Elegir un resolvedor DNS público

Opciones de resolvedores públicos

  • Muchos prefieren Quad9 (9.9.9.9) o Cloudflare (1.1.1.1); algunos combinan Quad9 como principal con Cloudflare o Google (8.8.8.8) como respaldo.
  • Quad9: elogiado por su privacidad y compatibilidad con DNSSEC en todos los extremos, pero criticado por falsos positivos al bloquear malware (por ejemplo, rastreadores, intercambio de archivos, e incluso grandes sitios).
  • Cloudflare: considerado rápido y robusto; entre las críticas están fallos ocasionales (NXDOMAIN en dominios válidos), la falta de EDNS client subnet (ECS) y preocupaciones sobre las leyes de vigilancia de EE. UU.
  • Google DNS: usado a pesar de reservas sobre la privacidad porque es “rápido, no bloquea, nunca se cae” en algunas regiones.
  • Otras opciones mencionadas positivamente: NextDNS (muy configurable, se integra con VPNs), resolvedores DNScrypt y servicios regionales como Canadian Shield.

Resolvedores autoalojados

  • Un grupo importante ejecuta resolvedores recursivos locales (Unbound, PowerDNS/dnsdist, AdGuard Home, dnsmasq) por privacidad, control y fiabilidad.
  • Las técnicas incluyen:
    • Frontends de DNS over HTTPS/TLS/QUIC.
    • Caché agresiva, prefetch y “serve-expired” para sobrevivir a caídas del upstream.
    • Pre-caché de dominios principales mediante cron; algunos incluso generan tráfico de “ruido” de forma intencional.
    • Grandes listas locales de bloqueo para anuncios, rastreadores, malware, variantes de phishing y dominios homoglyph/unicode.
  • Inconvenientes señalados: más consultas sin caché (primeras búsquedas más lentas), carga de tráfico hacia raíces/autoritativos, complejidad y falta de cifrado hacia los servidores raíz salvo que se use túnel vía DoH/DoT/DoQ o VPN/Tor.

Compromisos del bloqueo de anuncios/malware

  • El bloqueo de anuncios/malware a nivel DNS se valora por velocidad, menor desorden y privacidad, especialmente en aplicaciones móviles.
  • Preocupa repetidamente que los falsos positivos rompan sitios, juegos o el intercambio de archivos; algunos vuelven a DNS sin filtrado o insisten en resolvedores donde puedan gestionar listas de अनुमति permitidos.

Rendimiento, ECS y CDNs

  • La compatibilidad con ECS se destaca como una dimensión ausente pero importante: sin ella, los usuarios pueden ser dirigidos a nodos CDN lejanos (descargas de YouTube/Google más lentas, etc.).
  • Algunos sostienen que el DNS del ISP suele dar la mejor proximidad a la CDN; otros prefieren DNS de terceros más caché local y bloqueo de anuncios.
  • Anycast, peculiaridades del enrutamiento BGP y disputas de peering entre ISP complican suposiciones simples de que “lo más cercano es lo más rápido”.

Privacidad, censura y portales cautivos

  • El DNS cifrado (DoH/DoT/dnscrypt) se recomienda ampliamente para ocultar las consultas a los ISP, aunque se debate el estado de SNI/ECH.
  • El contexto regulatorio (por ejemplo, GDPR frente a FISA 702) influye en las decisiones de confianza.
  • Los portales cautivos de Wi‑Fi pública siguen siendo molestos cuando se usa DNS personalizado fijo; algunos dependen de los mecanismos de portal cautivo del sistema operativo o del acceso directo por IP como soluciones alternativas.