DNS sobre HTTPS (DoH): La Cortina de Privacidad que le Falta a tu Empresa en Internet

• Alex De los Llanos Dueñas
• Septiembre 2025

Imagina que cada vez que quieres ir a una dirección en una ciudad, en lugar de teclearla discretamente en tu GPS, tuvieras que asomarte a la ventana y gritarle a un cartero que está en medio de la calle: "¡Oye, quiero ir a la sede del Banco X en la Calle Mayor!". El cartero, muy amable, te grita de vuelta la ruta más rápida. El sistema funciona, llegas a tu destino. Pero hay un pequeño problema: todos los que estaban en la calle —tus vecinos, un comercial de la competencia, un ladrón que pasaba por ahí— se acaban de enterar de que vas al banco. Y si al rato gritas que quieres ir a una clínica de salud, y luego a una consultora de despidos, la gente empieza a atar cabos.

Aunque te parezca una locura, así es exactamente como ha funcionado la navegación por internet en tu empresa durante los últimos treinta años. A ese cartero gritón lo llamamos DNS (Sistema de Nombres de Dominio).

Cada vez que un empleado tuyo escribe www.proveedor-nuevo.com en su navegador, su ordenador le pregunta a un servidor DNS, a grito pelado y en texto plano, "dime la dirección IP para llegar a este sitio". Es el listín telefónico de internet, un servicio fundamental sin el cual la red no funcionaría. El problema es que esa conversación, esa pregunta y esa respuesta, son públicas. Cualquiera que esté "escuchando" en la línea —principalmente tu proveedor de internet (ISP), pero también un atacante en una red Wi-Fi pública— puede ver un registro completo de cada una de las páginas web que visita tu empresa.

No pueden ver lo que haces dentro de la página si esta es segura (HTTPS), pero sí saben que has ido. Y eso, para una empresa, es una fuga de información estratégica masiva. Pueden saber con qué bancos trabajáis, qué software estáis evaluando para comprar, a qué clientes visitáis en su portal online o qué despachos de abogados estáis consultando. Es un chivato que cuenta todos vuestros movimientos. Y hemos vivido con él durante décadas. Hasta ahora.

DoH al Rescate: Poniéndole un Candado al Cartero

Aquí es donde entra en juego una tecnología que lo cambia todo: DNS sobre HTTPS, o DoH. El nombre suena complicado, pero la idea es de una simpleza genial. Siguiendo con nuestra analogía, DoH es como si, en lugar de gritarle la dirección al cartero desde la ventana, lo invitaras a entrar en tu despacho, cerraras la puerta y le susurraras la dirección al oído. La petición y la respuesta son las mismas, pero la conversación es completamente privada y cifrada.

Técnicamente, lo que hace DoH es envolver esa pregunta del DNS dentro del mismo tipo de cifrado que protege tus transacciones bancarias online (el https:// que ves en el navegador). La petición viaja camuflada como si fuera tráfico web normal y corriente. Nadie en el medio puede leerla. Es un salto de gigante para la privacidad en internet. Y por eso, los grandes navegadores como Google Chrome y Mozilla Firefox lo están empezando a activar por defecto.

"¡Fantástico!", pensarás. "Problema resuelto". Pues para un usuario doméstico, sí. Pero para una empresa, esta activación automática ha creado un nuevo y complejo desafío. Al activar DoH por su cuenta, el navegador de tu empleado puede empezar a ignorar por completo los servidores DNS de tu propia empresa (esos que tu equipo de IT configuró con esmero) y enviar sus peticiones directamente a servidores públicos como los de Google o Cloudflare.

Y esto, desde el punto de vista de la ciberseguridad corporativa, es un problema. ¿Por qué? Porque las empresas usan sus propios DNS como una primera línea de defensa. Es ahí donde se configuran los filtros que bloquean el acceso a páginas maliciosas conocidas, a sitios de phishing o a contenido no permitido. Si los navegadores de tus empleados se saltan ese filtro, has perdido una capa de seguridad fundamental. Es como si, para garantizar su privacidad, tus empleados decidieran salir del edificio por una puerta trasera sin vigilancia en lugar de por la puerta principal donde está el guardia de seguridad.

Implementación Corporativa: Privacidad sí, pero con Control

Entonces, ¿cuál es la solución? ¿Bloquear DoH y renunciar a sus ventajas de privacidad? En absoluto. Eso sería intentar ponerle puertas al campo. El futuro es el cifrado. La solución es adoptar DoH, pero hacerlo de forma centralizada y controlada, no de la manera caótica que proponen los navegadores por defecto.

La estrategia correcta es convertir a tu empresa en la que gestiona los "susurros". No quieres que cada empleado susurre a un cartero diferente y desconocido. Quieres que todos le susurren a tu "conserje" de confianza (tu servidor DNS interno), y que sea este conserje el único que tiene permitido salir a la calle a susurrarle a los carteros externos. Así mantienes el control y la visibilidad internos, pero garantizas la privacidad de las comunicaciones hacia el exterior.

¿Cómo se logra esto en la práctica?

1. -Implantar un Servidor DNS Interno compatible con DoH: La mejor solución. Configuras tus propios servidores DNS para que resuelvan las peticiones de tu red. Y cuando necesiten preguntar a un servidor externo, lo harán usando DoH. De esta forma, todo el tráfico pasa por tu filtro de seguridad, pero el tramo final de la comunicación hacia internet queda cifrado. Mantienes lo mejor de los dos mundos: control y privacidad.
2. -Utilizar Políticas de Navegador: Si no puedes cambiar tu infraestructura DNS, al menos puedes controlar los navegadores. A través de políticas de grupo (GPO en entornos Windows), puedes obligar a todos los navegadores de la empresa a hacer una de estas dos cosas: o desactivar por completo la función de DoH, o (mucho mejor) configurarlos para que apunten al servidor DoH que tú elijas, que puede ser uno que ofrezca filtrado de seguridad para empresas.
3. -Bloquear los Resolutores Públicos (Como último recurso): Esta es la opción más drástica. Consiste en bloquear a nivel de firewall el acceso a las direcciones IP de los servidores DoH públicos más conocidos (Google, Cloudflare, etc.). Esto fuerza a que todo el tráfico DNS pase por tus sistemas tradicionales. Es una solución funcional, pero te obliga a mantener una lista de bloqueo actualizada y es menos elegante que una estrategia de adopción controlada.

Conclusión

DoH ha llegado para quedarse, y es una buena noticia para la privacidad de todos. Pero para una empresa, dejar que se despliegue sin control es un riesgo. La clave no es prohibirlo, sino liderar su implementación.

Adoptar una estrategia de DNS moderna te permite ofrecer a tu organización un canal de navegación privado sin sacrificar las capas de seguridad que te protegen. Si quieres diseñar e implementar un plan para que tu empresa aproveche lo mejor del futuro de internet sin perder el control, ya sabes qué hacer. Contacta ya mismo con nosotros.