DNS en la nube. Y es probablemente el más personalizable de todas las opciones gratuitas porque sin registrarte tu mismo puedes armarte tu configuración DNS eligiendo las listas que quieras, teniendo 197 listas de bloqueo para elegir, listas que son actualizadas toda la semana. Por lo que entendí este servicio está en fase beta y además planean integrar planes de pago, habría que ver como termina todo, aún así está muy interesante.

Su política de privacidad también parece confiable.

En general se recomienda más en Android aunque su propuesta de DNS llama la atención.

LibreDNS

Un servicio de DNS gratuito y de código abierto mantenido por el colectivo LibreOps, no es la mejor opción aquí si somos honestos, pero como dije al inicio, también quiero darle visibilidad a este tipo de alternativas.

• Bloqueo de anuncios y rastreadores usando la lista de bloqueo de Steven Black, una lista muy completa que aún sin ser la mejor de todas ofrece un nivel de bloqueo que para un uso general puede ser más que suficiente
• Soporte de DOH y DOT
• El código fuente está disponible aquí
• Politica de registros cero, nada se guarda

¿Son confiables? esa es tu decisión, ten en cuenta que al depender de un servicio de código abierto mantenido por la comunidad no puedes esperar la misma calidad del servicio que el que puede ofrecer una empresa privada con múltiples inversores y demás

RockDNS

De los más recientes y uno que he visto de cerca ya que nació en el fediverse (Mastodon y compañía), un entorno donde solía moverme mucho. Es mantenido por el equipo de TuiterRocks una comunidad muy activa y rebelde.

Podemos destacar lo siguiente:

• Servidores en la UE, el servidor 1 está en España, el servidor 2 está en Alemania.
• Documentación clara de cada aspecto del servidor
• Política de privacidad de cero registros
• Bloqueo de rastreadores y malware usando listas confiables

Ahora bien… tengo mis reservas sobre este proyecto porque no encuentro el código de esto, solo una documentación muy clara, sí, pero nada que se pueda verificar. Lo cual choca con la idea de “Libre” que usa como bandera. Sin embargo he preferido darle un boto de confianza, y si alguien de TuiterRocks lee esto y puede aclararme las dudas que tengo, estoy abierto a eso.

En fin, como es obvio hay más opciones por ahí, aquí solo pude hablar de lo que yo conozco. Espero que esto haya sido entretenido de leer, espero seguir mejorando. Los comentarios están abiertos para cualquier opinión :3

Nos vemos la siguiente semana.

• Este artículo incluye citas del recurso “Resumen DNS” publicado por Privacy Guides, bajo licencia CC BY-SA 4.0.
• La imagen de portada contiene ilustraciones de unDraw quienes ofrecen estas ilustraciones para blogs personales y proyectos. Todos los créditos y agradecimientos para estas personas.