Evitar que el propietario del WiFi vea tu historial: guía práctica (HTTPS, DoH/DoT y VPN)

La pestaña de incógnito no oculta tu tráfico al dueño del Wi-Fi. Lo que sí funciona es reducir los metadatos que viajan en claro y cifrar lo máximo posible. Con tres piezas —HTTPS, DNS cifrado (DoH/DoT) y VPN— puedes ocultar qué webs visitas y el contenido de tu navegación a quien administra la red.

Qué puede ver realmente el dueño del Wi-Fi (y qué no)

• Sin medidas: ve a qué dominios vas (a través de DNS), el horario, el volumen de datos y, si una web no usa HTTPS, también el contenido.
• Con HTTPS: ya no ve el contenido ni contraseñas, pero sí el dominio (ej.: ejemplo.com).
• Con DoH/DoT: la red no ve tus consultas DNS (dominios); el resolver que elijas sí los verá.
• Con VPN: la red solo ve que te conectas a un servidor VPN (un “túnel”). Ni dominios ni contenido finales.

Regla de oro: HTTPS + DoH/DoT ocultan mucho al dueño del Wi-Fi; VPN oculta prácticamente todo (salvo que usas una VPN). A cambio, trasladas la confianza a tu proveedor VPN.

HTTPS, DoH y DoT: qué cifran, pros y límites

• HTTPS cifra el contenido de la web. Úsalo siempre (hoy es lo normal).
• DoH (DNS over HTTPS) cifra tus consultas DNS dentro de HTTPS (suele “pasar” por redes restrictivas).
• DoT (DNS over TLS) cifra DNS en un canal dedicado (puerto 853), ideal si tu sistema/ router lo soporta.

Límites

• El resolver DNS elegido sí ve los dominios que consultas; por eso conviene elegir uno con política clara (Cloudflare/1.1.1.1, Quad9, etc.).
• Portales cautivos (hoteles, aeropuertos) pueden romper DoH/DoT hasta que inicies sesión.

VPN: cuándo usarla y cómo elegirla sin perder privacidad

Cuándo: en Wi-Fi públicas (cafeterías, aeropuertos) o redes que no controlas y necesitas máxima ocultación.
Qué mirar al elegir:

• Política de registros (no-logs auditada, jurisdicción clara).
• Transparencia técnica (protocolos modernos: WireGuard/IKEv2).
• Bloqueo de fugas DNS (DNS leak protection).
• Apps para tus plataformas y kill switch.

Con VPN, el dueño del Wi-Fi solo verá una conexión cifrada a tu proveedor VPN. No verá los sitios finales.

Pasos rápidos: activar DoH y comprobarlo

Firefox (Windows/macOS/Linux)

1. Ajustes → General → al final, DNS sobre HTTPS → Activado.
2. Proveedor: Cloudflare u otro Personalizado (URL DoH).
3. Verifica: abre una página de diagnóstico del proveedor o revisa qué servidor DNS responde con nslookup/dig.

Chrome / Edge / Brave

1. Configuración → Privacidad y seguridad → Usar DNS seguro.
2. Elige proveedor (Cloudflare/Google/Quad9) o Personalizado (URL DoH).
3. Verifica con una página de prueba o utilizando nslookup/dig.

Android (9+)

• DNS privado (DoT): Ajustes → Red e Internet → DNS privado → Nombre de host
  • Ej.: 1dot1dot1dot1.cloudflare-dns.com (Cloudflare) / dns.quad9.net (Quad9).
• Si pones un host errado, te quedarás sin Internet (señal de que el sistema usa DoT de verdad). Corrige y listo.

iPhone/iPad

• DoH a nivel navegador (Safari/Firefox/Chrome) o configura DNS manual en la Wi-Fi: 1.1.1.1 / 1.0.0.1 (Cloudflare), 9.9.9.9 (Quad9).
• Para DoH/DoT del sistema, usa perfil MDM o app del proveedor.

Wi-Fi pública vs casa/oficina: escenarios y buenas prácticas

Wi-Fi pública

• Prioriza VPN + HTTPS; añade DoH/DoT si no rompe el portal cautivo.
• Evita operaciones sensibles sin VPN (banca, trabajo).
• Desactiva autoconexión a redes abiertas.

Casa/oficina (que no gestionas tú)

• Activa DoH/DoT y usa navegadores con protección contra rastreadores.
• Si sospechas inspección o filtrado agresivo, usa VPN.

Checklist en 10 minutos + verificación

• Comprueba que todas tus webs cargan con HTTPS (candado).
• Activa DoH/DoT en tu navegador o sistema.
• Verifica DNS:
  • nslookup ejemplo.com → mira qué Servidor responde (debería ser tu proveedor elegido).
  • dig ejemplo.com (Linux/macOS) → campo SERVER.
• En Wi-Fi pública: activa VPN antes de logins/compras.
• Repite en el móvil y en el portátil (no te olvides del segundo dispositivo).
• Deshabilita autoconexión a redes abiertas y borra las que no uses.

FAQs rápidas

¿El modo incógnito me sirve para esto?
No. Incógnito solo evita que el navegador guarde historial local. No oculta nada a la red.

¿Puedo usar DoH/DoT y VPN a la vez?
Sí. Con VPN, todo va por el túnel (incluido DNS). Activa DoH/DoT como capa extra y por si la VPN se cae (mejor si tu VPN ya fuerza su propio DNS cifrado).

¿Cuál es mejor: DoH o DoT?
El que puedas activar de forma estable en tu entorno. DoH “se camufla” mejor (443), DoT es más explícito (853). En móviles Android, DoT del sistema es muy práctico.

¿Qué DNS elijo?
Cloudflare (1.1.1.1) prioriza privacidad; Quad9 filtra malware; Google DNS es muy compatible. Prueba y quédate con el que rinda mejor en tu zona.

¿La red aún verá que me conecto a X horas?
Sí, el volumen y horarios son metadatos difíciles de ocultar sin VPN. Con VPN, solo verán tu conexión al servidor VPN.

Conclusión

Para evitar que el propietario del Wi-Fi vea tu historial, combina HTTPS (ya estándar) con DNS cifrado y, cuando la red no es de confianza, VPN. Es un cambio de 5–10 minutos que transforma lo que la red puede ver de ti: de “casi todo” a prácticamente nada útil.