AnonymFlow
privacy-best-practicesINFO

DNS over HTTPS: configuración del navegador en 2026 (Chrome, Firefox, Edge, Safari)

DoH cifra tus consultas DNS dentro de HTTPS y evita que tu ISP lea tu historial de dominios. Configuración paso a paso en Chrome, Firefox, Edge, Safari + comparativa NextDNS / Cloudflare / Quad9 + impacto sobre el túnel VPN.

Por Eric Gerard · Editor · AnonymFlow15 min de lecturaPhoto via Unsplash

El DNS over HTTPS (DoH) cifra tus consultas DNS dentro del túnel HTTPS genérico (puerto 443) en lugar de dejarlas viajar en claro por UDP/53 hacia el resolvedor de tu ISP. Concretamente: tu ISP ya no ve la lista de dominios que visitas, tu hotspot Wi-Fi público ya no puede redirigir silenciosamente tus consultas a un resolvedor comprometido, y tu operador de red empresarial pierde visibilidad fina sobre tu actividad. Es una mejora significativa de la privacidad - pero configurarlo correctamente en 2026 exige entender las interacciones con la VPN, el control parental y la nueva norma ECH. Aquí la configuración paso a paso Chrome, Firefox, Edge, Safari, más la comparativa de los tres resolvedores DoH principales (Cloudflare, NextDNS, Quad9) y las trampas conocidas.

¿Por qué configurar DoH en 2026?

El DNS clásico (RFC 1035, 1987) envía cada resolución de dominio por UDP en el puerto 53, en claro. Cuando escribes nordvpn.com en Chrome, tu navegador pide a tu resolvedor DNS (típicamente el del ISP: Movistar, Vodafone, Orange en España, o Telmex/Izzi/Totalplay en LatAm) que traduzca ese nombre en una dirección IP. Esta consulta es legible por:

  • Tu ISP (en España, la Ley General de Telecomunicaciones impone conservación de logs 12 meses, accesibles bajo requerimiento judicial).
  • El operador del Wi-Fi público (café, hotel, aeropuerto - captura pasiva trivial).
  • Tu router (modelos de gran público registran las consultas para control parental integrado).
  • Tu empleador en red empresarial (Cisco Umbrella, Zscaler interceptan UDP/53).
  • Cualquier intermediario en el camino de red (MITM trivial sobre UDP no cifrado).

DoH (RFC 8484, 2018) resuelve este problema: la consulta DNS se encapsula en HTTP/2 o HTTP/3 en el puerto 443 (HTTPS estándar), por tanto cifrada de extremo a extremo entre tu navegador y el resolvedor DoH. Para un observador en el camino, es tráfico HTTPS genérico indistinguible de una visita a Gmail o Wikipedia. Ningún medio de extraer la lista de dominios visitados sin romper TLS - económicamente y técnicamente irreal a gran escala.

DoH no resuelve todos los problemas de privacidad. La IP destino sigue visible (la conexión TLS subsiguiente a nordvpn.com muestra que te conectas a la IP de nordvpn.com - Cloudflare en este caso - visible lado red). Y el SNI (Server Name Indication) en el handshake TLS revela el hostname destino en claro por defecto. Ahí entra ECH (Encrypted Client Hello) - detallado más abajo. Combo ganador 2026: DoH + ECH + VPN no-log = tráfico web prácticamente anónimo frente a la vigilancia pasiva. Para entender por qué esta defensa en profundidad importa hoy, ver por qué importa la privacidad digital en 2026.

Configuración DoH por navegador

Chrome / Edge / Brave / Opera (motor Chromium)

Todos los navegadores Chromium comparten la misma implementación DoH desde 2020. La configuración es idéntica.

  1. Abrir chrome://settings/security (o edge://settings/privacy en Edge).
  2. Sección Seguridad → encontrar «Usar DNS seguro».
  3. Activar el toggle. Aparecen dos opciones:
    • Con tu proveedor actual: Chrome usa DoH si el DNS del sistema lo soporta (raro - los ISP de gran público no exponen DoH).
    • Con: selección manual de un proveedor en el desplegable (Cloudflare 1.1.1.1, Google 8.8.8.8, NextDNS, Quad9, OpenDNS) o introducción manual de una URL DoH custom.
  4. Elegir Personalizado → pegar la URL DoH según tu resolvedor:
    • Cloudflare: https://1.1.1.1/dns-query
    • NextDNS: https://dns.nextdns.io/[tu-id-personal] (ID disponible en tu panel NextDNS)
    • Quad9: https://dns.quad9.net/dns-query
  5. Guardar. La página se recarga automáticamente con DoH activo.

Verificación: ir a 1.1.1.1/help. Si «Using DNS over HTTPS (DoH)» muestra Yes, validado. Si No, verificar firewall local (Windows Defender, Little Snitch) que puede bloquear el puerto 443 hacia las IPs de Cloudflare en restrictivo. Para validar que tu DNS no se filtra a pesar de DoH activo, seguir nuestra metodología completa de prueba de fugas DNS.

Firefox

Firefox desplegó DoH por defecto en EE.UU. desde 2020, manualmente en Europa.

  1. Abrir about:preferences#privacy.
  2. Bajar hasta el fondo → sección Configuración de DNS sobre HTTPS.
  3. Hacer clic en Activar la protección → tres modos:
    • Protección máxima: DoH forzado, fallo si indisponible (recomendado para uso privacy).
    • Protección aumentada: DoH activo, fallback DNS clásico si DoH falla (compromiso).
    • Desactivado: DNS del sistema (ISP).
  4. Elegir el resolvedor: Cloudflare (por defecto), NextDNS, o «Personalizado» (introducir URL DoH).
  5. Guardar.

Firefox tiene una ventaja mayor: ECH (Encrypted Client Hello) está activo por defecto desde la versión 118 (octubre 2023). No hay que configurar nada - Firefox negocia automáticamente ECH con Cloudflare y otros CDN compatibles. Para verificar: about:config → buscar network.dns.echconfig.enabled → debe ser true.

Safari (macOS / iOS)

Safari no soporta DoH nativo como Chrome o Firefox. La configuración se hace a nivel sistema.

macOS Sonoma/Sequoia: instalar un perfil de configuración DoH firmado.

  1. NextDNS proporciona un perfil firmado en nextdns.io tras crear cuenta. Descargar el perfil .mobileconfig.
  2. Abrir el perfil → Preferencias del Sistema → Perfiles → Instalar.
  3. Introducir contraseña de admin. El perfil DoH se activa a nivel sistema, así Safari (y todas las apps) lo usan automáticamente.

iOS 14+: Ajustes → Wi-Fi → tap en la red activa → Configurar DNS → Manual → añadir URL DoH. Más simple: instalar el perfil NextDNS desde Safari mobile, aceptar la instalación. Todas las apps iOS usan entonces DoH (salvo las que imponen su propio resolvedor - TikTok, ciertas apps chinas).

Para Cloudflare DoH iOS: instalar la app gratuita «1.1.1.1» que configura DoH a nivel sistema y propone opcionalmente WARP (VPN gratis de Cloudflare, no confundir con una VPN privacy estricta).

Comparativa de los tres resolvedores DoH dominantes

Las listas de proveedores preinstaladas en Chrome y Firefox (Cloudflare a la cabeza) facilitan la adopción por defecto, pero la elección del resolvedor sigue siendo tuya.

ResolvedorLocalizaciónPolítica de logsFiltrado incluidoPrecio
Cloudflare 1.1.1.1EE.UU. (PoP global, EU incluido)No-log auditado KPMG 2024Ninguno (1.1.1.2 añade malware)Gratis
NextDNSFrancia/Irlanda/globalNo-log por defecto, opt-in logPub, trackers, malware, parental, listasGratis <300k req/mes, 1,99 €/mes ilimitado
Quad9 9.9.9.9Suiza (consorcio PCH)No-log estricto, sin ánimo de lucroMalware automáticoGratis
Google 8.8.8.8EE.UU.Log 24-48h anonimizadoNingunoGratis
OpenDNS FamilyEE.UU. (Cisco)Log empresaParental, malwareGratis personal / pago pro

En cuanto a velocidad, los rankings públicos independientes (como DNSPerf) miden de forma continua la latencia de estos resolvedores desde muchos puntos de medición: Cloudflare y Google figuran habitualmente entre los más rápidos, mientras que NextDNS y Quad9 se mantienen competitivos en Europa. Las diferencias reales dependen de tu ubicación, tu ISP y el punto de presencia más cercano - consulta un comparador público para tu situación concreta.

Recomendación práctica 2026:

  • Privacidad maximalista, simplicidad: Cloudflare 1.1.1.1 (el más rápido, auditoría KPMG, cero configuración).
  • Filtrado personalizado (bloquear pubs, trackers, parental): NextDNS, plan gratis basta para uso personal <300k consultas/mes (un hogar normal consume ~50-150k consultas/mes).
  • Confianza organizacional, jurisdicción suiza: Quad9, sin ánimo de lucro, sin lazos con Big Tech US.

A evitar para privacy estricta: Google 8.8.8.8 (jurisdicción US, log 24-48h, interés comercial publicitario obvio) y los resolvedores DoH propuestos por los ISP (Movistar, Vodafone - política de log = política ISP, por tanto ninguna ganancia de privacy).

Conflicto DoH ↔ VPN: la fuga más frecuente en 2026

Es el problema nº1 identificado en las auditorías de fuga DNS post-2022. Cuando Chrome/Firefox/Edge activan DoH por defecto a nivel navegador, las consultas DNS salen del navegador directamente hacia Cloudflare en HTTPS, saltando el DNS sistema. Pero la VPN gestiona el DNS a nivel sistema (enruta las consultas UDP/53 por el túnel). Consecuencia: tu tráfico HTTP/HTTPS viaja por la VPN, pero tus consultas DNS viajan en HTTPS directo fuera de la VPN - la lista de dominios que visitas sigue visible lado Cloudflare (que las logueará potencialmente) y lado red ISP (que ve las conexiones HTTPS hacia Cloudflare además de la VPN).

Probar tu situación: abrir dnsleaktest.com en modo Extended → si ves Cloudflare respondiendo (y no la IP de tu VPN), DoH navegador está activo y esquiva la VPN. Es técnicamente una fuga DNS residual.

Tres soluciones por orden de preferencia:

  1. Desactivar DoH navegador cuando VPN está activa (ajustes Chrome → DNS seguro → desactivar). La VPN gestiona el DNS a nivel SO y tuneliza todas las consultas. Es el enfoque estándar. Inconveniente: requiere reconfigurar en cada cambio VPN/no-VPN.
  2. Usar una VPN con DoH nativo integrado. NordVPN Threat Protection incluye su propio resolvedor DoH desde 2024, que tuneliza las consultas DoH en el túnel WireGuard - sin fugas, navegación coherente. ExpressVPN y Mullvad adoptaron el mismo enfoque.
  3. Configurar el navegador con el resolvedor DoH de la VPN (avanzado). NordVPN expone sus resolvedores internos en 103.86.96.X (confirmar con soporte - la IP varía según servidores). No es la solución recomendada - demasiada fricción.
Selección editorial
4.6 / 5

NordVPN Threat Protection - DoH nativo integrado

Resuelve el conflicto DoH / VPN sin configuración manual · Auditoría Deloitte 2024 · 30 días reembolso

Auditoría Deloitte 2024Garantía de 30 días14M+ usuarios
Ver la oferta

DoH en móvil: iOS y Android

iOS 14+

Tres enfoques según el nivel de configuración deseado:

  • Por Wi-Fi: Ajustes → Wi-Fi → red activa → Configurar DNS → Manual → añadir URL DoH. Inconveniente: configuración por red Wi-Fi, no se aplica en 4G/5G.
  • Perfil sistema (recomendado): instalar un perfil .mobileconfig desde Safari mobile. Cloudflare propone 1.1.1.1 que preconfigura DoH a nivel sistema. NextDNS genera un perfil personalizado desde el panel usuario, incluyendo ID cuenta y reglas de filtrado.
  • App tercera: 1.1.1.1, AdGuard, NextDNS app. Configuran DoH a nivel VPN local - todas las apps iOS usan DoH automáticamente.

Android 9+

Android usa oficialmente DoT (DNS over TLS) bajo la etiqueta «DNS privado» en Ajustes → Red & Internet → DNS privado. Configuración:

  1. Seleccionar Nombre del proveedor de DNS privado.
  2. Introducir el hostname (no URL completa):
    • Cloudflare: 1dot1dot1dot1.cloudflare-dns.com
    • NextDNS: [tu-id].dns.nextdns.io
    • Quad9: dns.quad9.net
  3. Guardar. DoT activo a nivel sistema.

Para DoH estricto en Android (en lugar de DoT), instalar una app dedicada: AdGuard Android, NextDNS app, 1.1.1.1 by Cloudflare. Crean una VPN local que intercepta el DNS y lo envía en DoH. Compatible con una VPN externa (NordVPN) vía VPN chaining si la app lo soporta.

ECH: la capa complementaria en 2026

Una pantalla de inicio de sesión con un campo de contraseña
Una pantalla de inicio de sesión con un campo de contraseña

DoH cifra la consulta DNS. Pero una vez resuelta, tu navegador establece una conexión TLS hacia la IP del sitio - y envía el SNI (Server Name Indication) en claro en el ClientHello TLS para indicar al servidor qué sitio específico se solicita (útil en servidores que alojan varios sitios HTTPS). Este SNI es visible por tu ISP y cualquier intermediario red, aunque todo lo demás de la conexión esté cifrado. Consecuencia: pese a DoH, tu ISP puede reconstruir la lista de sitios visitados vía SNI.

ECH (Encrypted Client Hello, RFC draft 2023) corrige este fallo cifrando el propio SNI. El ClientHello se divide en dos partes: un «outer» enviado en claro (con un SNI falso genérico como cloudflare.com) y un «inner» cifrado con la clave pública del resolvedor. Para un observador: imposible saber qué sitio específico se solicita.

Antes de ECH, tu ISP podía correlacionar IP destino + SNI en claro para reconstruir tu historial de navegación. Combinar DoH + ECH + kill switch VPN sigue siendo la mejor práctica 2026 precisamente para neutralizar esta fuga residual - cada capa cubre los huecos de las otras dos.

Estado del despliegue en mayo de 2026:

  • Firefox 118+: ECH activo por defecto desde octubre 2023. Sin configuración necesaria.
  • Chrome / Edge / Brave: ECH disponible tras flag desde Chrome 117, activado por defecto en Chrome 124 (abril 2026). Verificar chrome://flags/#encrypted-client-hello → Default o Enabled.
  • Safari: ECH en preview desde macOS Sequoia, despliegue progresivo en 2026.

Lado servidor, Cloudflare despliega ECH en el conjunto de su CDN desde 2023 (cubre ~20% del web mundial). Fastly y Akamai en curso de despliegue. Sitios auto-alojados: requiere Nginx 1.27+ con módulo ECH o Caddy experimental.

Verificar ECH activo: cloudflare.com/ssl/encrypted-sni. Resultado «Encrypted SNI» debe estar verde. Si rojo, verificar que usas Firefox 118+ o Chrome 124+ con DoH activado (ECH depende de DoH para recuperar la clave pública del servidor vía HTTPS DNS record).

Rendimiento e impacto real

DoH añade un ligero sobrecoste respecto al DNS UDP clásico: el tiempo de establecer la conexión TLS, luego la encapsulación HTTP de cada consulta. En un resolvedor rápido con conexión persistente, este sobrecoste se reduce a unos pocos milisegundos por consulta tras el primer handshake - despreciable en la práctica, ya que el DNS representa menos del 1% del tiempo de carga total de una página web. El cache DoH del navegador (Chrome conserva por defecto un cache de entradas recientes) acelera aún más las consultas repetidas, rivalizando con el DNS UDP clásico.

En red degradada (4G en movilidad, hotspot Wi-Fi público saturado), DoH puede incluso comportarse mejor que el DNS UDP en algunos casos - los paquetes UDP a veces se pierden sin un mecanismo de retransmisión agresivo en redes saturadas, mientras que DoH se beneficia del retry TCP nativo que compensa la pérdida de paquetes. El impacto exacto depende de la red, del resolvedor y del punto de presencia más cercano.

Trampas conocidas en 2026

Trampa nº1 - Control parental roto. Si tus hijos activan DoH en su navegador (Chrome, Firefox), el control parental basado DNS (OpenDNS Family, Cleanbrowsing en router, control parental ISP) se anula completamente. Solución 2026: bloquear DoH en el router vía regla firewall (Asus AiProtection, Pi-hole + dnsmasq que fuerza el DNS local), o instalar NextDNS familiar que soporta DoH con filtrado parental.

Trampa nº2 - Filtrado empresarial esquivado. Las políticas DLP (Data Loss Prevention) y filtrado URL empresa se basan en la interceptación DNS. DoH activado en los puestos empleados esquiva la política IT. Solución: desplegar Cloudflare Gateway o Zscaler con política DoH-compatible (el agente corporativo intercepta DoH en lugar del DNS).

Trampa nº3 - DoH bloqueado en ciertos países. Rusia, Irán, China bloquean intermitentemente Cloudflare 1.1.1.1 y otros resolvedores DoH públicos. Solución: NextDNS que rota sus IPs, o DoH vía VPN (la VPN tuneliza DoH, se vuelve invisible al filtrado país).

Trampa nº4 - Conflicto con Pi-hole. Si usas Pi-hole para bloquear publicidad a nivel red, DoH navegador esquiva Pi-hole. Solución: configurar Pi-hole con cloudflared como upstream DoH (Pi-hole se convierte en resolvedor DoH local), bloquear DoH navegador vía reglas firewall, y forzar al navegador a usar DNS sistema (Pi-hole).

Trampa nº5 - Apps que imponen su DNS. TikTok, ciertas apps OEM chinas (Xiaomi, Huawei), apps bancarias anti-MITM imponen su propio resolvedor independientemente de la config DoH sistema. Ninguna solución limpia - límite intrínseco del ecosistema móvil.

Recap: configuración DoH en 2026

NivelHerramientaDificultadCobertura
Solo navegadorChrome / Firefox DoH1 minutoSolo tráfico navegador
App móvil1.1.1.1, NextDNS app2 minutosTodas las apps móvil
Sistema macOSPerfil .mobileconfig3 minutosTodas las apps macOS
Sistema AndroidDNS privado nativo1 minutoTodas las apps Android
Red localPi-hole + cloudflared30 minutosTodos los dispositivos del hogar
VPN integradaNordVPN Threat Protection0 minutosTodo tráfico VPN

Recomendación 2026: para uso personal, activar DoH navegador (Cloudflare o NextDNS) + combinar con VPN no-log que gestione DoH a nivel túnel. NordVPN Threat Protection resuelve el conflicto DoH/VPN sin configuración manual. Verificar ECH activo en Firefox 118+ o Chrome 124+. Para hogares con niños, añadir NextDNS familiar que filtra los dominios inapropiados respetando el cifrado DoH.

Selección editorial
4.6 / 5

NordVPN con DoH nativo - privacy DNS sin configuración

Threat Protection incluido · Auditoría Deloitte 2024 · 30 días satisfecho o reembolsado

Auditoría Deloitte 2024Garantía de 30 días14M+ usuarios
Ver la oferta

Lo esencial a recordar

DoH no es una protección mágica, es un ladrillo fundamental de la privacy web 2026 - al mismo nivel que HTTPS lo es desde 2018. Cifrar la resolución DNS impide la vigilancia pasiva trivial (ISP, hotspot, empleador) pero no oculta ni la IP ni el SNI sin ECH. Combo ganador: DoH (Cloudflare o NextDNS) + ECH (Firefox 118+ o Chrome 124+) + VPN no-log auditada = triple capa que vuelve la vigilancia de uso personal prácticamente imposible sin acceso directo al dispositivo.

Configurar DoH lleva 5 minutos por navegador, 0 minutos con una VPN que lo incluya nativamente. Verificar que el control parental y el filtrado empresa siguen funcionando tras la activación. Para privacy estricta, desactivar DoH navegador cuando una VPN ya gestiona DNS a nivel sistema - si no doble capa redundante que puede crear fugas.

Para profundizar. Lecturas relacionadas: Tor sobre VPN.

Profundizar la privacy DNS y navegador

Selección editorial
4.4 / 5

El VPN centrado en la privacidad → Proton VPN

Sin registros auditado · jurisdicción suiza · código abierto · plan gratis

Auditoría SEC Consult 2024Jurisdicción suizaOpen-source
Ver la oferta
Todo lo que necesitas saber.

Preguntas frecuentes

¿DNS over HTTPS (DoH) basta para proteger mi privacidad?

No. DoH cifra la consulta DNS entre tu navegador (o tu SO) y el resolvedor DoH elegido (Cloudflare, NextDNS, Quad9). Es una mejora significativa: tu ISP ya no ve la lista de dominios que visitas en texto plano (antes de DoH, las consultas DNS salían por el puerto 53 UDP sin cifrar, legibles por cualquier intermediario). Pero DoH no oculta ni tu dirección IP pública (visible para los servidores web), ni la conexión TCP en sí (visible por el ISP a través del SNI TLS - salvo que ECH esté activado, ver más abajo). Para privacidad completa, DoH se combina con una VPN no-log auditada que oculta la IP y tuneliza todo el tráfico. DoH solo es útil contra la vigilancia pasiva (ISP, hotspot Wi-Fi público, operador de red empresarial), insuficiente frente a la correlación IP/SNI.

¿Qué resolvedor DoH elegir en 2026: Cloudflare, NextDNS o Quad9?

Tres perfiles distintos. **Cloudflare 1.1.1.1**: generalmente entre los más rápidos en Europa (los rankings públicos independientes como DNSPerf lo sitúan habitualmente entre los primeros), política no-log auditada por KPMG 2024, sede en EE.UU. (jurisdicción desfavorable pero auditoría transparente). **NextDNS**: el más configurable (filtrado de publicidad, tracking, control parental, listas personalizadas), gratis hasta 300.000 consultas/mes, sede Francia/Irlanda, log opcional usuario. **Quad9 9.9.9.9**: enfocado en seguridad con filtrado automático de malware, organización sin ánimo de lucro suiza, no-log estricto (solo cookies de sesión). Para uso personal: NextDNS si importa el filtrado personalizado, Cloudflare si pura velocidad, Quad9 si confianza organizacional suiza. Para uso pro: NextDNS con cuenta de pago (1,99 €/mes) que desbloquea ilimitado + analytics.

¿El DoH del navegador entra en conflicto con mi VPN?

Sí, es la causa nº1 de fugas DNS residuales pese a VPN activa. Cuando Chrome o Firefox activan DoH por defecto, envían las consultas DNS directamente al resolvedor DoH (Cloudflare, NextDNS) saltando el DNS del sistema - por tanto saltando el túnel VPN. Tres soluciones: (1) **desactivar el DoH del navegador** cuando la VPN está activa (ajustes → privacidad → DNS seguro → desactivar), dejando que la VPN gestione el DNS a nivel del sistema; (2) **configurar el navegador con el DNS de la VPN** (NordVPN expone 103.86.96.X, ExpressVPN tiene sus propios resolvedores) - posible pero requiere búsqueda manual; (3) **usar una VPN con DoH nativo integrado** que enrutará el DoH por el túnel. NordVPN Threat Protection incluye un resolvedor DoH propio desde 2024. Luego probar vía dnsleaktest.com - ningún DNS fuera de la VPN debe aparecer.

¿DoH funciona en iOS y Android?

Sí, nativamente en ambos desde 2021. **iOS 14+**: Ajustes → Wi-Fi → red actual → Configurar DNS → Manual → añadir una URL DoH (`https://dns.nextdns.io/[tu-id]` o `https://1.1.1.1/dns-query`). Para aplicación universal, instalar un perfil de configuración (NextDNS lo proporciona firmado por Apple). **Android 9+**: Ajustes → Red & Internet → DNS privado → Nombre del proveedor de DNS privado → introducir el hostname (`dns.nextdns.io` o `1dot1dot1dot1.cloudflare-dns.com`). Nota: Android usa DoT (DNS over TLS) bajo la etiqueta «DNS privado», no DoH estricto - funcionalidad equivalente, encapsulación distinta. Activar esta opción cifra todas las consultas DNS del teléfono excepto apps que imponen su propio resolvedor.

¿DoH mejora o degrada el rendimiento?

Ligera degradación teórica pero imperceptible en uso cotidiano. El DNS clásico UDP/53 responde en pocos milisegundos al resolvedor del ISP. DoH añade el coste de establecer una conexión TLS (handshake inicial), luego cada consulta viaja en HTTP/2 o HTTP/3. En un resolvedor rápido como Cloudflare 1.1.1.1, la conexión TLS es persistente y el handshake amortizado - el coste marginal por consulta tras warmup es pequeño. A destacar: el cache DoH del navegador (Chrome, Firefox) acelera las consultas repetidas, al punto de que el total puede resultar comparable o más rápido que DNS UDP sin caché. En la práctica, el DNS representa una fracción despreciable del tiempo de carga de una página, por lo que el sobrecoste DoH es inapreciable para el usuario.

¿Puede mi ISP bloquear DoH?

Técnicamente difícil, políticamente posible. DoH pasa por el puerto 443 HTTPS - bloquear el puerto 443 sería bloquear el 95% de la web. Pero un ISP puede bloquear específicamente las IPs de los resolvedores DoH conocidos (1.1.1.1, 9.9.9.9, IPs publicadas de NextDNS) si la regulación lo permite. En Europa occidental, no se documenta bloqueo generalizado de DoH en mayo de 2026. En Rusia e Irán, Cloudflare 1.1.1.1 está intermitentemente bloqueado desde 2022 - solución: NextDNS que rota sus IPs, o usar DoH vía VPN que vuelve el DoH invisible al ISP. En empresa, el ISP corporativo puede bloquear Cloudflare DoH para forzar DNS interno (auditoría, filtrado URL) - legítimo y negociable con IT. El resolvedor sigue operativo vía VPN privada que esquiva el DNS de empresa.

¿ECH (Encrypted Client Hello) reemplaza a DoH?

No, ECH complementa a DoH sin sustituirlo. DoH cifra la **consulta DNS** (dominio → resolución IP). ECH cifra el **SNI TLS** (Server Name Indication, que revela qué sitio se solicita en el momento de la conexión TLS - visible sin DoH ni ECH incluso con HTTPS activado). Sin ECH, tu ISP sigue viendo qué sitio visitas vía el SNI en claro durante el handshake TLS, aunque DoH esté activo. ECH desplegado parcialmente en Cloudflare desde 2023 y activado por defecto en Firefox 118+ (octubre 2023). Para verificar ECH activo: ir a [cloudflare.com/ssl/encrypted-sni](https://www.cloudflare.com/ssl/encrypted-sni/), resultado «Encrypted SNI» debe estar verde. Combo ganador en 2026: DoH navegador + ECH activo + VPN no-log. Triple capa que vuelve prácticamente imposible la correlación usuario ↔ dominio.

¿Qué impacto tiene DoH en el control parental y el filtrado empresarial?

Impacto mayor, a anticipar. Las soluciones de control parental basadas en DNS (OpenDNS Family Shield, Cleanbrowsing, control parental del ISP) funcionan interceptando las consultas DNS UDP/53 para bloquear dominios inapropiados. Si el niño activa DoH en el navegador, el filtrado se **anula completamente** - las consultas viajan a Cloudflare en lugar del resolvedor familiar. Soluciones parentales 2026: (1) bloquear DoH en el router vía regla firewall (Asus AiProtection, Pi-hole + dnsmasq), (2) configurar NextDNS con cuenta familiar en todos los dispositivos (NextDNS soporta DoH con filtrado), (3) usar una VPN parental que fuerce el DNS de filtrado. Lado empresa, mismo principio: forzar Cloudflare Gateway o Zscaler con política DoH-compatible. El simple bloqueo de UDP/53 ya no basta.

¿DoH o DoT: cuál es la diferencia práctica?

Diferencia de encapsulación, no de cifrado. **DoT (DNS over TLS, RFC 7858, 2016)** envía las consultas DNS por el puerto 853 TCP con TLS directo - detección fácil (puerto dedicado), bloqueo trivial. **DoH (DNS over HTTPS, RFC 8484, 2018)** encapsula las consultas DNS en HTTP/2 o HTTP/3 en el puerto 443 - indistinguible del tráfico web normal, bypass de filtrado. Lado navegador, DoH domina (Chrome, Firefox, Edge lo soportan nativamente). Lado sistema Android, DoT se usa bajo la etiqueta «DNS privado». Lado Linux, systemd-resolved soporta DoT desde 2020, DoH manual vía cloudflared o dnsdist. Recomendación 2026: DoH en cliente (navegador, app) para resistencia al bloqueo, DoT en servidor (resolvedor recursivo casero) para simplicidad de configuración.

¿Cómo verificar que DoH está activo en mi navegador?

Tres pruebas independientes para confirmar. (1) **Test Cloudflare**: ir a [1.1.1.1/help](https://1.1.1.1/help) - la página lista «Using DNS over HTTPS (DoH)» Yes/No. Si Yes, DoH está activo. (2) **Test Mozilla**: [test.dnsleak.com](https://test.dnsleak.com/) muestra qué resolvedor responde y su protocolo. (3) **Test Wireshark** (avanzado): capturar el tráfico de red y observar la ausencia de consultas UDP/53 salientes tras una búsqueda en el navegador - solo HTTPS/443 hacia el resolvedor DoH debe aparecer. Si todavía sale DNS en claro, es que (a) otra app salta el DoH del navegador (extensión, plugin, otro navegador abierto), (b) el sistema responde antes que el navegador (Windows Smart Multi-Homed). Desactivar los rodeos para DoH-only.