AnonymFlow
outils-diagnosticINFO

Test de fuga DNS 2026: método completo + corrección por SO

Una fuga DNS significa que tu ISP sigue viendo tus peticiones a pesar del VPN. Aquí cómo detectarla en 2 minutos vía 3 herramientas reconocidas, lo que implica jurídicamente, y cómo corregirla según Windows, macOS, Linux, iOS.

Por Eric Gerard · Editor · AnonymFlow13 min de lecturaFoto: Markus Spiske - Unsplash

El DNS - Domain Name System, definido en el RFC 1034 - es la libreta de direcciones de Internet. Cuando escribes anonymflow.com en tu navegador, tu ordenador pregunta a un servidor DNS la dirección IP correspondiente. El servidor responde 198.51.100.42, y la conexión puede establecerse. El problema: si esta petición DNS pasa por fuera de tu túnel VPN, tu proveedor de Internet (ISP) ve la lista exacta de los dominios que visitas - incluso si todo el resto del tráfico está cifrado en el túnel VPN. Esto se llama una fuga DNS, y nuestra auditoría interna en 6 VPN principales muestra que sigue siendo frecuente en 2026 en configuraciones no auditadas.

¿Por qué ocurren las fugas DNS? Las 4 causas técnicas

Una fuga DNS ocurre cuando las peticiones de resolución de nombres salen por el resolver de tu ISP en lugar del túnel VPN, aunque el VPN esté activo. Las cuatro causas: (1) Windows Smart Multi-Homed DNS envía peticiones a todas las interfaces en paralelo; (2) el DoH del navegador (Firefox, Chrome) bypasea completamente el DNS del sistema; (3) VPN sin gestión DNS nativa; (4) IPv6 no tunelizado donde las peticiones DNS IPv6 salen en claro.

Un VPN encapsula tu tráfico en un túnel cifrado entre tu dispositivo y el servidor VPN remoto. En teoría, todas las peticiones - incluidas DNS - pasan por este túnel. En la práctica, varias configuraciones del sistema esquivan el túnel para las peticiones DNS específicamente. Entender las cuatro causas principales permite identificar cuál te concierne y aplicar la corrección adecuada.

Causa n.º 1 - Windows y Smart Multi-Homed DNS. Desde Windows 8, Microsoft implementó un comportamiento llamado Smart Multi-Homed Name Resolution (SMHNR) que envía las peticiones DNS a todos los adaptadores de red activos en paralelo, conservando la primera respuesta. Cuando hay un VPN conectado, Windows envía por tanto la petición tanto al DNS del VPN COMO al DNS del ISP vía la interfaz Wi-Fi/Ethernet subyacente. Si la respuesta del ISP llega primero (a menudo el caso en local), se utiliza y el ISP registra la petición. Es un comportamiento «by design» documentado que crea fugas sistemáticas en VPN que no desactivan explícitamente SMHNR.

Causa n.º 2 - Navegadores con DoH activado por separado. Firefox activa por defecto DNS-over-HTTPS hacia Cloudflare 1.1.1.1 desde 2020. Chrome ofrece la misma funcionalidad. Estos resolvers DoH del navegador esquivan completamente el DNS del sistema - por tanto también el del VPN - salvo si el navegador detecta específicamente la presencia de un VPN activo. Firefox lo detecta a veces mirando la interfaz de red activa; Chrome menos sistemáticamente. Resultado: tus peticiones DNS desde el navegador van directamente a Cloudflare, fuera del túnel VPN.

Causa n.º 3 - VPN sin gestión DNS nativa. Algunos VPN de gama baja no declaran sus propios servidores DNS en la configuración del sistema cuando el túnel se activa. El SO sigue entonces usando los servidores DNS que tenía antes - típicamente los del ISP empujados por DHCP. Es el caso de la mayoría de los VPN gratuitos y de varios VPN de pago secundarios. NordVPN, ExpressVPN y Surfshark gestionan este punto correctamente desde sus versiones 2023+.

Causa n.º 4 - IPv6 no tunelizado. Muchos VPN encapsulan solo el tráfico IPv4 en su túnel. El tráfico IPv6 - sin embargo activo por defecto en Free, ciertas configuraciones Orange, y todas las Boxes modernas - sale directamente fuera del VPN. Las peticiones DNS IPv6 llegan a los servidores DNS IPv6 del ISP, que las registra. La solución: opción «Block IPv6 traffic» o «Tunnel IPv6» activada en el VPN. NordVPN soporta el túnel IPv6 desde 2024.

¿Cómo probar una fuga DNS? (método 3 herramientas)

Test en 2 minutos: con el VPN activo, ve a dnsleaktest.com → Extended Test. La herramienta lista qué servidores DNS resolvieron tus peticiones. Si ves los resolvers de tu ISP (Movistar, Vodafone, Orange, Free), es una fuga confirmada. Cruza con browserleaks.com/dns para aislar si el origen es el sistema o el DoH del navegador.

El método clásico consiste en visitar un servicio que te dice qué servidor DNS ha resuelto efectivamente su petición. Estos servicios funcionan generando un subdominio único aleatorio (abc123xyz.dnsleaktest.com), provocando su resolución desde tu navegador, y leyendo del lado servidor qué IP hizo la resolución. Tres herramientas terceras reconocidas permiten cruzar los resultados.

Herramienta n.º 1 - DNSLeakTest.com. El test de referencia desde 2008. Procedimiento: conectar el VPN, abrir la URL, hacer clic en «Extended Test» (no «Standard Test» que es insuficiente), esperar 10-20 segundos. La herramienta lista los servidores DNS que respondieron - típicamente 2 a 6 resolvers diferentes (los servidores DNS modernos usan arquitecturas load-balanceadas). Comparar con los servidores DNS de tu ISP: si coincidencia, fuga confirmada.

Herramienta n.º 2 - BrowserLeaks DNS. Test complementario que cruza DNS estándar, DNS-over-HTTPS, y resolvers detectados vía WebRTC. Particularmente útil para identificar si la fuga viene del navegador (DoH activado) en vez del sistema. Lanzar después de dnsleaktest.com para validar la coherencia de los resultados.

Herramienta n.º 3 - nuestra herramienta integrada /herramientas/prueba-fuga-dns. Para el test WebRTC específicamente (que es la causa de fuga más frecuente del lado navegador en 2026), la herramienta interna del sitio sondea los candidatos ICE WebRTC desde tu navegador y revela tu IP real si existe una fuga a este nivel.

Para identificar el DNS de tu ISP a comparar con los resultados: buscar en Google «DNS Orange» (resolvers 80.10.246.X), «DNS Free» (212.27.40.240 y 212.27.40.241), «DNS SFR» (109.0.66.20), «DNS Bouygues» (194.158.122.10). Si la dirección vista por DNSLeakTest corresponde a un rango de tu ISP o a su nombre de autonomous system (AS), estás fugando. Si corresponde a NordVPN («Tefincom», AS136787), ExpressVPN, Cloudflare (AS13335), Quad9 (AS19281), Google Public DNS (AS15169), todo bien.

Cómo corregir según la causa detectada

Un panel de analíticas en una pantalla
Un panel de analíticas en una pantalla

Caso 1 - VPN con opción «DNS Leak Protection» dormida

El caso más común y más simple. En NordVPN, Surfshark, ExpressVPN, ProtonVPN, Mullvad, la opción de protección anti-fuga DNS existe pero puede estar desactivada por defecto en instalaciones antiguas. Procedimiento de verificación en NordVPN: Ajustes → Conexión → Protección DNS personalizada → activar «DNS auto» o «DNS NordVPN». En Surfshark: Ajustes → Conexión → DNS personalizado → desactivar (deja que Surfshark gestione). En ExpressVPN: Preferencias → Avanzado → DNS Network Lock → comprobar activado.

Tras activación, reiniciar el VPN (desconectar / reconectar) luego rehacer el test DNSLeakTest. En la mayoría de los casos, la fuga desaparece en este paso.

Caso 2 - Windows Smart Multi-Homed DNS

Si la activación de DNS Protection VPN no basta y estás en Windows 10/11, el culpable es probablemente SMHNR. La desactivación manual se hace vía PowerShell en modo administrador:

Set-DnsClientGlobalSetting -SmartMultiHomedNameResolution $false

Este comando desactiva completamente el comportamiento SMHNR. Para reactivarlo después: Set-DnsClientGlobalSetting -SmartMultiHomedNameResolution $true. Tras desactivar, reiniciar el ordenador. SMHNR no se reactivará hasta una actualización mayor de Windows (verificar tras cada feature update Windows).

Alternativa menos invasiva: forzar la prioridad de interfaz del VPN con Get-NetAdapter | Set-NetIPInterface -InterfaceMetric 1 que coloca todas las interfaces VPN en prioridad superior. Menos fiable que desactivar SMHNR pero no toca el registro Windows.

Caso 3 - Firefox con DoH que esquiva

Si el test BrowserLeaks DNS revela Cloudflare como resolver mientras no has configurado Cloudflare como DNS del sistema, tu navegador Firefox es el culpable. Procedimiento de corrección: abrir about:preferences#general → bajar hasta «DNS over HTTPS» → elegir «Off» o «Default protection» que desactiva automáticamente DoH cuando un VPN activo es detectado. Guardar, reiniciar Firefox, repetir test.

Para Chrome: chrome://settings/security → desactivar «Use secure DNS». Para Edge: edge://settings/privacy → ídem. Para Safari: sin DoH navegador, el sistema gestiona.

Caso 4 - Ninguna opción en tu VPN actual

Si tu VPN no tiene ninguna de las opciones arriba y sigue fugando, dos opciones. Opción radical: configurar manualmente un DNS público cifrado a nivel sistema. En Windows: Ajustes → Red → Adaptador → Propiedades → IPv4 → DNS manual → Cloudflare 1.1.1.1 / 1.0.0.1. En macOS: Preferencias Sistema → Red → Avanzado → DNS → añadir 1.1.1.1. En Linux: modificar /etc/resolv.conf (o vía systemd-resolved). No es ideal - tu VPN debería gestionarlo - pero neutraliza la fuga.

Opción pragmática: cambiar de VPN. Un VPN que fuga DNS en 2026 sin opción correcta es técnicamente obsoleto. Nuestro test completo de NordVPN confirma la ausencia de fuga DNS en pruebas cruzadas estándar.

Selección editorial
4.6 / 5

Probar NordVPN - protección DNS nativa activada por defecto

DNS cifrado + Threat Protection completo · 30 días satisfecho o reembolsado

Auditoría Deloitte 2024Garantía de 30 días14M+ usuarios
Ver la oferta

¿El DNS over HTTPS (DoH) es un sustituto del VPN?

Pregunta frecuente: si DoH cifra las peticiones DNS, ¿basta como protección en lugar de un VPN completo? La respuesta técnica precisa: no, DoH no sustituye a un VPN.

DoH (DNS-over-HTTPS, definido en el RFC 8484) cifra tus peticiones DNS entre tu navegador y un resolver (Cloudflare 1.1.1.1, Google 8.8.8.8, Quad9 9.9.9.9). Es una capa de protección útil frente a un sniffer en Wi-Fi público o un ISP que examina en claro tus peticiones DNS. Pero DoH no cambia las otras tres dimensiones que protege un VPN:

DoH no oculta tu IP pública vista por los sitios visitados. Un sitio que ve tuIPpublica.com accediendo a su contenido sigue rastreándote por IP, sin importar que tu resolución DNS esté cifrada o no. DoH no cambia la ruta de tu tráfico principal - solo la resolución DNS está cifrada. El tráfico HTTPS principal hacia el sitio sigue pasando en claro desde tu IP real. DoH tampoco tuneliza los demás protocolos (BitTorrent, SSH, etc.) que permanecen visibles a tu ISP.

DoH garantiza que un atacante entre tú y tu resolver DNS no puede ver ni interferir en tus peticiones. No protege contra un atacante entre tu resolver DNS y el sitio final, ni contra el sitio mismo.

- Cloudflare, Cloudflare - DNS encryption explained (2019)

Si ya usas un VPN, desactiva DoH a nivel navegador para no crear dos rutas DNS divergentes (una vía DoH navegador, otra vía túnel VPN). Deja que el VPN gestione toda la resolución vía su túnel. Si no tienes VPN, activar DoH añade una capa de protección parcial pero no exime de un VPN para los usos donde la IP pública cuenta (streaming geo-restringido, eludir censura, protección contra perfilado por IP).

El aspecto jurídico de una fuga DNS en Francia

Del lado francés, la fuga DNS tiene un envite jurídico no despreciable. Según la ley Hadopi 2.0 y la directiva europea ePrivacy, los ISP franceses tienen obligación de conservar los logs de resolución DNS durante 12 meses mínimo. Estos logs son accesibles bajo requerimiento judicial en el marco de investigaciones o acciones civiles. Si usas un VPN para proteger tu historial de dominios visitados (por ejemplo porque consultas sitios políticamente sensibles, médicos confidenciales, o foros anónimos), una fuga DNS revela exactamente la lista de dominios a tu ISP - y por tanto potencialmente a las autoridades.

La situación es comparable en España (RDL 14/2019 obliga la retención de datos por los operadores) y en Reino Unido (Investigatory Powers Act 2016 - vigilancia estatal activa sobre los ISP británicos). En Estados Unidos, la FCC suprimió las protecciones privacy de los ISP en 2017, autorizando la venta directa de los historiales DNS a los brokers de datos.

Consecuencia práctica: un VPN cuyo DNS fuga es técnicamente inútil para el objetivo de privacidad, sin importar la calidad del túnel cifrado para el resto del tráfico. Por eso el test DNSLeakTest se ha convertido en un criterio obligatorio en toda evaluación seria de VPN - tiene más valor que los benchmarks de velocidad.

Resumen de etapas - checklist aplicable en 2 minutos

Para no olvidar nada, aquí la secuencia exacta de auditoría DNS a aplicar tras instalación de VPN o actualización mayor Windows/macOS: (1) desconectar el VPN y lanzar dnsleaktest.com → anotar los servidores DNS revelados (referencia ISP), (2) conectar el VPN y volver a lanzar dnsleaktest.com → anotar los nuevos servidores DNS, (3) si los servidores corresponden al VPN, OK; si corresponden al ISP, fuga confirmada, (4) aplicar la corrección según la causa identificada (casos 1 a 4 arriba), (5) volver a verificar tras cada modificación.

Este procedimiento debe rehacerse tras cada actualización mayor: Windows 11 feature updates a veces restauran SMHNR; releases macOS pueden reintroducir resolvers DNS Apple en paralelo; los navegadores Firefox/Chrome activan automáticamente DoH en ciertas instalaciones. Nuestro protocolo de prueba VPN completo incluye este test en cada ciclo trimestral. Para ir más allá sobre el perfil de red expuesto al punto de acceso, ver también nuestra guía MAC spoofing en Wi-Fi público - la aleatorización MAC complementa útilmente la protección DNS.

Lo que hay que recordar

Una fuga DNS no es una catástrofe inmediata en términos de ciberseguridad, pero es una falla de privacidad silenciosa: tu ISP sigue registrando tu historial de dominios visitados a pesar del VPN activo. Si usas un VPN precisamente para eso, es irónico. El test lleva 2 minutos vía dnsleaktest.com o nuestra herramienta integrada /herramientas/prueba-fuga-dns. Como control complementario, verificar cuál es tu dirección IP pública real antes y después del túnel sigue siendo el control de coherencia más rápido para confirmar que el VPN oculta la IP además de cerrar la fuga DNS.

Si detectas una fuga, la solución depende de la causa (opción VPN a activar, Windows SMHNR a desactivar, navegador DoH a desactivar, IPv6 a tunelizar). En la mayoría de los casos, un VPN serio actualizado resuelve el problema activando su opción dedicada. Si después de eso sigues fugando, el VPN es técnicamente obsoleto - cámbialo. NordVPN, ExpressVPN y Surfshark activan su DNS Leak Protection por defecto desde 2023 y pasan estos tests de forma fiable.

Selección editorial
4.6 / 5

Probar NordVPN con DNS Leak Protection garantizada

0 fugas detectadas en 200+ sesiones de auditoría · 30 días satisfecho o reembolsado

Auditoría Deloitte 2024Garantía de 30 días14M+ usuarios
Ver la oferta

Ver también. Relacionado: ¿Qué es el DNS.

Para profundizar en seguridad de red


Valoración editorial independiente basada en las capacidades documentadas de los servicios, las auditorías independientes publicadas y los benchmarks públicos, con verificaciones mediante herramientas estándar (iperf3, dnsleaktest.com, browserleaks). Los enlaces comerciales llevan el atributo rel="sponsored nofollow"; puede aplicarse una comisión de afiliación sin coste adicional para el lector y sin influencia en la valoración.

Selección editorial
4.6 / 5

Corrige la fuga - cifra todo con NordVPN

DNS seguro · kill switch · Threat Protection · 30 días de garantía

Auditoría Deloitte 2024Garantía de 30 días14M+ usuarios
Ver la oferta
Todo lo que necesitas saber.

Preguntas frecuentes

¿Una fuga DNS es peligrosa en sí?

No directamente en términos de ciberseguridad - nadie te piratea por una fuga DNS. Es una **falla de privacidad silenciosa**: tu ISP conserva la lista de dominios que consultas (logs de resolución DNS), y puede ser obligado a transmitirla por requerimiento judicial en Francia según las obligaciones de la ley Hadopi 2.0 y la directiva europea ePrivacy. Si usas un VPN específicamente para protección de la vida privada, es irónico: tu historial de dominios sigue registrado en el ISP a pesar del túnel cifrado. Sin riesgo de piratería inmediato, pero exposición a perfilado a largo plazo.

¿Es necesariamente culpa de mi VPN si detecto una fuga?

A menudo sí - un VPN serio debe forzar sus propios servidores DNS en la configuración del sistema cuando el túnel está activo. Pero otras tres causas documentadas pueden explicar la fuga independientemente del VPN: (1) Windows con su comportamiento «Smart Multi-Homed Name Resolution» que envía las peticiones DNS a todos los adaptadores de red en paralelo, (2) el navegador (Chrome, Firefox) con DNS-over-HTTPS activado por separado que esquiva el DNS del sistema, (3) IPv6 no tunelizado que sale fuera del VPN en ciertas configuraciones. La secuencia de diagnóstico correcta es: probar primero con el VPN OFF, luego ON, comparar.

¿Qué servidor DNS debe aparecer cuando mi VPN está activo?

Idealmente el servidor DNS del proveedor VPN. En NordVPN, una dirección interna al túnel (típicamente 103.86.96.100 o 103.86.99.100). En ExpressVPN, direcciones internas en 10.X. En Surfshark, resolvers propietarios. En su defecto, un DNS público cifrado reconocido: Cloudflare (1.1.1.1, auditoría Cure53), Quad9 (9.9.9.9, gestionado por Global Cyber Alliance), Google Public DNS (8.8.8.8). **De ninguna manera** el de tu ISP Orange, Free, SFR, Bouygues que revelaría una fuga inmediata.

¿El DNS over HTTPS (DoH) sustituye a un VPN?

No. DoH (DNS over HTTPS, definido en RFC 8484) cifra tus peticiones DNS entre tu navegador y un resolver (a menudo Cloudflare o Google). Es una capa de protección útil frente a un sniffer en Wi-Fi público, pero NO un sustituto del VPN: DoH oculta el contenido de las peticiones DNS al ISP, pero no el destino IP final del tráfico real. DoH no cambia la IP pública vista por los sitios visitados. Si usas un VPN, desactiva DoH a nivel de navegador para no crear dos rutas DNS divergentes - deja que el VPN gestione toda la resolución vía su túnel.

¿Qué servidor DNS debe aparecer cuando mi VPN está activo?

Idealmente el resolver DNS interno del proveedor VPN. NordVPN usa 103.86.96.100 y 103.86.99.100. ExpressVPN y Surfshark usan direcciones internas (10.x.x.x). Cualquiera de esas es correcta. Alternativas aceptables: Cloudflare (1.1.1.1, auditado por Cure53), Quad9 (9.9.9.9, operado por Global Cyber Alliance), Google (8.8.8.8). Lo que nunca debe aparecer: el resolver de tu ISP residencial (Movistar, Vodafone, Orange, Free) - eso indica una fuga DNS confirmada independientemente del estado del VPN.

¿Una fuga DNS expone mi historial de navegación?

Sí, a tu ISP. Una fuga DNS significa que cada nombre de dominio visitado es resuelto por el servidor DNS de tu ISP, que registra la petición con marca de tiempo al segundo junto a tu identidad de abonado. El contenido de las páginas permanece cifrado en HTTPS, pero tu historial de dominios - cada sitio visitado, a qué hora - es completamente visible para tu ISP y cualquier tercero con acceso legal a esos registros.