Servidores DNS: Tipos, Configuración y los Mejores DNS Públicos
Los servidores DNS (Domain Name System) son la agenda telefónica de Internet. Sin ellos, tendrías que recordar direcciones IP como 142.250.80.46 en vez de escribir google.com. Cada vez que navegas, envías un correo o usas una app, el DNS trabaja en segundo plano traduciendo nombres de dominio a direcciones IP que las computadoras pueden entender. En esta guía explicamos los tipos de servidores DNS, cómo funcionan, y cuáles son los mejores DNS públicos que puedes usar para mejorar tu velocidad y privacidad.
¿Qué es un servidor DNS?
Un servidor DNS traduce nombres de dominio (como miip.link) en direcciones IP (como 104.21.50.120). Cuando escribes una URL en tu navegador, tu dispositivo consulta un servidor DNS para obtener la dirección IP correspondiente antes de poder conectar con el servidor destino. Este proceso se llama resolución DNS y ocurre en milisegundos, tan rápido que nunca lo notas.
El sistema DNS es jerárquico y distribuido — no hay un solo servidor que conozca todas las respuestas, sino una cadena de servidores que colaboran para resolver cada consulta. Esto lo hace resiliente: si un servidor falla, otros pueden asumir su función. Para entender el contexto completo de cómo se comunican los dispositivos, consulta nuestra guía sobre el protocolo TCP/IP.
Tipos de servidores DNS
1. Servidor DNS recursivo (Resolver)
Es el servidor al que tu dispositivo consulta directamente. Tu ISP proporciona uno por defecto, pero puedes configurar uno diferente. El resolver hace todo el trabajo de búsqueda:
- Recibe tu consulta: "¿Cuál es la IP de miip.link?"
- Consulta al servidor raíz
- Consulta al servidor TLD (.link)
- Consulta al servidor autoritativo de miip.link
- Devuelve la respuesta a tu dispositivo
- Guarda la respuesta en caché para futuras consultas
Este proceso se completa en unos pocos milisegundos gracias al caché. Si el resolver ya tiene la respuesta almacenada (porque alguien más ya la consultó recientemente), la devuelve directamente sin consultar a los otros servidores. Puedes verificar la resolución de cualquier dominio con la herramienta de DNS Lookup de miip.link, o consultar la información Whois para ver los datos de registro de un dominio.
Ejemplos de resolvers: 8.8.8.8 (Google), 1.1.1.1 (Cloudflare), el DNS de tu ISP.
2. Servidor Raíz (Root)
Los 13 servidores raíz del mundo (A-M) son el punto de partida de todas las consultas DNS. No conocen las respuestas, pero saben dónde encontrar los servidores TLD para cada dominio de primer nivel (.com, .org, .link, etc.).
En realidad hay más de 13 servidores físicos — cada letra representa un clúster de servidores distribuidos globalmente con anycast, una técnica que permite que múltiples servidores compartan la misma IP y el tráfico se dirija al más cercano geográficamente. Esto garantiza que las consultas DNS raíz se resuelvan rápido desde cualquier parte del mundo.
3. Servidor TLD (Top-Level Domain)
Los servidores TLD conocen los servidores autoritativos para cada dominio bajo su extensión:
- Servidores
.comconocen los NS de google.com, facebook.com, etc. - Servidores
.linkconocen los NS de miip.link - Servidores
.orgconocen los NS de wikipedia.org
Cuando el resolver pregunta al servidor raíz por miip.link, el raíz responde con la lista de servidores TLD responsables de la extensión .link. Luego el resolver continúa su búsqueda allí.
4. Servidor Autoritativo
El servidor autoritativo es el que tiene la respuesta final. Es el servidor DNS configurado por el propietario del dominio. Contiene los registros DNS que definen todo sobre el dominio:
- A: Dominio → IPv4 (ej: miip.link → 104.21.50.120)
- AAAA: Dominio → IPv6
- CNAME: Alias de dominio (ej: www.miip.link → miip.link)
- MX: Servidor de correo (dónde enviar los emails)
- TXT: Texto arbitrario (SPF, DKIM, verificación de dominio)
- NS: Servidor de nombres (quién es autoritativo para este dominio)
- SOA: Start of Authority (información administrativa del dominio)
Puedes consultar estos registros usando la herramienta de DNS Lookup para ver exactamente qué registros tiene cualquier dominio.
El proceso de resolución DNS completo
Cuando visitas miip.link, esto es lo que ocurre paso a paso:
- Tu navegador consulta el resolver DNS configurado en tu dispositivo
- El resolver consulta un servidor raíz: "¿Quién maneja .link?"
- El servidor raíz responde: "Los servidores TLD de .link son ns1.nic.link, ns2.nic.link"
- El resolver consulta al servidor TLD .link: "¿Quién maneja miip.link?"
- El TLD responde: "Los NS de miip.link son ns1.cloudflare.com, ns2.cloudflare.com"
- El resolver consulta al servidor autoritativo de Cloudflare: "¿Cuál es la IP de miip.link?"
- Cloudflare responde: "104.21.50.120"
- El resolver guarda la respuesta en caché y la devuelve a tu navegador
Todo este proceso toma solo milisegundos gracias al caché. Si otra persona en tu misma red visita el mismo dominio minutos después, el resolver puede responder directamente desde su caché sin consultar a ningún servidor externo. Esto es lo que hace que la navegación se sienta instantánea la mayoría de las veces. Puedes verificar la geolocalización de cualquier servidor DNS para entender mejor su rendimiento.
Si quieres ver este proceso en acción, consulta nuestra guía sobre cómo funciona DNS Lookup y usa la herramienta de DNS Lookup para consultar cualquier dominio.
DNS caching: Por qué la mayoría de consultas son instantáneas
El caché DNS es la razón principal por la que las consultas son rápidas después de la primera resolución. Existen múltiples niveles de caché en la cadena de resolución:
- Caché del navegador: Chrome, Firefox y otros navegadores mantienen su propio caché DNS. Chrome lo puedes ver en
chrome://net-internals/#dns. - Caché del sistema operativo: Tu SO guarda las respuestas DNS por el tiempo indicado por el TTL (Time To Live) del registro.
- Caché del resolver: El DNS de tu ISP o el DNS público que uses también mantiene un caché.
Cada registro DNS tiene un TTL que indica cuánto tiempo debe guardarse en caché antes de consultarse de nuevo. Un TTL de 3600 segundos significa que el registro se considera válido por 1 hora. Si cambias la IP de tu dominio, los cambios pueden tardar en propagarse según el TTL configurado.
# Ver caché DNS del navegador en Chrome chrome://net-internals/#dns # Ver caché DNS en Windows ipconfig /displaydns # Verificar TTL de un dominio nslookup -type=SOA miip.link
Los mejores DNS públicos
| Servidor | IPv4 Primario | IPv4 Secundario | Velocidad | Privacidad |
|---|---|---|---|---|
| Cloudflare | 1.1.1.1 | 1.0.0.1 | ⭐⭐⭐⭐⭐ | No vende datos |
| 8.8.8.8 | 8.8.4.4 | ⭐⭐⭐⭐ | Almacena consultas | |
| Quad9 | 9.9.9.9 | 149.112.112.112 | ⭐⭐⭐⭐ | Bloquea malware |
| AdGuard | 94.140.14.14 | 94.140.15.15 | ⭐⭐⭐⭐ | Bloquea anuncios |
| OpenDNS | 208.67.222.222 | 208.67.220.220 | ⭐⭐⭐ | Filtro familiar |
| Comodo | 8.26.56.26 | 8.20.247.20 | ⭐⭐⭐ | Bloquea phishing |
¿Cómo elegir el DNS adecuado para tu caso?
La elección depende de tus prioridades. Aquí tienes recomendaciones según el uso:
- Velocidad máxima: Cloudflare 1.1.1.1 — Con servidores en más de 300 ciudades, ofrece la resolución más rápida para la mayoría de usuarios. Ideal si lo que quieres es que las páginas carguen lo más rápido posible.
- Privacidad: Cloudflare 1.1.1.1 (no vende datos, no registra consultas permanentemente, auditado por terceros). Si la privacidad es tu principal preocupación, esta es la mejor opción.
- Bloqueo de malware: Quad9 9.9.9.9 — Filtra dominios maliciosos usando inteligencia de amenazas de múltiples fuentes. Recomendado para usuarios que quieren una capa extra de seguridad sin configurar nada complicado.
- Bloqueo de anuncios: AdGuard 94.140.14.14 — Bloquea anuncios y rastreadores a nivel DNS, lo que significa que funciona en toda tu red sin instalar extensiones.
- Control parental: OpenDNS FamilyShield 208.67.222.123 — Bloquea contenido adulto automáticamente. Perfecto para redes familiares con niños.
- Fiabilidad empresarial: Google 8.8.8.8 — Infraestructura masiva con alta disponibilidad. Buena opción si solo necesitas que funcione siempre.
Para los usuarios en Latinoamérica, consulta nuestra guía específica para DNS y conexión en Colombia con recomendaciones locales.
Cómo cambiar tus servidores DNS
Windows
- Configuración → Red e Internet → Ethernet (o WiFi)
- DNS → Editar → Agregar DNS manualmente
- Primario:
1.1.1.1 - Secundario:
1.0.0.1 - Guardar
macOS
- Preferencias del Sistema → Red
- Selecciona tu conexión → Avanzado → DNS
- Elimina los DNS existentes
- Agrega:
1.1.1.1y1.0.0.1 - OK → Aplicar
Android
- Configuración → Red e Internet → WiFi
- Toca tu red → Editar → Avanzado
- DNS:
1.1.1.1y1.0.0.1
O instala la app de Cloudflare 1.1.1.1 para DNS automático. La app también activa DoH automáticamente, y si quieres ocultar tu IP de tu ISP, combínala con una VPN.
iOS
- Configuración → WiFi → Tu red → Configurar DNS
- Manual → Eliminar existentes
- Agregar:
1.1.1.1y1.0.0.1
O instala la app 1.1.1.1 de Cloudflare para configuración con un toque. En iOS 14+, también puedes usar perfiles de configuración DNS que aplican DoH/DoT a todas las redes automáticamente.
Router
Para cambiar el DNS para todos los dispositivos de tu red:
- Accede a tu router (usualmente 192.168.1.1)
- Busca la sección DHCP o WAN
- Establece DNS primario:
1.1.1.1 - Establece DNS secundario:
1.0.0.1 - Guarda y reinicia
Configurar el DNS en el router tiene la ventaja de que todos los dispositivos conectados usarán automáticamente los nuevos servidores DNS sin configuración individual. Esto incluye dispositivos IoT, consolas de videojuegos y smartphones de toda la familia.
DNS over HTTPS (DoH) y DNS over TLS (DoT)
El DNS tradicional viaja en texto plano, por lo que tu ISP puede ver todos los sitios que visitas, incluso si usas HTTPS para navegar. DoH y DoT cifran las consultas DNS para proteger tu privacidad:
- DoH (DNS over HTTPS): Usa el puerto 443, se ve como tráfico HTTPS normal. Más difícil de bloquear por firewalls o ISPs. Compatible con la mayoría de navegadores modernos.
- DoT (DNS over TLS): Usa el puerto 853, más fácil de configurar en routers pero más fácil de bloquear. Preferido en entornos empresariales donde se necesita control centralizado.
Para activar DoH en Chrome: Configuración → Privacidad y seguridad → Usar DNS seguro. En Firefox: Configuración → Privacidad y seguridad → DNS sobre HTTPS. Ambos navegadores permiten elegir entre varios proveedores de DNS cifrado.
Seguridad DNS: ataques comunes
DNS spoofing (envenenamiento de caché)
Un atacante altera el caché DNS para que un dominio legítimo apunte a una IP maliciosa. Si visitas mibanco.com y el caché DNS ha sido manipulado, podrías terminar en una réplica falsa diseñada para robar tus credenciales. DNSSEC (explicado más abajo) es la defensa principal contra este ataque. Puedes protegerte mejor siguiendo nuestros consejos de seguridad online.
DNS hijacking
El atacante compromete los registros DNS de un dominio, generalmente robando las credenciales del registrador. Esto permite redirigir todo el tráfico del dominio a servidores controlados por el atacante. En 2019, un ataque de este tipo afectó a Ecuador, afectando múltiples dominios gubernamentales simultáneamente.
DNS amplification (ataque DDoS)
Los atacantes envían consultas DNS con la IP origen falsificada (la de la víctima) a servidores DNS abiertos. Los servidores responden con mensajes mucho más grandes que la consulta original, amplificando el tráfico hacia la víctima. Este tipo de ataque puede generar volúmenes de tráfico de cientos de Gbps.
DNS leak
Un DNS leak ocurre cuando tus consultas DNS no pasan por la VPN sino por tu ISP. Esto anula la privacidad que buscas al usar una VPN. Para verificar, usa una herramienta como dnsleaktest.com conectado a tu VPN y confirma que los servidores DNS mostrados pertenecen a tu proveedor de VPN, no a tu ISP.
Problemas comunes de DNS
Sitio no carga
Si un sitio no carga pero ping funciona con la IP, es un problema de DNS:
# Verificar si es DNS ping 8.8.8.8 # Funciona → Internet OK ping google.com # No funciona → DNS problem # Probar con otro DNS nslookup google.com 1.1.1.1 # Si funciona, tu DNS está mal
Este es uno de los problemas más comunes. Si puedes hacer ping a una IP pero no a un dominio, el problema está en la resolución DNS, no en tu conexión a Internet.
DNS cache envenenado
Si un sitio carga una página incorrecta o no carga cuando debería, puede ser caché DNS corrompido:
# Windows: limpiar caché DNS ipconfig /flushdns # Mac: limpiar caché DNS sudo dscacheutil -flushcache sudo killall -HUP mDNSResponder # Linux: limpiar caché DNS sudo systemd-resolve --flush-caches
Limpiar el caché DNS debería ser tu primera solución cuando un sitio que antes funcionaba deja de cargar.
Propagación DNS lenta
Si cambiaste los registros DNS de tu dominio pero los cambios no se reflejan, es porque la propagación DNS puede tardar hasta 48 horas dependiendo de los TTL configurados. Puedes verificar el estado de propagación usando la herramienta de DNS Lookup desde diferentes ubicaciones y comparando los resultados.
Preguntas frecuentes
¿Es seguro usar DNS de Google?
Google DNS (8.8.8.8) es rápido y confiable, pero Google almacena consultas DNS por 48 horas. Si prefieres más privacidad, usa Cloudflare 1.1.1.1 que no registra consultas permanentemente y ha sido auditado por terceros para verificarlo.
¿Puedo usar dos DNS de diferentes proveedores?
Sí, y es recomendado. Si un servidor DNS cae, el otro toma el relevo. Ejemplo: 1.1.1.1 (Cloudflare) como primario y 8.8.8.8 (Google) como secundario. Esto te da redundancia: si Cloudflare tiene una interrupción, tu conexión sigue funcionando a través de Google.
¿El DNS afecta la velocidad de Internet?
El DNS solo afecta la velocidad de la primera carga de cada sitio. Una vez resuelto, el resultado se guarda en caché. Un DNS más rápido como Cloudflare 1.1.1.1 reduce este tiempo de algunos milisegundos. La diferencia puede notarse más en sitios con muchos recursos externos (anuncios, fuentes, scripts) que requieren múltiples consultas DNS para cargar una sola página.
¿Qué es DNSSEC?
DNSSEC añade firmas digitales a los registros DNS para verificar que no han sido modificados. No cifra las consultas (para eso está DoH/DoT), pero asegura que la respuesta es auténtica. Piensa en DNSSEC como un sello de seguridad: te dice que la respuesta vino realmente del propietario del dominio, no de un atacante. Puedes verificar si un dominio usa DNSSEC con la herramienta de WHOIS o consultando sus registros DS.
¿Puedo usar DNS para bloquear contenido?
Sí. Servidores como AdGuard DNS y OpenDNS FamilyShield bloquean categorías completas de contenido a nivel DNS. Esto significa que los dominios de anuncios, malware o contenido adulto nunca se resuelven, por lo que no cargan en ningún dispositivo de tu red. Es más eficiente que bloquear con extensiones de navegador porque funciona a nivel de red.