Cómo funciona DNS: convirtiendo nombres en direcciones
Last updated: abril 9, 2026
Aprende cómo DNS traduce nombres de dominio en direcciones IP, por qué es inseguro por defecto y cómo funciona la censura en internet.
Cuando escribes un nombre como wikipedia.org en tu navegador, algo mágico sucede en milisegundos: ese nombre se convierte en una serie de números que tu computadora entiende. Pero ¿alguna vez te has preguntado quién hace esa conversión? ¿Y quién está observando mientras sucede? Esta es la historia de DNS: el sistema más fundamental para que internet funcione, y al mismo tiempo, uno de los puntos de vigilancia más accesibles.
Qué es DNS y por qué necesitamos un sistema de nombres
Internet no piensa en nombres como "wikipedia.org". Las máquinas se comunican usando números llamados direcciones IP (Internet Protocol). Una dirección IP se ve así: 91.198.174.192. Podrías escribir eso directamente en tu navegador si quisieras, pero nadie memoriza cientos de direcciones numéricas. Los humanos necesitamos nombres.
DNS (Domain Name System, o Sistema de Nombres de Dominio) es el directorio telefónico de internet. Así como buscas un número de teléfono en una guía, tu computadora busca una dirección IP escribiendo un nombre de dominio. Alguien tiene que responder esa pregunta: "¿Cuál es la dirección IP de wikipedia.org?" Y el sistema que lo hace es DNS.
El viaje de una consulta DNS: cómo se resuelve un nombre
Cuando escribes una URL en tu navegador, ocurren varios pasos. Tu dispositivo no pregunta a una sola persona; pregunta a múltiples servidores en una cadena específica. Esta cadena se llama una consulta recursiva, y es más compleja de lo que parece.
Primero, tu computadora pregunta a lo que se llama un resolutor stub, que generalmente es un servidor DNS proporcionado por tu proveedor de internet (ISP). Este resolutor es como un recepcionista que no conoce la respuesta, pero sabe a dónde enviar la pregunta. El resolutor stub envía tu pregunta a un resolutor recursivo, un servidor más potente que puede realizar la búsqueda completa en tu nombre.
El resolutor recursivo comienza en la raíz del sistema de DNS: los servidores raíz. Hay 13 servidores raíz principales en el mundo (aunque cada uno se replica en muchas ubicaciones). El servidor raíz no sabe dónde está wikipedia.org, pero sí sabe dónde encontrar información sobre el dominio .org. Responde: "No tengo esa información, pero pregunta aquí", y señala hacia un servidor TLD (Top-Level Domain).
El resolutor recursivo luego pregunta al servidor TLD para .org. Este servidor tampoco aloja la información de wikipedia.org, pero sí sabe qué servidor contiene esa información: el servidor autoritario (authoritative nameserver) de Wikipedia. El resolutor recursivo pregunta a ese servidor autoritario, que finalmente responde con la dirección IP real.
Esa dirección IP viaja hacia atrás: del servidor autoritario al resolutor recursivo, luego al resolutor stub, y finalmente a tu computadora. Toda esta cadena sucede en menos de una décima de segundo en condiciones normales.
Por qué el DNS sin encriptar es un problema de privacidad
Ahora viene la parte incómoda: por defecto, toda esta conversación es visible para quien esté observando.
Cuando preguntaste por wikipedia.org, esa pregunta viajó sin encriptar. Tu ISP vio exactamente qué pregunta hiciste. El resolutor recursivo que usaste también lo vio. Cualquiera en tu red local (si estás en WiFi) podría verlo con las herramientas adecuadas. Es como enviar una postal abierta en lugar de una carta sellada; el mensaje está escrito en la parte frontal donde todos pueden leerlo.
Esto significa que tu ISP tiene un registro completo de cada sitio web que intentaste visitar, incluso si ese sitio usa HTTPS (el protocolo de encriptación que protege el contenido de la página). Tu ISP no puede ver qué hiciste en wikipedia.org, pero sí sabe que visitaste wikipedia.org. En algunos países, esto es información sensible.
DNS: la herramienta de censura más económica
Esta vulnerabilidad de DNS no es solo un problema de privacidad. Es también la razón por la que DNS es la herramienta de censura más común en internet.
Bloquear internet es caro si intentas hacerlo a nivel de direcciones IP. Pero DNS es barato. Un gobierno o un ISP puede decirle simplemente a sus servidores DNS: "Cuando alguien pregunta por esta dirección, no respondes, o respondes con una dirección diferente". Es como si el recepcionista dijera: "No tengo información de ese número" cuando en realidad sí la tiene.
La mayoría de la censura en internet ocurre a nivel de DNS, no porque sea la más efectiva técnicamente, sino porque es la más económica de implementar. Por eso es también la más fácil de evadir (con herramientas como VPNs o servidores DNS públicos), pero eso es un tema para otro artículo.
Encriptación de DNS: DoH y DoT
En respuesta a estas preocupaciones, han surgido dos protocolos: DoH (DNS over HTTPS) y DoT (DNS over TLS). Estos encriptan tus consultas DNS, sellando la postal en un sobre.
Con DoH, tus consultas viajan dentro de la encriptación HTTPS, lo que dificulta que tu ISP vea qué dominios consultas. DoT hace algo similar pero usa un protocolo diferente. El tradeoff es que algunos de estos servicios pueden mantener registros de tus consultas, dependiendo del proveedor, y la encriptación también puede ralentizar ligeramente tu conexión. Además, tu ISP aún puede ver que estás usando estos servicios, aunque no pueda ver los detalles.
Por qué importa entender DNS
DNS es la razón por la que internet funciona para los humanos en lugar de solo para máquinas. Pero también es un punto de vigilancia, un punto de censura, y un lugar donde la privacidad se pierde de manera silenciosa y casi invisible. Entender cómo funciona es entender un aspecto fundamental de cómo funciona internet, quién puede ver qué, y dónde aparecen los límites.
La próxima vez que escribas una dirección en tu navegador, recuerda: esa simple acción ha viajado a través de múltiples servidores, cada uno sabiendo exactamente qué buscabas. No es paranoia. Es arquitectura. Y ahora la entiendes.
Qué es DNS y por qué necesitamos un sistema de nombres
Internet no piensa en nombres como "wikipedia.org". Las máquinas se comunican usando números llamados direcciones IP (Internet Protocol). Una dirección IP se ve así: 91.198.174.192. Podrías escribir eso directamente en tu navegador si quisieras, pero nadie memoriza cientos de direcciones numéricas. Los humanos necesitamos nombres.
DNS (Domain Name System, o Sistema de Nombres de Dominio) es el directorio telefónico de internet. Así como buscas un número de teléfono en una guía, tu computadora busca una dirección IP escribiendo un nombre de dominio. Alguien tiene que responder esa pregunta: "¿Cuál es la dirección IP de wikipedia.org?" Y el sistema que lo hace es DNS.
El viaje de una consulta DNS: cómo se resuelve un nombre
Cuando escribes una URL en tu navegador, ocurren varios pasos. Tu dispositivo no pregunta a una sola persona; pregunta a múltiples servidores en una cadena específica. Esta cadena se llama una consulta recursiva, y es más compleja de lo que parece.
Primero, tu computadora pregunta a lo que se llama un resolutor stub, que generalmente es un servidor DNS proporcionado por tu proveedor de internet (ISP). Este resolutor es como un recepcionista que no conoce la respuesta, pero sabe a dónde enviar la pregunta. El resolutor stub envía tu pregunta a un resolutor recursivo, un servidor más potente que puede realizar la búsqueda completa en tu nombre.
El resolutor recursivo comienza en la raíz del sistema de DNS: los servidores raíz. Hay 13 servidores raíz principales en el mundo (aunque cada uno se replica en muchas ubicaciones). El servidor raíz no sabe dónde está wikipedia.org, pero sí sabe dónde encontrar información sobre el dominio .org. Responde: "No tengo esa información, pero pregunta aquí", y señala hacia un servidor TLD (Top-Level Domain).
El resolutor recursivo luego pregunta al servidor TLD para .org. Este servidor tampoco aloja la información de wikipedia.org, pero sí sabe qué servidor contiene esa información: el servidor autoritario (authoritative nameserver) de Wikipedia. El resolutor recursivo pregunta a ese servidor autoritario, que finalmente responde con la dirección IP real.
Esa dirección IP viaja hacia atrás: del servidor autoritario al resolutor recursivo, luego al resolutor stub, y finalmente a tu computadora. Toda esta cadena sucede en menos de una décima de segundo en condiciones normales.
Por qué el DNS sin encriptar es un problema de privacidad
Ahora viene la parte incómoda: por defecto, toda esta conversación es visible para quien esté observando.
Cuando preguntaste por wikipedia.org, esa pregunta viajó sin encriptar. Tu ISP vio exactamente qué pregunta hiciste. El resolutor recursivo que usaste también lo vio. Cualquiera en tu red local (si estás en WiFi) podría verlo con las herramientas adecuadas. Es como enviar una postal abierta en lugar de una carta sellada; el mensaje está escrito en la parte frontal donde todos pueden leerlo.
Esto significa que tu ISP tiene un registro completo de cada sitio web que intentaste visitar, incluso si ese sitio usa HTTPS (el protocolo de encriptación que protege el contenido de la página). Tu ISP no puede ver qué hiciste en wikipedia.org, pero sí sabe que visitaste wikipedia.org. En algunos países, esto es información sensible.
DNS: la herramienta de censura más económica
Esta vulnerabilidad de DNS no es solo un problema de privacidad. Es también la razón por la que DNS es la herramienta de censura más común en internet.
Bloquear internet es caro si intentas hacerlo a nivel de direcciones IP. Pero DNS es barato. Un gobierno o un ISP puede decirle simplemente a sus servidores DNS: "Cuando alguien pregunta por esta dirección, no respondes, o respondes con una dirección diferente". Es como si el recepcionista dijera: "No tengo información de ese número" cuando en realidad sí la tiene.
La mayoría de la censura en internet ocurre a nivel de DNS, no porque sea la más efectiva técnicamente, sino porque es la más económica de implementar. Por eso es también la más fácil de evadir (con herramientas como VPNs o servidores DNS públicos), pero eso es un tema para otro artículo.
Encriptación de DNS: DoH y DoT
En respuesta a estas preocupaciones, han surgido dos protocolos: DoH (DNS over HTTPS) y DoT (DNS over TLS). Estos encriptan tus consultas DNS, sellando la postal en un sobre.
Con DoH, tus consultas viajan dentro de la encriptación HTTPS, lo que dificulta que tu ISP vea qué dominios consultas. DoT hace algo similar pero usa un protocolo diferente. El tradeoff es que algunos de estos servicios pueden mantener registros de tus consultas, dependiendo del proveedor, y la encriptación también puede ralentizar ligeramente tu conexión. Además, tu ISP aún puede ver que estás usando estos servicios, aunque no pueda ver los detalles.
Por qué importa entender DNS
DNS es la razón por la que internet funciona para los humanos en lugar de solo para máquinas. Pero también es un punto de vigilancia, un punto de censura, y un lugar donde la privacidad se pierde de manera silenciosa y casi invisible. Entender cómo funciona es entender un aspecto fundamental de cómo funciona internet, quién puede ver qué, y dónde aparecen los límites.
La próxima vez que escribas una dirección en tu navegador, recuerda: esa simple acción ha viajado a través de múltiples servidores, cada uno sabiendo exactamente qué buscabas. No es paranoia. Es arquitectura. Y ahora la entiendes.
🛡️
Recommended VPN Services
Top-rated VPNs trusted by millions
N
NordVPN
⭐ ELECCIÓN DEL EDITOR
★★★★★ 9.5/10 · 6,000+ servers · Funciona en China
$3.39/mo
View Deal →
S
Surfshark
BEST VALUE
★★★★★ 9.6/10 · Unlimited devices
$2.49/mo
View Deal →
E
ExpressVPN
PREMIUM
★★★★★ 9.4/10 · 94 countries
$6.67/mo
View Deal →
Disclosure: SaveClip may earn a commission when you sign up through our links. This helps us keep our tools free for everyone.