Prueba de fugas de DNS: Cómo detectar fugas de DNS y solucionarlas.
Tu VPN puede mostrar una IP limpia en otro país mientras, discretamente, le entrega a tu proveedor de internet una lista de todos los sitios que visitas. Esta vulnerabilidad se conoce como fuga de DNS. El candado parece cerrado, el tráfico parece privado, pero las consultas que convierten un nombre de dominio en una dirección se filtran sin cifrar. Una prueba rápida de fuga de DNS es la única forma de saber si te está ocurriendo, y la mayoría de las personas que la realizan por primera vez se sorprenden con los resultados.
Esta guía explica qué es una fuga de DNS, cómo detectarla en unos treinta segundos, cómo solucionar la causa y por qué el riesgo es mayor si posees criptomonedas. Este último punto es algo que casi ninguna otra guía se molesta en explicar.
¿Qué es una fuga de DNS y qué se filtra?
Piensa en el Sistema de Nombres de Dominio como la guía telefónica de internet. Escribes un nombre de dominio, tu dispositivo envía una pequeña solicitud DNS y un servidor DNS devuelve la dirección IP correspondiente. Bastante sencillo. La fuga se produce cuando esa consulta se desvía de la ruta correcta. En lugar de usar tu túnel VPN cifrado para conectarse al servidor DNS de la VPN, la consulta se envía al servidor DNS de tu proveedor de internet, generalmente en texto plano.
Nada se "roba" en el sentido cinematográfico. Lo que se filtra son los metadatos: la lista ordenada de sitios que intentaste visitar, vinculada a tu dirección IP real. Eso es más que suficiente. Usando DNS de esta manera, tu ISP nunca tiene que leer un solo byte de tu tráfico real para saber que abriste una plataforma de intercambio, un servicio de billetera o alguna página de noticias a las 11:47 de un martes. Cada vez que visitas un sitio web, la búsqueda tiene que resolverse en algún lugar, y ahí radica el problema. Aquí viene lo incómodo: la filtración está más cerca de la configuración predeterminada de la web que de un fallo aislado. A febrero de 2026, alrededor del 86,6 % de las consultas DNS en todo el mundo todavía cruzan la red como UDP simple, sin cifrar, según Cloudflare Radar . El DNS cifrado es la excepción, no la regla.
Cómo se produce una fuga de DNS: IPv6, WebRTC, enrutadores
La mayoría de las filtraciones no son ataques sofisticados. Son comportamientos normales del sistema operativo que la VPN nunca logró anular por completo. Tres causas explican la gran mayoría de las pruebas fallidas.
IPv6 y la fuga que tu VPN olvidó
Este es el campeón silencioso de las fugas de DNS. Muchas VPN se diseñaron para tunelizar IPv4 y tratar IPv6 como un problema de otro. Así que, si tu sistema operativo tiene IPv6 activado y la VPN solo captura IPv4, esas consultas DNS de IPv6 salen directamente del túnel. Y no es una hipótesis. Un estudio revisado por pares de 2025 realizado por Cho y Heidemann en ACM IMC detectó que 12 VPN comerciales filtraban tráfico IPv6 para entre el 5 % y el 57 % de sus usuarios que solo usaban IPv4, según se publicó en su artículo de IMC 2025. Años de "protección contra fugas de IPv6" en el dispositivo, y la fuga sigue ahí, en los datos.
Secuestro transparente de DNS por parte de su proveedor de servicios de Internet (ISP).
Algunos proveedores de servicios de Internet (ISP) interceptan cualquier solicitud DNS que salga de tu red por el puerto 53 y la redirigen a través de su propio servidor DNS, independientemente del servidor que hayas configurado. Esto constituye un secuestro DNS transparente. Si realizas una prueba de fugas, verás que el servidor DNS del ISP está presente, aunque hayas configurado uno diferente. Windows empeora la situación de dos maneras específicas: la Resolución de nombres multi-homed inteligente (SMHNR), que envía consultas DNS a través de todos los adaptadores de red simultáneamente, y Teredo, un servicio de tunelización IPv6 que abre silenciosamente una segunda ruta sin pasar por la VPN.
Fugas de navegador y WebRTC
WebRTC es la función del navegador que permite realizar llamadas de audio y vídeo en tiempo real. Es útil, pero también puede exponer tu IP local y pública mediante solicitudes de conexión directa, omitiendo por completo el DNS. Estrictamente hablando, esto no es una fuga de DNS. Una buena prueba de fugas de DNS lo detecta de todos modos, porque el resultado es idéntico: tu dirección real termina mostrándose. ¿Qué tan común es este problema subyacente? Un estudio antiguo, pero aún citado, de 2016 de CSIRO y la Universidad Macquarie sobre 283 aplicaciones VPN para Android encontró que el 66 % filtraba tráfico DNS y el 84 % nunca enrutaba IPv6 a través del túnel, según consta en las actas de ACM IMC 2016. Nueve años después, nadie ha refutado esas cifras.
Cómo realizar una prueba gratuita de fugas de DNS y leerla.
Realizar la prueba es la parte fácil. Lo difícil es interpretarla. Conecta tu VPN, abre una página de prueba de fugas de DNS gratuita en tu navegador y ejecuta tanto la prueba estándar como la extendida. Unos segundos después, obtendrás una lista de los servidores DNS que respondieron, cada uno con su propietario y ubicación. Ahora, la única pregunta importante es: ¿pertenecen esos servidores DNS a tu VPN o a tu proveedor de internet y Google?
Ejecútalo dos veces. Primero, realiza la prueba de fugas de DNS con la VPN desactivada para saber cómo se ve el servidor DNS de tu proveedor de internet, y luego con el túnel activado. ¿Aparece el mismo servidor en ambas pruebas? Ahí está la fuga, sin duda. ¿Solo aparece el servidor DNS de tu VPN cuando estás conectado? Entonces no hay fugas de DNS, al menos hasta que el próximo reinicio indique lo contrario.
| Lo que muestra la prueba | Veredicto | ¿Qué hacer? |
|---|---|---|
| Solo los servidores DNS de tu VPN | Sin fugas | Estás bien; vuelve a probar después de las actualizaciones. |
| Aparece el resolvedor de tu ISP | Fuga de DNS | Solucione la causa que se indica a continuación antes de confiar en el túnel. |
| Google o un resolvedor de terceros que no configuraste | Fuga parcial | Configure el DNS manualmente; verifique la configuración del enrutador. |
| Servidor IPv6 diferente al de IPv4. | Fuga de IPv6 | Deshabilita IPv6 o usa una VPN que lo tunelice. |
| Tu IP real se muestra en un campo WebRTC. | Fuga de WebRTC | Deshabilitar WebRTC en el navegador |
Por qué las fugas de DNS son importantes para la privacidad de las criptomonedas.
Aquí está la parte que suelen omitir los sitios de reseñas de VPN. Para un usuario de criptomonedas, una fuga de DNS es peor que para la persona promedio, porque cierra la brecha que la vigilancia en la cadena de bloques no puede superar por sí sola: el vínculo entre su identidad de red y su billetera.
Vincular tu dirección IP a una billetera
Las empresas de análisis de blockchain son muy buenas para agrupar direcciones y rastrear fondos. Sin embargo, no pueden vincular fácilmente a una persona real con una dirección sin una pista externa a la cadena. Una fuga de DNS es precisamente esa pista. Si su dispositivo filtra consultas a dominios de billeteras, sitios de exploración de bloques o puntos finales RPC de nodos, y esas consultas contienen su IP real con una marca de tiempo, un observador puede correlacionar el rastro de la red con la actividad en la cadena que ocurre en el mismo momento.
Correlación entre inicios de sesión en exchanges y KYC
Este es el borde más afilado. Cuando inicias sesión en un exchange centralizado, tu dispositivo busca el dominio de ese exchange. Si la búsqueda se filtra a tu ISP, se registra con tu IP real. Tu exchange ya tiene tu identidad verificada a través de KYC. Ahora un tercero puede vincular esa identidad a una sesión que la VPN se suponía que debía ocultar . La industria de análisis de blockchain que compra y procesa este tipo de correlación valía 2990 millones de dólares en 2025 y se proyecta que crecerá un 22 % anual, mientras que Chainalysis contabilizó 15400 millones de dólares en volumen ilícito de criptomonedas para 2025, en su 2026 Crypto Crime Report , un mercado con fuertes incentivos para conectar cada punto disponible.
Lo que revela un rastro DNS sobre ti
Incluso sin conocer el contenido de tu tráfico, la lista ordenada de dominios que resuelves constituye una huella digital de tu comportamiento. Qué exchange, qué billetera, qué plataforma DeFi, en qué secuencia, a qué hora. Los reguladores estadounidenses han confirmado el interés por estos datos: un informe del personal de la FTC de 2021 reveló que los seis principales proveedores de servicios de Internet (ISP) estadounidenses registraban las consultas DNS y los datos de navegación, según su informe sobre la recopilación de datos de los ISP . Para ser justos, ningún caso judicial público ha vinculado aún la desanonimización de criptomonedas únicamente a una fuga de DNS. La capacidad está bien documentada; la prueba irrefutable, no. No apostaría a que esto se mantenga.
Cómo evitar fugas de DNS en todos los dispositivos
Buenas noticias: la solución es sencilla, no complicada. Ajusta la palanca según lo que indique la prueba, en lugar de probar las seis opciones por pura paranoia. En la práctica, la mayoría necesita dos, quizás tres.
Solucione las fugas de DNS en Windows y macOS.
En Windows, los culpables habituales son la resolución de nombres multihomed inteligente y el adaptador Teredo. Desactive ambos. A continuación, asigne un servidor DNS estático a su adaptador de red activo. En macOS es más sencillo: configure su DNS manualmente en la configuración de red y, a continuación, vacíe la caché con `sudo dscacheutil -flushcache`. En cualquier caso, vuelva a conectarse y ejecute la prueba de fugas de DNS una vez más. ¿La lista de resolvedores muestra solo su VPN? Listo. Si su antiguo servidor de ISP sigue activo, la fuga proviene de algún lugar de menor nivel en la pila.
Bloquea tu router y tu IPv6.
¿Tu VPN se niega a tunelizar IPv6? Entonces desactiva IPv6 a nivel del sistema operativo para evitar que las consultas se filtren por una ruta alternativa. Y no olvides el router. Si el router sigue apuntando al DNS de tu proveedor de internet, la fuga de memoria simplemente se desplaza un salto hacia arriba, y esta solución discreta a nivel de dispositivo oculta el problema real. Configura el router para que use un servidor DNS de confianza, y todos los teléfonos, portátiles y consolas conectados a él heredarán la configuración automáticamente.
Configuración de VPN y protección contra fugas de DNS
Abre tu cliente VPN y comprueba tres opciones: que utilice sus propios servidores DNS, que la protección contra fugas de DNS esté activada y que el interruptor de desconexión automática (kill switch) esté activado. Estas dos últimas funciones no son la misma, lo que suele generar confusión. El interruptor de desconexión automática corta el tráfico por completo en el momento en que se cae el túnel cifrado. La protección contra fugas de DNS fuerza las consultas a pasar de nuevo por ese túnel mientras aún está activo. Necesitas ambas. Y es importante que las revises, porque "seguridad por defecto" es solo un eslogan publicitario, no una promesa.
| Causa | Lo que ves en la prueba | Arreglar | Dónde |
|---|---|---|---|
| Fuga de IPv6 | El resolvedor IPv6 difiere del IPv4. | Desactive IPv6 o cambie la VPN. | Sistema operativo / VPN |
| Secuestro de ISP | Resolutor del ISP a pesar del DNS manual | Configurar DNS cifrado (DoH o DoT) | Sistema operativo / enrutador |
| Windows SMHNR o Teredo | Múltiples servidores de resolución, uno de ellos es el ISP. | Deshabilitar SMHNR y Teredo | Windows |
| Enrutador que utiliza el DNS del ISP | La misma fuga en todos los dispositivos. | Configurar manualmente el DNS del router | Enrutador |
| Exposición de WebRTC | IP real en un campo WebRTC | Deshabilitar WebRTC | Navegador |
Elegir un servidor DNS que no tenga fugas
Superar una prueba de fugas de DNS es solo la mitad del éxito. La dirección a la que apunta tu servidor DNS es tan importante como el túnel, porque un proveedor de DNS que registra la actividad sigue siendo un sistema de vigilancia, solo que con un logo más amigable. Cloudflare usa 1.1.1.1, Quad9 usa 9.9.9.9 y Google usa 8.8.8.8. El mismo servicio, pero políticas de registro muy diferentes. Así que léelas. Elegir la que recomiende un foro es precisamente la forma en que la gente termina supuestamente "libre de fugas" y, aun así, siendo rastreada.
Luego, encripta la propia consulta. Tanto DNS sobre HTTPS (DoH) como DNS sobre TLS (DoT) encapsulan la consulta para que tu ISP no pueda leerla ni interceptarla durante la transmisión. Sin embargo, casi nadie se molesta en hacerlo. Los protocolos de transporte encriptados gestionaron solo alrededor del 11,3 % de las consultas DNS a principios de 2026, y la validación DNSSEC de extremo a extremo arrojó un error de redondeo del 0,47 % durante el primer trimestre. Una configuración. Si la cambias, te unirás discretamente a una pequeña minoría mucho mejor protegida.
¿Tu VPN realmente evita las fugas de DNS?
Considera la casilla de verificación "Protección contra fugas de DNS" como una afirmación, no como una garantía. Esas tasas de fugas de referencia de 2016 siguen apareciendo en nuevas investigaciones de 2025, lo que indica que el problema está integrado en la forma en que se construyen estos clientes, no es algo que la industria haya solucionado discretamente. El uso de VPN es común, pero no universal: el 32% de los adultos estadounidenses dijeron haber usado una en 2025, una caída drástica con respecto al 46% del año anterior, según Security.org. Así que la regla es aburrida, pero funciona. Realiza una prueba de fugas de DNS el día que instales una VPN, nuevamente después de cada actualización importante del sistema operativo y cada vez que el cliente se reconecte solo a las 3 de la mañana mientras no estés mirando.
¿Qué hacer ahora con tu prueba de fugas de DNS?
Una VPN que filtra DNS es una herramienta de privacidad que te miente descaradamente, y la única forma de descubrirlo es observar. Así que observa. Ejecuta la prueba ahora, dos veces, con la VPN desactivada y activada. Soluciona la causa que apareció, apunta tu dispositivo a un servidor DNS cifrado cuya política hayas leído y vuelve a probar después de la próxima actualización. Si manejas criptomonedas, considera tu ruta DNS como parte de tu modelo de amenazas, no como algo secundario, porque aquí una filtración se mide en identidades vinculadas, no solo en el historial de navegación. Una pregunta que vale la pena plantearse: si tu configuración ha estado filtrando DNS todo este tiempo, ¿qué información ha registrado ya tu proveedor de servicios de Internet?
