Filtros DNS locales en Android para frenar rastreadores en el correo y otras apps

  • Los filtros DNS locales en Android permiten bloquear dominios de rastreo, publicidad y malware a nivel de sistema sin necesidad de root.
  • Servicios como AdGuard DNS, NextDNS, RethinkDNS o Mullvad combinan cifrado (DoH/DoT/DoQ) con listas de bloqueo personalizables y estadísticas detalladas.
  • El bloqueo por DNS reduce rastreadores en correos y webs, pero se complementa muy bien con extensiones específicas anti‑tracking en el navegador y el cliente de email.
  • Montar un DNS local con Pi‑hole, AdGuard Home o Technitium ofrece el máximo control y centraliza el filtrado para móviles, PC, Smart TV y más.
Joaquin Romero

17 minutos

Filtros DNS

¿Alguna vez has tenido la sensación de que te espían hasta cuando miras el correo en el móvil? No es imaginación: buena parte del email comercial y muchas apps de Android cargan rastreadores invisibles que registran qué abres, cuándo, desde dónde y con qué dispositivo. La buena noticia es que puedes cortar gran parte de ese seguimiento bloqueando los dominios de rastreo desde el propio sistema, sin root y sin montar un circo de apps raras.

En este artículo vamos a ver cómo usar filtros DNS locales en Android para bloquear rastreadores en correos, apps y navegación web, qué servicios son más interesantes (AdGuard, NextDNS, RethinkDNS, Mullvad, etc.), cómo se combina esto con extensiones anti‑tracking en el correo, y qué opciones tienes si quieres montártelo en casa con un DNS propio tipo Pi‑hole, AdGuard Home o Technitium.

¿Qué es el DNS y por qué sirve para frenar rastreadores y anuncios?

El DNS es el sistema que traduce nombres de dominio como «example.com» en direcciones IP. Cada vez que una app, una web o tu cliente de correo necesita cargar algo (incluyendo imágenes de correos, píxeles de seguimiento o scripts publicitarios), lanza una consulta DNS para saber a qué servidor conectarse.

Un resolutor DNS normal responde con la IP correcta y ya está. En cambio, un DNS con filtrado de contenidos consulta primero listas de dominios marcados como anuncios, rastreadores o malware. Si el dominio figura en esas listas, el servidor puede devolver una IP falsa, una dirección interna sin contenido o directamente no resolver la petición. Resultado: el recurso de rastreo o el banner publicitario nunca llegan a descargarse.

Esto afecta tanto a la navegación como a muchos correos y apps porque los píxeles de seguimiento en email suelen cargarse como imágenes externas desde dominios de tracking. Si tu DNS bloquea esos dominios, el píxel no se descarga, el remitente no recibe el aviso de apertura y se corta gran parte del perfilado que hacen sobre ti.

Crea un hotspot seguro con DNS personalizados
Artículo relacionado:
Cómo crear un hotspot seguro con DNS personalizados en tu móvil

Además del filtrado, muchos resolutores modernos soportan protocolos cifrados como DoH (DNS-over-HTTPS), DoT (DNS-over-TLS) o DoQ (DNS-over-QUIC). Con ellos, tu proveedor de Internet ya no puede ver tan fácilmente todas las webs y servicios a los que preguntas por DNS ni manipular las respuestas para insertar su propia publicidad o bloquear contenidos de forma burda.

DNS privado en Android: bloquear a nivel de sistema sin root ni VPN raras

Desde Android 9 existe un ajuste llamado «DNS privado» que permite definir un servidor DNS cifrado para todo el sistema. Es la forma más limpia de activar un filtro DNS local: no hace falta root, no tienes que instalar una VPN permanente ni depender exclusivamente del navegador.

Cuando activas DNS privado, todas las apps de Android dejan de usar el DNS de tu operadora o router y empiezan a resolver dominios a través del servidor que hayas configurado (por ejemplo, AdGuard DNS o NextDNS). Cada vez que una app de correo, tu cliente de Gmail o una app con publicidad intenta conectar con un dominio de anuncios o rastreo, el proveedor DNS lo cruza con sus listas y, si corresponde, lo bloquea.

Este tipo de filtrado es especialmente útil en móviles modestos o saturados de publicidad, donde cada banner extra se nota en consumo de datos, batería y fluidez. Al cortar anuncios y rastreadores a nivel de red, muchas apps y juegos gratuitos se vuelven bastante más llevaderos, y parte del tracking web y de email queda neutralizado de golpe.

Cómo elegir un servidor DNS para Android: AdGuard, Rethink, Mullvad, NextDNS y compañía

Muchos usuarios se preguntan si de verdad importa usar AdGuard, RethinkDNS, Mullvad, Cloudflare, Quad9 u otro proveedor, o si al final todos bloquean más o menos lo mismo. La respuesta es que no: aunque todos resuelven dominios, difieren bastante en privacidad, filtrado, estadísticas y capacidad de personalización.

Entre los proveedores más conocidos para Android, destacan los siguientes servicios de DNS público con o sin filtrado:

  • AdGuard Public DNS: resuelve en texto claro y soporta DoH/3, DoT, DoQ y DNSCrypt. Ofrece modos con bloqueo de anuncios y rastreadores, así como un perfil familiar que añade filtro de contenido adulto. Declaran registro anónimo.
  • Cloudflare (1.1.1.1): enfocado en velocidad y privacidad, con DoH/3 y DoT. Ofrece opciones con filtrado básico según el servidor elegido (malware, contenido adulto), pero su punto fuerte no es el control granular sobre anuncios en apps.
  • Control D Free: DNS con texto en claro, DoH/3, DoT y DoQ, con perfiles de filtrado seleccionables. Se centra en ofrecer distintos niveles de bloqueo según el servidor que elijas, con buen rendimiento global.
  • Mullvad DNS: pensado para ir de la mano con su VPN, soporta DoH y DoT. Permite activar filtros de rastreadores y anuncios desde la propia configuración de Mullvad, con listas públicas documentadas.
  • Quad9: DNS público con texto en claro, DoH, DoT y DNSCrypt. Ofrece bloqueo de malware de serie y, según el servidor, filtros adicionales. Su enfoque se centra más en seguridad que en bloquear sistemáticamente toda la publicidad.

En paralelo, existen servicios de filtrado DNS en la nube con panel de control, pensados para personalizar lo que se bloquea, crear perfiles por dispositivo y consultar estadísticas:

  • NextDNS: actúa como un Pi-hole en la nube. Permite activar listas anti‑anuncios y anti‑tracking, bloquear categorías enteras (redes sociales, juegos de azar, etc.), aplicar modo seguro en buscadores y restringir YouTube. Soporta DoH, DoT y DoQ, registra consultas (con retención configurable) y ofrece un plan gratuito con unas 300.000 peticiones DNS al mes por cuenta.
  • Control D (de pago): versión avanzada con consola web, perfiles muy detallados, programación horaria y posibilidades de filtrado muy finas para hogares y empresas.

Si vienes de usar AdGuard como app o DNS en Android y dudas entre RethinkDNS, Mullvad o seguir con AdGuard, la clave es ver qué priorizas: privacidad estricta, estadísticas, integración con VPN o control granular. Mullvad, por ejemplo, brilla si usas ya su VPN; AdGuard tiene un ecosistema centrado en bloqueo de anuncios; RethinkDNS destaca como proxy DNS cifrado en Android que convive con otras VPN configuradas (WireGuard, Orbot, etc.).

Configurar un DNS con bloqueo de anuncios en Android paso a paso

Filtros DNS

Para aprovechar el filtrado DNS local en Android 9 o superior, puedes usar la opción de DNS privado con un proveedor que incluya bloqueo de anuncios y rastreadores. Los pasos exactos pueden cambiar ligeramente según la marca y la capa de personalización, pero la idea general es:

    • Abrir Ajustes del sistema.
    • Entrar en el apartado de Conexiones o Redes e Internet.
    • Buscar la opción DNS privado (usa el buscador interno si no la ves de primeras).
    • Elegir «Nombre de host del proveedor de DNS privado».
    • Introducir el host del servicio DNS que quieras usar.

>

  • Guardar los cambios y probar la conexión.

Un ejemplo muy usado para Android es AdGuard DNS. Para un filtrado estándar de publicidad y rastreo, se utiliza el host dns.adguard-dns.com. Si además quieres filtros de contenido adulto y cierta protección infantil, puedes usar el host family.dns.adguard.com, que añade bloqueo de categorías relacionadas con contenido para adultos.

En el caso de NextDNS o Control D, el panel web genera un hostname específico vinculado a tu configuración. Copias ese nombre (suele acabar en «dns.nextdns.io» o similar) y lo pegas en la opción de DNS privado de Android. Desde ese momento, el móvil usa tus reglas personalizadas para todo el tráfico del sistema, incluidas apps de correo, navegadores y aplicaciones de terceros.

Si una red WiFi pública con portal cautivo (aeropuertos, hoteles, cafeterías…) no te deja abrir la página de login, puede ser porque el DNS privado cifrado impide las redirecciones que usa el portal. En esos casos, lo más práctico es desactivar temporalmente el DNS privado, autenticarte y volver a activarlo después.

Usar DNS seguro solo en el navegador: Chrome y DoH

Puede que quieras que el filtrado de DNS afecte solo a la navegación web y no a todas las apps. En ese escenario, Chrome para Android permite configurar un DNS seguro (DoH) directamente en el navegador, sin tocar el ajuste de DNS privado del sistema.

El procedimiento típico en Chrome es:

  1. Abrir el menú de Configuración.
  2. Ir a Privacidad y seguridad.
  3. Entrar en la opción Usar DNS seguro.
  4. Elegir «Seleccionar otro proveedor» o un campo equivalente.
  5. Introducir la URL DoH del servicio de filtrado (por ejemplo, el endpoint HTTPS de AdGuard o NextDNS).

En el caso de AdGuard, Chrome requiere una URL específica compatible con DoH (no basta con el nombre de host que usas para DoT). Si te equivocas en un carácter, el navegador puede ignorar la configuración o dar errores intermitentes al resolver dominios.

Conviene tener en cuenta que, cuando Chrome tiene su propio DNS seguro configurado, esa configuración prevalece sobre la del sistema para las peticiones hechas por el navegador. Por ejemplo, si en Android usas un DNS que además bloquea contenido adulto, pero en Chrome seleccionas uno que solo filtra anuncios, es posible que desde el navegador sí puedas acceder a contenido adulto mientras otras apps sigan filtradas.

Bloquear rastreadores en el correo: DNS + extensiones específicas

El filtrado DNS ayuda mucho a frenar rastreadores en correos, pero por sí solo no siempre detiene todos los píxeles de seguimiento y scripts incrustados en las plataformas de correo web. Por eso es muy recomendable combinarlo con extensiones dedicadas en el navegador cuando accedes al correo desde el PC o desde Android con navegadores compatibles.

Entre las extensiones más útiles para bloquear rastreadores de email destacan:

  • uBlock Origin / uBlock Origin Lite: conocido bloqueador de anuncios que también filtra buena parte de los rastreadores presentes en correos web. Puedes reforzar su eficacia activando listas como AdGuard Tracking Protection. Está disponible para Chrome, Firefox y derivados; la versión Lite se adapta a las nuevas restricciones de extensiones (Manifest V3).
  • Trocker: extensión gratuita y de código abierto que funciona con Gmail, Outlook, Yahoo y otros servicios web. Detecta píxeles de seguimiento, los bloquea y te informa de cuántos había en cada correo, marcando con una «T» los mensajes que incluyen rastreadores.
  • Ugly Email: orientada a usuarios de Gmail en navegador. Señala mensajes con rastreadores mediante un icono de ojo y revela qué herramienta de seguimiento se está usando. Todo se procesa localmente y su código está en GitHub, lo que aporta transparencia.
  • PixelBlock: pensada para Gmail en navegadores basados en Chromium (Chrome, Edge, Brave…). Bloquea píxeles de seguimiento y muestra un icono de ojo rojo cuando interviene. No requiere configuración, pero está limitada a ese entorno concreto.

Además de las extensiones, conviene adoptar ciertos hábitos básicos para minimizar el rastreo por correo: no abrir mensajes de remitentes dudosos, evitar hacer clic en enlaces sospechosos, usar vistas previas que no carguen imágenes externas, limpiar periódicamente newsletters innecesarias y, cuando sea posible, recurrir a correos temporales para registros y promociones puntuales.

Si compartes dispositivos o cuentas con familiares, también es importante explicar qué se ha configurado y por qué, para que nadie desactive las protecciones sin querer o reenvíe correos sospechosos que puedan contener rastreadores y enlaces maliciosos.

Apps de filtrado DNS en Android: personalDNSfilter, AdGuard, RethinkDNS

Además del DNS privado del sistema, muchas personas prefieren usar aplicaciones dedicadas en Android que hagan de filtro DNS local. Una de las más interesantes es personalDNSfilter, que funciona como un firewall DNS ligero con soporte para servidores cifrados.

personalDNSfilter se integra en la resolución DNS del dispositivo y bloquea el acceso a dominios incluidos en listas de filtrado (malware, phishing, rastreadores, anuncios, etc.). Es una solución totalmente local: el filtrado se hace en tu propio móvil y, según sus desarrolladores, no se envían datos ni estadísticas al autor de la app, lo que reduce la superficie de exposición.

cómo configurar el DNS en Android
Artículo relacionado:
Configurar el DNS en Android paso a paso: guía completa

Entre sus características más destacadas se encuentran:

  • Funciona como filtro DNS en Android sin necesidad de root en versiones 4.2 y superiores.
  • Permite elegir cualquier servidor DNS de confianza como upstream, incluyendo resolutores cifrados mediante DoH (DNS-over-HTTPS) y DoT (DNS-over-TLS).
  • Se puede ejecutar de forma local en el teléfono o como servidor DNS central para una red doméstica.
  • Incluye un registro en tiempo real de todas las peticiones DNS, muy útil para ver qué dominios tocan tus apps «por detrás».
  • Cuenta con una comunidad activa en Telegram para soporte y listas de filtrado (canal t.me/pDNSf).

Hay algunos matices a tener en cuenta: personalDNSfilter no es una VPN real, así que no oculta tu IP pública ni tu ubicación. La lista blanca de aplicaciones solo funciona en modo de filtrado tipo VPN, no en modo root, y, como ocurre con la mayoría de filtros por DNS, no puede bloquear anuncios que se sirven desde el mismo dominio que el contenido principal, como muchos de YouTube o Facebook.

En el mismo terreno se mueven apps como AdGuard para Android, que combinan bloqueo DNS con filtrado más profundo (HTTP/HTTPS) y firewall. La versión reciente AdGuard v4.4, por ejemplo, mejora las opciones del firewall para silenciar notificaciones molestas de conexión por app y añade compatibilidad con filtrado de conexiones DoH en tiempo real, de forma que puede interceptar y filtrar DNS cifrado usado por el navegador sin degradar la seguridad.

RethinkDNS, por su parte, actúa como proxy DNS cifrado ocupando el espacio de VPN de Android. Aun así, permite seguir usando una VPN como WireGuard o herramientas como Orbot configurándolas como proxy o a través de ajustes específicos. Es una buena opción para quienes quieren un filtro DNS muy flexible y compatible con múltiples servicios en la nube.

Montar tu propio DNS local: Pi-hole, AdGuard Home y Technitium

Si quieres el máximo control y no depender de terceros, siempre puedes montar un servidor DNS de filtrado en tu propia red. Con un miniPC, un NAS o una Raspberry Pi (cuando el presupuesto lo permita) puedes construir un sistema central que bloquee anuncios, rastreadores y malware para todos tus dispositivos: móviles Android, ordenadores, Smart TV, consolas, etc.

Las opciones más populares en este campo son:

  • Pi-hole: pionero del bloqueo de anuncios a nivel de red en entornos caseros. Actúa como DNS recursivo que, antes de resolver, aplica listas de bloqueo a millones de dominios de publicidad y rastreo. Cualquier dispositivo que use Pi-hole como DNS queda protegido sin instalar nada en él.
  • AdGuard Home: solución de código abierto centrada en bloqueo de anuncios, rastreadores y contenido inapropiado, con una interfaz web sencilla y perfiles familiares. Tiene un enfoque muy cómodo para hogares y pequeñas redes.
  • Technitium DNS Server: va un paso más allá ofreciendo funciones recursivas y autoritativas a la vez. Permite bloquear anuncios y rastreadores, crear dominios internos para tu LAN, soporta DoH, DoT y DoQ, integra DNSSEC y muestra estadísticas detalladas en tiempo real.

En el caso de Technitium, resulta especialmente cómodo desplegarlo vía Docker, exponiendo los puertos DNS clásicos (53 TCP/UDP) y los puertos de la consola web. Desde allí puedes activar distintas listas de bloqueo, ajustar qué redes pueden usar el servidor, activar cifrado DNS y revisar las estadísticas de cada dispositivo.

La gran ventaja de tener un DNS propio es que centralizas el filtrado: configuras el router para que use tu servidor DNS local y todos los equipos de la red pasan por él. Si en algún momento quieres afinar reglas, desbloquear un dominio concreto o añadir un filtro específico para rastreadores de correo, lo haces una vez y afecta a toda la casa.

DNS recursivo vs autoritativo: por qué importa al montar tu propio filtro

Cuando se habla de configurar un DNS local, conviene entender la diferencia entre servidores recursivos y autoritativos, ya que muchas soluciones modernas, como Technitium, combinan ambas funciones.

Un servidor DNS recursivo actúa como intermediario que busca la respuesta donde haga falta. Si tu móvil le pregunta por «correo.ejemplo.com» y él no tiene la IP en caché, irá consultando a otros servidores (root, TLD, autoritativo del dominio) hasta dar con la respuesta correcta, que luego te devuelve y guarda.

Un servidor autoritativo, en cambio, es el que tiene la «verdad oficial» sobre un dominio concreto. Mantiene los registros de ese dominio (A, MX, CNAME, etc.) y responde a las consultas de otros resolutores que quieren saber dónde está ese servicio.

Pi-hole y AdGuard Home, en un contexto doméstico, se comportan sobre todo como recursivos con filtros: reciben la consulta de tu dispositivo, comprueban si el dominio está en sus listas de bloqueo y, si no lo está, proceden de manera recursiva. Si sí lo está, modifican o niegan la respuesta para impedir la conexión.

Technitium DNS combina ambos roles, de manera que puede ser recursivo hacia Internet para dominios externos y autoritativo para nombres internos de tu red (por ejemplo, nas.casa, servidor.lan). Esto permite usar el mismo software para gestionar servicios autohospedados y, a la vez, filtrar rastreadores, anuncios y malware para todo tu entorno.

Otras soluciones de filtrado DNS orientadas a empresas y familias

Además de los servicios ya mencionados, existe todo un ecosistema de plataformas de filtrado DNS más orientadas a empresas, centros educativos o redes públicas, aunque muchas se pueden adaptar también a hogares que quieran un control muy fino.

Algunos ejemplos son:

  • TitanHQ (WebTitan): solución en la nube con categorías predefinidas, protección antimalware, integración con Active Directory y panel de informes en tiempo real, muy pensada para pymes.
  • CleanBrowsing: ofrece filtros preparados para familias, escuelas y organizaciones pequeñas, con soporte nativo para DoH, DoT y DNSCrypt y la opción de no registrar datos o limitar su retención.
  • Cloudflare Gateway: versión empresarial del DNS de Cloudflare con políticas avanzadas, filtrado HTTP(S), compatibilidad con SAML/OIDC y controles muy granulares según geolocalización, dispositivo o grupos de usuarios.
  • Perimeter81: paquete de ciberseguridad con filtrado DNS como parte de una solución más amplia (VPN corporativa, túneles privados, prevención de fuga de datos, etc.).
  • SafeDNS: ofrece 66 categorías de filtrado, protección antiphishing y antimalware, soporte para DoH/DoT y modelos de licencia flexibles para hogar, empresas, WiFi público y educación.
  • OpenDNS (Cisco): servicio clásico y gratuito para uso personal, con perfiles como Family Shield (bloqueo de adultos por defecto) y Home (más configurable). Para empresas, Cisco ofrece Umbrella, que incluye muchas más capas de seguridad.
  • DNSFilter: plataforma con red global de servidores, detección de malware y phishing en tiempo real mediante IA, integración con Active Directory y clientes para Windows, macOS, iOS, Android y Chrome.

Aunque estas soluciones pueden parecer sobredimensionadas para un solo móvil Android, tienen mucho sentido si quieres que el mismo filtrado se aplique en PC, Smart TV y otros dispositivos sin ir uno por uno. Configurando el router con uno de estos servicios, todo el tráfico DNS de tu red pasará por sus políticas.

Ventajas y límites del bloqueo por DNS en Android

Activar un filtro DNS local en Android aporta varias ventajas claras. En primer lugar, reduce notablemente la publicidad invasiva y los rastreadores en webs, correos y apps que dependen de dominios externos para servir anuncios y píxeles. También aporta una capa adicional de seguridad frente a sitios maliciosos, phishing y malware que muchos resolutores especializados bloquean de serie.

En segundo lugar, es una solución muy ligera y transparente: no requiere root, no agota la batería como algunas VPN permanentes, y se configura una vez para afectar a todo el sistema. A nivel de privacidad, el uso de DoH, DoT o DoQ evita que cualquiera que controle la red vea en texto claro todas tus consultas DNS.

Eso sí, el bloqueo por DNS tiene límites. Los anuncios y rastreadores servidos desde el mismo dominio que el contenido principal (como parte de muchas apps cerradas, redes sociales o plataformas de vídeo) no siempre se pueden filtrar sin romper funcionalidad. Para esos casos sigue siendo fundamental usar bloqueadores a nivel de navegador o apps específicas tipo AdGuard para Android, junto con extensiones anti‑tracking en el correo.

También conviene tener en cuenta el aspecto ético: muchos servicios gratuitos se financian con publicidad. Que decidas bloquearla es perfectamente legítimo, pero si hay sitios o creadores que de verdad valoras, quizá merezca la pena apoyar versiones de pago sin anuncios o, al menos, añadir excepciones para ellos en tus listas de bloqueo.

Filtros DNS
Artículo relacionado:
Cómo cambiar el DNS para bloquear anuncios sin instalar apps

Con todo lo anterior, se ve que jugar con la configuración DNS de Android y de tu red es una de las formas más efectivas y sencillas de recortar rastreadores en el correo, reducir anuncios en apps, mejorar la seguridad y ganar control sobre lo que entra y sale de tus dispositivos, tanto si usas un servicio en la nube como si decides montar tu propio filtro DNS local con estadísticas y reglas a medida. Comparte esta información y ayuda a otros usuarios a conocer del tema.