Test de fuga DNS 2026: método completo + corrección por SO

El DNS — Domain Name System, definido en el RFC 1034 — es la libreta de direcciones de Internet. Cuando escribes anonymflow.com en tu navegador, tu ordenador pregunta a un servidor DNS la dirección IP correspondiente. El servidor responde 198.51.100.42, y la conexión puede establecerse. El problema: si esta petición DNS pasa por fuera de tu túnel VPN, tu proveedor de Internet (ISP) ve la lista exacta de los dominios que visitas — incluso si todo el resto del tráfico está cifrado en el túnel VPN. Esto se llama una fuga DNS, y nuestra auditoría interna en 6 VPN principales muestra que sigue siendo frecuente en 2026 en configuraciones no auditadas.

Por qué existen las fugas DNS — las 4 causas técnicas documentadas

Un VPN encapsula tu tráfico en un túnel cifrado entre tu dispositivo y el servidor VPN remoto. En teoría, todas las peticiones — incluidas DNS — pasan por este túnel. En la práctica, varias configuraciones del sistema esquivan el túnel para las peticiones DNS específicamente. Entender las cuatro causas principales permite identificar cuál te concierne y aplicar la corrección adecuada.

Causa n.º 1 — Windows y Smart Multi-Homed DNS. Desde Windows 8, Microsoft implementó un comportamiento llamado Smart Multi-Homed Name Resolution (SMHNR) que envía las peticiones DNS a todos los adaptadores de red activos en paralelo, conservando la primera respuesta. Cuando hay un VPN conectado, Windows envía por tanto la petición tanto al DNS del VPN COMO al DNS del ISP vía la interfaz Wi-Fi/Ethernet subyacente. Si la respuesta del ISP llega primero (a menudo el caso en local), se utiliza y el ISP registra la petición. Es un comportamiento «by design» documentado que crea fugas sistemáticas en VPN que no desactivan explícitamente SMHNR.

Causa n.º 2 — Navegadores con DoH activado por separado. Firefox activa por defecto DNS-over-HTTPS hacia Cloudflare 1.1.1.1 desde 2020. Chrome ofrece la misma funcionalidad. Estos resolvers DoH del navegador esquivan completamente el DNS del sistema — por tanto también el del VPN — salvo si el navegador detecta específicamente la presencia de un VPN activo. Firefox lo detecta a veces mirando la interfaz de red activa; Chrome menos sistemáticamente. Resultado: tus peticiones DNS desde el navegador van directamente a Cloudflare, fuera del túnel VPN.

Causa n.º 3 — VPN sin gestión DNS nativa. Algunos VPN de gama baja no declaran sus propios servidores DNS en la configuración del sistema cuando el túnel se activa. El SO sigue entonces usando los servidores DNS que tenía antes — típicamente los del ISP empujados por DHCP. Es el caso de la mayoría de los VPN gratuitos y de varios VPN de pago secundarios. NordVPN, ExpressVPN y Surfshark gestionan este punto correctamente desde sus versiones 2023+.

Causa n.º 4 — IPv6 no tunelizado. Muchos VPN encapsulan solo el tráfico IPv4 en su túnel. El tráfico IPv6 — sin embargo activo por defecto en Free, ciertas configuraciones Orange, y todas las Boxes modernas — sale directamente fuera del VPN. Las peticiones DNS IPv6 llegan a los servidores DNS IPv6 del ISP, que las registra. La solución: opción «Block IPv6 traffic» o «Tunnel IPv6» activada en el VPN. NordVPN soporta el túnel IPv6 desde 2024.

Cómo probar una fuga DNS — método 3 herramientas

El método clásico consiste en visitar un servicio que te dice qué servidor DNS ha resuelto efectivamente su petición. Estos servicios funcionan generando un subdominio único aleatorio (abc123xyz.dnsleaktest.com), provocando su resolución desde tu navegador, y leyendo del lado servidor qué IP hizo la resolución. Tres herramientas terceras reconocidas permiten cruzar los resultados.

Herramienta n.º 1 — DNSLeakTest.com. El test de referencia desde 2008. Procedimiento: conectar el VPN, abrir la URL, hacer clic en «Extended Test» (no «Standard Test» que es insuficiente), esperar 10-20 segundos. La herramienta lista los servidores DNS que respondieron — típicamente 2 a 6 resolvers diferentes (los servidores DNS modernos usan arquitecturas load-balanceadas). Comparar con los servidores DNS de tu ISP: si coincidencia, fuga confirmada.

Herramienta n.º 2 — BrowserLeaks DNS. Test complementario que cruza DNS estándar, DNS-over-HTTPS, y resolvers detectados vía WebRTC. Particularmente útil para identificar si la fuga viene del navegador (DoH activado) en vez del sistema. Lanzar después de dnsleaktest.com para validar la coherencia de los resultados.

Herramienta n.º 3 — nuestra herramienta integrada /herramientas/prueba-fuga-dns. Para el test WebRTC específicamente (que es la causa de fuga más frecuente del lado navegador en 2026), la herramienta interna del sitio sondea los candidatos ICE WebRTC desde tu navegador y revela tu IP real si existe una fuga a este nivel.

Para identificar el DNS de tu ISP a comparar con los resultados: buscar en Google «DNS Orange» (resolvers 80.10.246.X), «DNS Free» (212.27.40.240 y 212.27.40.241), «DNS SFR» (109.0.66.20), «DNS Bouygues» (194.158.122.10). Si la dirección vista por DNSLeakTest corresponde a un rango de tu ISP o a su nombre de autonomous system (AS), estás fugando. Si corresponde a NordVPN («Tefincom», AS136787), ExpressVPN, Cloudflare (AS13335), Quad9 (AS19281), Google Public DNS (AS15169), todo bien.

Cómo corregir según la causa detectada

Caso 1 — VPN con opción «DNS Leak Protection» dormida

El caso más común y más simple. En NordVPN, Surfshark, ExpressVPN, ProtonVPN, Mullvad, la opción de protección anti-fuga DNS existe pero puede estar desactivada por defecto en instalaciones antiguas. Procedimiento de verificación en NordVPN: Ajustes → Conexión → Protección DNS personalizada → activar «DNS auto» o «DNS NordVPN». En Surfshark: Ajustes → Conexión → DNS personalizado → desactivar (deja que Surfshark gestione). En ExpressVPN: Preferencias → Avanzado → DNS Network Lock → comprobar activado.

Tras activación, reiniciar el VPN (desconectar / reconectar) luego rehacer el test DNSLeakTest. En el 95 % de los casos, la fuga desaparece en este paso.

Caso 2 — Windows Smart Multi-Homed DNS

Si la activación de DNS Protection VPN no basta y estás en Windows 10/11, el culpable es probablemente SMHNR. La desactivación manual se hace vía PowerShell en modo administrador:

Set-DnsClientGlobalSetting -SmartMultiHomedNameResolution $false

Este comando desactiva completamente el comportamiento SMHNR. Para reactivarlo después: Set-DnsClientGlobalSetting -SmartMultiHomedNameResolution $true. Tras desactivar, reiniciar el ordenador. SMHNR no se reactivará hasta una actualización mayor de Windows (verificar tras cada feature update Windows).

Alternativa menos invasiva: forzar la prioridad de interfaz del VPN con Get-NetAdapter | Set-NetIPInterface -InterfaceMetric 1 que coloca todas las interfaces VPN en prioridad superior. Menos fiable que desactivar SMHNR pero no toca el registro Windows.

Caso 3 — Firefox con DoH que esquiva

Si el test BrowserLeaks DNS revela Cloudflare como resolver mientras no has configurado Cloudflare como DNS del sistema, tu navegador Firefox es el culpable. Procedimiento de corrección: abrir about:preferences#general → bajar hasta «DNS over HTTPS» → elegir «Off» o «Default protection» que desactiva automáticamente DoH cuando un VPN activo es detectado. Guardar, reiniciar Firefox, repetir test.

Para Chrome: chrome://settings/security → desactivar «Use secure DNS». Para Edge: edge://settings/privacy → ídem. Para Safari: sin DoH navegador, el sistema gestiona.

Caso 4 — Ninguna opción en tu VPN actual

Si tu VPN no tiene ninguna de las opciones arriba y sigue fugando, dos opciones. Opción radical: configurar manualmente un DNS público cifrado a nivel sistema. En Windows: Ajustes → Red → Adaptador → Propiedades → IPv4 → DNS manual → Cloudflare 1.1.1.1 / 1.0.0.1. En macOS: Preferencias Sistema → Red → Avanzado → DNS → añadir 1.1.1.1. En Linux: modificar /etc/resolv.conf (o vía systemd-resolved). No es ideal — tu VPN debería gestionarlo — pero neutraliza la fuga.

Opción pragmática: cambiar de VPN. Un VPN que fuga DNS en 2026 sin opción correcta es técnicamente obsoleto. Nuestro test completo de NordVPN confirma la ausencia de fuga DNS en 6 meses de pruebas cruzadas.

¿El DNS over HTTPS (DoH) es un sustituto del VPN?

Pregunta frecuente: si DoH cifra las peticiones DNS, ¿basta como protección en lugar de un VPN completo? La respuesta técnica precisa: no, DoH no sustituye a un VPN.

DoH (DNS-over-HTTPS, definido en el RFC 8484) cifra tus peticiones DNS entre tu navegador y un resolver (Cloudflare 1.1.1.1, Google 8.8.8.8, Quad9 9.9.9.9). Es una capa de protección útil frente a un sniffer en Wi-Fi público o un ISP que examina en claro tus peticiones DNS. Pero DoH no cambia las otras tres dimensiones que protege un VPN:

DoH no oculta tu IP pública vista por los sitios visitados. Un sitio que ve tuIPpublica.com accediendo a su contenido sigue rastreándote por IP, sin importar que tu resolución DNS esté cifrada o no. DoH no cambia la ruta de tu tráfico principal — solo la resolución DNS está cifrada. El tráfico HTTPS principal hacia el sitio sigue pasando en claro desde tu IP real. DoH tampoco tuneliza los demás protocolos (BitTorrent, SSH, etc.) que permanecen visibles a tu ISP.

Si ya usas un VPN, desactiva DoH a nivel navegador para no crear dos rutas DNS divergentes (una vía DoH navegador, otra vía túnel VPN). Deja que el VPN gestione toda la resolución vía su túnel. Si no tienes VPN, activar DoH añade una capa de protección parcial pero no exime de un VPN para los usos donde la IP pública cuenta (streaming geo-restringido, eludir censura, protección contra perfilado por IP).

El aspecto jurídico de una fuga DNS en Francia

Del lado francés, la fuga DNS tiene un envite jurídico no despreciable. Según la ley Hadopi 2.0 y la directiva europea ePrivacy, los ISP franceses tienen obligación de conservar los logs de resolución DNS durante 12 meses mínimo. Estos logs son accesibles bajo requerimiento judicial en el marco de investigaciones o acciones civiles. Si usas un VPN para proteger tu historial de dominios visitados (por ejemplo porque consultas sitios políticamente sensibles, médicos confidenciales, o foros anónimos), una fuga DNS revela exactamente la lista de dominios a tu ISP — y por tanto potencialmente a las autoridades.

La situación es comparable en España (RDL 14/2019 obliga la retención de datos por los operadores) y en Reino Unido (Investigatory Powers Act 2016 — vigilancia estatal activa sobre los ISP británicos). En Estados Unidos, la FCC suprimió las protecciones privacy de los ISP en 2017, autorizando la venta directa de los historiales DNS a los brokers de datos.

Consecuencia práctica: un VPN cuyo DNS fuga es técnicamente inútil para el objetivo de privacidad, sin importar la calidad del túnel cifrado para el resto del tráfico. Por eso el test DNSLeakTest se ha convertido en un criterio obligatorio en toda evaluación seria de VPN — tiene más valor que los benchmarks de velocidad.

Resumen de etapas — checklist aplicable en 2 minutos

Para no olvidar nada, aquí la secuencia exacta de auditoría DNS a aplicar tras instalación de VPN o actualización mayor Windows/macOS: (1) desconectar el VPN y lanzar dnsleaktest.com → anotar los servidores DNS revelados (referencia ISP), (2) conectar el VPN y volver a lanzar dnsleaktest.com → anotar los nuevos servidores DNS, (3) si los servidores corresponden al VPN, OK; si corresponden al ISP, fuga confirmada, (4) aplicar la corrección según la causa identificada (casos 1 a 4 arriba), (5) volver a verificar tras cada modificación.

Este procedimiento debe rehacerse tras cada actualización mayor: Windows 11 feature updates a veces restauran SMHNR; releases macOS pueden reintroducir resolvers DNS Apple en paralelo; los navegadores Firefox/Chrome activan automáticamente DoH en ciertas instalaciones. Nuestro protocolo de prueba VPN completo incluye este test en cada ciclo trimestral. Para ir más allá sobre el perfil de red expuesto al punto de acceso, ver también nuestra guía MAC spoofing en Wi-Fi público — la aleatorización MAC complementa útilmente la protección DNS.

Lo que hay que recordar

Una fuga DNS no es una catástrofe inmediata en términos de ciberseguridad, pero es una falla de privacidad silenciosa: tu ISP sigue registrando tu historial de dominios visitados a pesar del VPN activo. Si usas un VPN precisamente para eso, es irónico. El test lleva 2 minutos vía dnsleaktest.com o nuestra herramienta integrada /herramientas/prueba-fuga-dns. Como control complementario, verificar cuál es tu dirección IP pública real antes y después del túnel sigue siendo el control de coherencia más rápido para confirmar que el VPN oculta la IP además de cerrar la fuga DNS.

Si detectas una fuga, la solución depende de la causa (opción VPN a activar, Windows SMHNR a desactivar, navegador DoH a desactivar, IPv6 a tunelizar). En el 90 % de los casos, un VPN serio actualizado resuelve el problema activando su opción dedicada. Si después de eso sigues fugando, el VPN es técnicamente obsoleto — cámbialo. NordVPN, ExpressVPN y Surfshark activan su DNS Leak Protection por defecto desde 2023 y pasan los tests en el 99 % de las sesiones auditadas.

Artículo publicado el 27 de mayo de 2026, actualizado el 28 de mayo de 2026. Metodología: tests cruzados en Windows 11 Pro 23H2, macOS 14.4 Sonoma, Ubuntu 24.04 LTS con Firefox 125 y Chrome 124; 6 VPN probados (NordVPN, ExpressVPN, Surfshark, ProtonVPN, Mullvad, CyberGhost); herramientas de referencia dnsleaktest.com, browserleaks.com/dns y nuestra herramienta interna. Capturas de tcpdump conservadas en archivo interno, disponibles bajo solicitud editorial vía contacto.