Qué es RocksDNS: DNS cifrado con filtrado de publicidad y tracking
RocksDNS es un servicio DNS público cifrado con dos nodos: uno en España y otro en Alemania. Soporta DNS-over-HTTPS (DoH), DNS-over-HTTPS/3 (DoH3), DNS-over-TLS (DoT) y DNS-over-QUIC (DoQ), e incluye filtrado de publicidad, tracking y dominios maliciosos. El servicio web completo está en rocksdns.ovh, donde publicamos guías más detalladas por sistema operativo, documentación técnica y avisos del servicio. Esta página resume lo esencial para configurarlo y entender qué hace y qué no.
Qué es RocksDNS y para qué sirve
Cada vez que escribes una dirección en el navegador, tu dispositivo hace una consulta DNS: pregunta a un servidor cuál es la IP correspondiente a ese nombre. Por defecto, esa consulta viaja en texto claro y pasa por los servidores de tu proveedor de Internet, que puede verla, registrarla o manipularla.
RocksDNS es un resolver DNS público que cifra esas consultas usando protocolos modernos (DoH, DoH3, DoT, DoQ) y además filtra dominios de publicidad, tracking y malware antes de que lleguen a tu dispositivo. Es una capa de privacidad que funciona en el fondo, sin que tengas que hacer nada una vez configurada.
Para qué tiene sentido: evitar que tu proveedor de Internet vea tus consultas DNS en texto claro, reducir la exposición a publicidad y tracking a nivel de red, y bloquear dominios maliciosos antes de que el navegador los cargue.
Importante antes de seguir: DNS cifrado protege una capa concreta. No te hace anónima, no oculta las IPs a las que te conectas, no sustituye a una VPN y no impide que los sitios web te rastreen con cookies o huellas digitales. Es una mejora real pero parcial.
Endpoints y servidores
RocksDNS tiene dos nodos independientes. Puedes usar cualquiera de los dos o configurar ambos como primario y secundario.
DNS1 — España
- DoH
- https://dns.rocksdns.ovh/dns-query
- DoH3
- https://dns.rocksdns.ovh/dns-query (puerto 443, HTTP/3)
- DoT / DoQ
- dns.rocksdns.ovh
- IPv4
- 82.223.31.111
- IPv6
- 2001:ba0:22d:1c00::1
- Puertos
- 443 (DoH / DoH3) · 853 (DoT) · 8853 (DoQ)
DNS2 — Alemania
- DoH
- https://dns2.rocksdns.ovh/dns-query
- DoH3
- https://dns2.rocksdns.ovh/dns-query (puerto 443, HTTP/3)
- DoT / DoQ
- dns2.rocksdns.ovh
- IPv4
- 116.203.57.216
- IPv6
- 2a01:4f8:1c1a:aadb::1
- Puertos
- 443 (DoH / DoH3) · 853 (DoT) · 8853 (DoQ)
¿Cuál usar? Para la mayoría de casos el nodo de España (DNS1) tendrá menor latencia desde la Península. Si quieres redundancia, configura DNS1 como primario y DNS2 como secundario en los dispositivos que lo permitan.
Qué filtra y qué no
RocksDNS usa cuatro listas de bloqueo: AdGuard DNS Filter, AdAway, OISD y PolishFiltersTeam. Todas están orientadas a publicidad, tracking y dominios con malware o phishing. El bloqueo ocurre a nivel DNS: cuando tu dispositivo consulta un dominio que está en alguna de esas listas, el resolver devuelve una respuesta vacía y el navegador no llega a conectarse.
Esto significa que el bloqueo es más profundo que un bloqueador de anuncios de navegador: funciona en cualquier aplicación del dispositivo, no solo en el navegador, y bloquea antes de que se establezca cualquier conexión. La contrapartida es que es menos preciso: bloquea dominios enteros, no elementos individuales dentro de una página.
Falsos positivos: las listas de bloqueo DNS pueden bloquear dominios legítimos ocasionalmente. Si algo deja de funcionar después de configurar RocksDNS, prueba a desactivarlo temporalmente para verificar si es la causa.
Cómo configurarlo por dispositivo
Guías completas: aquí tienes una versión resumida. En rocksdns.ovh encontrarás guías más detalladas para Android, Windows, macOS, iOS, navegadores y configuraciones avanzadas.
Android (DNS privado)
Android 9 y versiones posteriores incluyen soporte nativo para DNS cifrado bajo el nombre «DNS privado». Usa DoT en el puerto 853.
Abre Ajustes y ve a Red e Internet (en Samsung: Conexiones; en Xiaomi: puede estar en ajustes de Wi-Fi).
Pulsa en DNS privado y selecciona Nombre de host del proveedor de DNS privado.
Introduce
dns.rocksdns.ovhy guarda.
iOS y macOS (perfil de configuración)
Apple no permite configurar DoH directamente en los ajustes del sistema. La forma de hacerlo es instalando un perfil de configuración o usando una app. La opción más directa es usar la app AdGuard o DNSCloak desde la App Store e introducir el endpoint de RocksDNS manualmente. También puedes generar un perfil de configuración desde herramientas como esta usando la URL DoH de RocksDNS.
Perfil de configuración: si generas un perfil con una herramienta externa, revisa el contenido antes de instalarlo. Un perfil de red puede modificar ajustes sensibles del dispositivo.
URL DoH para iOS/macOS: https://dns.rocksdns.ovh/dns-query
Windows 11
Windows 11 permite configurar DNS cifrado desde la configuración de red en muchas instalaciones recientes. Si tu versión no muestra la opción de plantilla DoH, puedes usar una aplicación compatible o configurar RocksDNS directamente en el navegador.
Firefox
Abre Configuración y ve a Privacidad y seguridad.
Baja hasta DNS seguro y activa Protección máxima.
Selecciona Usar proveedor personalizado e introduce
https://dns.rocksdns.ovh/dns-query.
Chrome y Chromium
Abre Configuración, ve a Privacidad y seguridad y pulsa en Seguridad.
Activa Usar DNS seguro y selecciona Personalizado.
Introduce
https://dns.rocksdns.ovh/dns-query.
Nota sobre navegadores: configurar DoH en el navegador solo protege las consultas DNS de ese navegador. Para cubrir todo el dispositivo, configúralo a nivel de sistema operativo o router.
Diferencias entre DoH, DoH3, DoT y DoQ
Los cuatro protocolos cifran las consultas DNS, pero lo hacen de forma distinta con implicaciones prácticas.
DoH (DNS over HTTPS) envía las consultas DNS dentro de tráfico HTTPS por el puerto 443. Es muy compatible y suele ser más difícil de bloquear, porque viaja por el mismo puerto que el tráfico HTTPS habitual. Es el protocolo recomendado para navegadores y la mayoría de dispositivos.
DoH3 (DNS over HTTP/3) es la evolución de DoH usando HTTP/3 sobre QUIC en lugar de HTTP/2 sobre TLS. Usa la misma URL que DoH y el mismo puerto 443, pero negocia HTTP/3 si el cliente lo soporta. Combina la compatibilidad y facilidad de filtrado de DoH con la resiliencia de QUIC ante pérdida de paquetes y cambios de red. El soporte en clientes es todavía limitado: Firefox lo activa de forma experimental, y AdGuard Home lo soporta desde versiones recientes. Si tu cliente no lo negocia, cae automáticamente a DoH estándar.
DoT (DNS over TLS) usa el puerto 853, específico para DNS. Más fácil de identificar y bloquear por firewalls, pero también más sencillo de configurar a nivel de sistema en Android y algunos routers. Es lo que usa Android cuando configuras «DNS privado».
DoQ (DNS over QUIC) usa el protocolo QUIC sobre UDP en el puerto 8853. Más resiliente en redes con pérdida de paquetes y conexiones móviles. El soporte en clientes es todavía limitado: funciona bien con AdGuard Home, dnsdist y algunos clientes específicos, pero no está disponible de forma nativa en los sistemas operativos principales.
Recomendación práctica: usa DoH para navegadores y dispositivos de escritorio, DoT para Android, DoH3 si usas Firefox reciente o AdGuard Home y quieres aprovechar HTTP/3, y DoQ solo si usas un cliente que lo soporte específicamente como AdGuard Home o dnsdist en un router o servidor propio.
Límites reales: qué no hace DNS cifrado
DNS cifrado mejora la privacidad en una capa concreta pero no es una solución completa. Vale la pena tener claro qué protege y qué no antes de asumir que cubre más de lo que cubre.
Cifrar las consultas DNS evita que tu proveedor de Internet vea qué dominios consultas, pero no oculta las IPs a las que te conectas después de resolver el nombre, ni el SNI (Server Name Indication) que muchos servidores HTTPS intercambian en texto claro al inicio de la conexión TLS. Tampoco impide el rastreo mediante cookies, huellas digitales del navegador o píxeles de seguimiento dentro de páginas web.
El filtrado de dominios bloquea publicidad y tracking a nivel de red, pero no bloquea anuncios servidos desde el mismo dominio que el contenido (como los anuncios de YouTube), y puede tener falsos positivos que bloqueen servicios legítimos.
RocksDNS frente a otros resolvers cifrados
← desliza para ver toda la tabla →
| RocksDNS | Cloudflare 1.1.1.1 | Quad9 | AdGuard DNS | |
|---|---|---|---|---|
| DoH | Sí | Sí | Sí | Sí |
| DoH3 | Sí | Experimental / revisar soporte actual | No | Sí |
| DoT | Sí | Sí | Sí | Sí |
| DoQ | Sí | Depende / revisar soporte actual | Sí | Sí |
| Filtrado publicidad | Sí | No en 1.1.1.1; sí en 1.1.1.1 for Families | No | Sí |
| Filtrado malware | Sí | Sí en 1.1.1.1 for Families | Sí | Sí |
| Software libre | Sí (Unbound + AdGuard Home) | No | Parcial | Parcial |
| Operado por | TuiterRocks (comunitario) | Cloudflare (corporativo) | Quad9 Foundation (ONG) | AdGuard (empresa) |
| Nodos | España + Alemania | Red global | Red global | Red global |
RocksDNS no tiene la red global de Cloudflare ni de AdGuard DNS. La ventaja es que es un servicio comunitario con infraestructura conocida y filosofía transparente, sin modelo de negocio basado en los datos de los usuarios.
Sección técnica: infraestructura
Si solo quieres usar RocksDNS, no necesitas leer esta sección. Está pensada para quien quiera entender cómo está montado o montar algo similar.
RocksDNS corre sobre Unbound como resolver recursivo y AdGuard Home como capa de filtrado y frontend. Unbound resuelve las consultas de forma recursiva consultando directamente los servidores raíz; AdGuard Home gestiona las listas de bloqueo, los protocolos cifrados y la interfaz de administración.
Unbound como resolver recursivo
Unbound es un resolver DNS validador con soporte DNSSEC. En esta configuración actúa como backend: recibe las consultas ya descifradas de AdGuard Home, las resuelve consultando los servidores raíz y devuelve la respuesta. No depende de ningún resolver externo upstream. Además, valida DNSSEC cuando el dominio lo soporta, lo que ayuda a detectar respuestas DNS manipuladas o mal firmadas.
interface: 127.0.0.1
port: 5335
do-ip4: yes
do-ip6: yes
do-udp: yes
do-tcp: yes
harden-glue: yes
harden-dnssec-stripped: yes
edns-buffer-size: 1232
prefetch: yes
num-threads: 1
so-rcvbuf: 1m
private-address: 192.168.0.0/16
private-address: 10.0.0.0/8
AdGuard Home como capa de filtrado y frontend
AdGuard Home gestiona los protocolos cifrados (DoH, DoH3, DoT, DoQ), las listas de bloqueo y la interfaz de administración. Las consultas llegan cifradas a AdGuard Home, que las descifra, comprueba si el dominio está en alguna lista de bloqueo y, si no lo está, las reenvía a Unbound en local. DoH3 se negocia automáticamente sobre el mismo puerto 443 que DoH: si el cliente anuncia soporte HTTP/3, AdGuard Home lo usa; si no, cae a HTTP/2.
bind_hosts: [127.0.0.1]
port: 53 # solo interno, no expuesto públicamente
upstream_dns:
– 127.0.0.1:5335 # Unbound local
bootstrap_dns:
– 9.9.9.9
filtering_enabled: true
filters: # AdGuard DNS Filter, AdAway, OISD, PolishFiltersTeam
tls:
enabled: true
server_name: dns.rocksdns.ovh
force_https: false
port_https: 443 # DoH y DoH3 (HTTP/3 se negocia automáticamente)
port_dns_over_tls: 853 # DoT
port_dns_over_quic: 8853 # DoQ
La documentación completa de AdGuard Home está en su wiki en GitHub. La de Unbound está en unbound.docs.nlnetlabs.nl. Para más detalle sobre la infraestructura de RocksDNS, consulta rocksdns.ovh.
Preguntas frecuentes
¿Qué es DNS cifrado y para qué sirve?
DNS cifrado protege las consultas de nombres de dominio cifrándolas antes de enviarlas al servidor. El DNS tradicional envía estas consultas en texto claro, visible para el proveedor de Internet u otros intermediarios. Con DoH, DoH3, DoT o DoQ, esas consultas viajan cifradas.
¿RocksDNS registra las consultas DNS?
RocksDNS no almacena logs de consultas DNS individuales ni historiales de navegación. Puede mantener métricas técnicas agregadas necesarias para operar el servicio, sin asociarlas a consultas concretas. Para más detalle, consulta la política de privacidad en rocksdns.ovh.
¿RocksDNS sustituye a una VPN?
No. RocksDNS cifra las consultas DNS y filtra dominios, pero no oculta tu IP pública frente a las webs que visitas ni cifra todo tu tráfico. Una VPN cubre otra capa distinta.
¿Qué filtra RocksDNS?
Usa las listas AdGuard DNS Filter, AdAway, OISD y PolishFiltersTeam, orientadas a bloquear publicidad, tracking y dominios con malware o phishing. El bloqueo ocurre a nivel DNS: si un dominio está en alguna lista, el resolver devuelve una respuesta vacía y el dispositivo no llega a conectarse.
¿Puedo usar RocksDNS si tengo VPN activa?
Depende de la VPN. Muchas VPN redirigen todo el tráfico DNS a través de su propio resolver, ignorando el que hayas configurado en el sistema. Si quieres usar RocksDNS junto a una VPN, comprueba si tu cliente VPN permite configurar un DNS personalizado.
¿Por qué algo que funcionaba antes deja de funcionar con RocksDNS?
Probablemente el dominio está en alguna de las listas de bloqueo. Los falsos positivos ocurren: puede que un dominio legítimo comparta infraestructura con uno problemático o haya sido añadido por error a una lista. Si sospechas que es el caso, prueba a desactivar RocksDNS temporalmente para confirmar, y si el dominio es legítimo puedes reportarlo en el repositorio de la lista correspondiente.
¿Cuál es la diferencia entre DNS1 y DNS2?
DNS1 está en España y DNS2 en Alemania. Ambos ofrecen los mismos protocolos y el mismo filtrado. La diferencia es la ubicación física: DNS1 tendrá menor latencia desde la Península Ibérica, DNS2 desde Europa central. Puedes configurar ambos como primario y secundario para tener redundancia.
¿Quieres más detalle? En la web de RocksDNS tienes guías completas por dispositivo, documentación técnica, configuración avanzada, avisos del servicio e información sobre la infraestructura.