Un filtro de DNS es una gran primera capa, hasta que alguien cambia el DNS y se la salta en diez segundos. Peor aún: el DNS privado o cifrado deja a un usuario decidido enrutar todo su tráfico por fuera del filtro de tu wifi, como si la red no existiera. Por eso el DNS hay que fijarlo, no solo activarlo. La solución tiene dos partes: bloquear el DNS para que no se pueda cambiar, y tener además una capa en el propio dispositivo que no dependa solo de la red. TKO’T hace esa segunda parte: bloquea a nivel de sistema en el aparato, así que aguanta aunque alguien toque el DNS. Esta guía cierra esa puerta.
Por qué un filtro de DNS se cae si se puede cambiar el DNS
El DNS es la guía telefónica de internet: traduce los nombres de las webs a direcciones. Un DNS familiar simplemente se niega a traducir los dominios de adultos, y por eso filtra. El problema es obvio en cuanto lo piensas: si el DNS es solo un ajuste, cualquiera que pueda cambiar ese ajuste anula el filtro entero.
Hay tres formas de tumbarlo, y conviene conocerlas para cerrarlas. La primera es cambiar el DNS en los ajustes del dispositivo. La segunda, más sofisticada, es activar un DNS privado o cifrado, que envía las consultas por un canal propio que el filtro de la red no ve. Y la tercera es cambiar el DNS en el router. La defensa, en las tres, es la misma idea: que el ajuste no se pueda tocar sin una llave que no esté a mano.
Qué DNS familiar elegir
Antes de fijar nada, conviene elegir bien el DNS, y hay opciones gratuitas y solventes. Un resolutor familiar que bloquee contenido adulto a nivel de red es la base; varios proveedores ofrecen una versión gratuita pensada justo para esto, que filtra dominios de adultos y, según el caso, también malware. Lo que importa al elegir no es la marca, son tres cosas: que filtre de verdad el contenido que quieres, que respete tu privacidad sin registrar tu actividad, y que sea estable.
Evita los DNS “anónimos” o sin filtro que algunos foros recomiendan precisamente para saltarse controles, porque irían en contra de lo que buscas. Una vez elegido uno fiable, el resto de esta guía trata de clavarlo para que nadie, incluido tu yo de medianoche, pueda cambiarlo. Elegir bien el resolutor es el primer paso; fijarlo es el que de verdad lo convierte en un muro.
| El rodeo | Cómo cerrarlo |
|---|---|
| Cambiar el DNS en los ajustes | Fijarlo con un perfil tras un código |
| DNS privado o cifrado (DoH) | Desactivarlo en un dispositivo supervisado |
| Cambiar el DNS del router | Proteger la página de administrador |
| Saltar a datos móviles | Una capa en el dispositivo, no solo en la red |
Cómo fijar los DNS familiares en el iPhone con una clave que no sepas
La forma de fijar el DNS en el iPhone para que no se pueda revertir es un perfil de configuración. Un perfil instala el DNS familiar a nivel de sistema y se diseña para no eliminarse con un toque; combinado con las restricciones de Apple y un código de Tiempo de uso que no tengas a mano, el DNS queda clavado. La parte de “una clave que no sepa” es literal y es la clave del asunto: si tú conoces el código, tu yo de medianoche también, así que hazlo largo y no memorizado, o entrégalo a alguien de confianza. Cómo dejar todo esto bien fijado para que aguante está en el bloqueo de iPhone a nivel del sistema.
Cómo impedir que cambien los DNS en Mac
En el Mac, el DNS vive en los ajustes de red, y la defensa es impedir que se toquen. Usa una cuenta de usuario estándar, no de administrador, para el día a día, de modo que cambiar la configuración de red pida una contraseña de administrador que no tengas a mano. Protege también Tiempo de uso con un código, y considera un perfil que fije el DNS igual que en el iPhone. La idea es la misma de siempre: que revertir el filtro requiera una llave que tu yo cansado no posea. Con la cuenta estándar y la contraseña de administrador fuera de tu alcance, cambiar el DNS deja de ser un atajo de treinta segundos para saltarse el control.
Cómo evitar que tu hijo use DNS privado para saltar el filtro del wifi
El DNS privado es el bypass favorito de los adolescentes con tu wifi, porque cifra las consultas y las saca por fuera del filtro de la red sin tocar nada visible. La defensa real es un dispositivo supervisado: con los controles parentales de Apple o un perfil de gestión se puede desactivar el DNS privado y fijar el DNS familiar, de modo que el chico no pueda activar su propio canal cifrado. En Android supervisado existe la misma posibilidad de restringir el DNS privado. Esto encaja en el conjunto más amplio de blindar el móvil de un hijo: no basta con poner un buen DNS en el router si el dispositivo puede activar el suyo propio por encima.
La capa que sobrevive aunque cambien el DNS
Aquí está el seguro que mucha gente olvida. Por bien que fijes el DNS, conviene no depender de una sola capa, porque alguien muy decidido podría encontrar la manera de tocarla, o el dispositivo podría salir a datos móviles. Por eso ayuda tener un bloqueo en el propio dispositivo que no dependa de la red en absoluto: si el filtro vive en el aparato y lee lo que aparece, sigue funcionando aunque el DNS cambie o el tráfico tome otro camino.
Esa redundancia es lo que convierte un filtro frágil en uno serio, y es la idea del bloqueo resistente a manipulaciones: que ninguna capa única, al caer, abra todo. TKO’T aporta justamente esa capa en el dispositivo, de modo que el DNS fijado y el bloqueo de sistema se respaldan mutuamente, y tumbar uno no basta para tumbar el conjunto.
Lo que el DNS no cubre, y cómo taparlo
Conviene ser honesto sobre los límites del filtrado por DNS, porque creerlo total es justo lo que deja huecos. El DNS bloquea por dominio, así que no ve dentro de una página ni filtra imágenes una por una: si un dominio no está clasificado como adulto, o si el contenido llega por una vía que no consulta el DNS, puede pasar. Tampoco frena lo que ya está en caché o lo que se sirve desde un dominio neutro.
Por eso el DNS, por sólido que esté fijado, es una capa, no el muro entero. La forma de tapar sus huecos es combinarlo con una capa que lea la pantalla y cierre la ventana por lo que muestra, sin importar el dominio. Entre el DNS fijado, que corta la mayoría del tráfico, y la lectura de pantalla, que atrapa lo que se cuela, queda muy poco hueco. Fijar el DNS es necesario; no es suficiente por sí solo.
Cómo montarlo para toda la red
Para una casa entera, el sitio más eficiente para fijar el DNS es el router. Configura un DNS familiar como el de Cloudflare para familias en el router y cada aparato que se conecte al wifi lo hereda. Pero esto solo aguanta si proteges la página de administrador del router con una contraseña que no controles tú, porque si no, cambiar el DNS desde ahí es trivial. Y recuerda el límite de toda defensa de red: solo cubre tu wifi, así que un dispositivo que salga con datos móviles, o que active su propio DNS privado, necesita además la capa en el aparato. Router protegido más capa en el dispositivo es la combinación que no deja hueco.
Cómo comprobar que el DNS quedó fijado
No te fíes de un ajuste que no has probado. Después de fijar el DNS, haz tres comprobaciones rápidas. Primero, intenta abrir una web para adultos y confirma que queda bloqueada en el dispositivo y en la red. Segundo, ve a los ajustes de red e intenta cambiar el DNS tú mismo: si está bien fijado con un perfil o tras una contraseña, no deberías poder, o debería pedirte una clave que no tienes. Tercero, en un teléfono, intenta activar el DNS privado o cifrado y comprueba que está desactivado o bloqueado.
Si las tres pruebas se comportan como esperas, el DNS está clavado de verdad. Si alguna falla, ya sabes qué reforzar antes de necesitarlo. Esa pequeña auditoría de un par de minutos es lo que separa creer que el filtro aguanta de saber que aguanta, y vale la pena hacerla el mismo día que lo montas.
Errores comunes al fijar el DNS
Algunos fallos se repiten y conviene esquivarlos. El primero es poner un gran DNS familiar pero dejar el código o la contraseña que lo protege a tu propio alcance, con lo que sigues pudiendo revertirlo en un mal momento. El segundo es fijarlo en el dispositivo y olvidar el router, o al revés, dejando una vía abierta. El tercero es no desactivar el DNS privado, que anula todo el esfuerzo desde un solo interruptor escondido.
El cuarto es confiar solo en el DNS y no añadir una capa en el dispositivo, de modo que un cambio de red o de DNS deja todo abierto. Y el quinto es no comprobar nada después de configurar, y vivir con una falsa sensación de seguridad. Evitar estos cinco no requiere ser experto, solo ser metódico: la llave fuera de tu alcance, todas las vías cubiertas, el DNS privado desactivado, una segunda capa, y una comprobación final.
Preguntas frecuentes (FAQ)
¿Cómo fijo los DNS familiares en el iPhone con una clave que no sepa? Instala el DNS familiar con un perfil de configuración, que se diseña para no borrarse de un toque, y protégelo con un código de Tiempo de uso largo y no memorizado, o entregado a alguien de confianza. Si tú conoces el código, tu yo de medianoche también, así que la clave de verdad es que la llave no esté a tu alcance. TKO’T añade un bloqueo en el dispositivo que aguanta aunque toquen el DNS.
¿Cómo impido que cambien los DNS en Mac para saltar el control parental? Usa una cuenta de usuario estándar en el día a día, para que cambiar la configuración de red pida una contraseña de administrador que no tengas a mano, protege Tiempo de uso con un código, y considera un perfil que fije el DNS. Con la contraseña de administrador fuera de tu alcance, revertir el DNS deja de ser un atajo de treinta segundos.
¿Cómo evito que mi hijo use DNS privado para saltar el filtro del wifi? Con un dispositivo supervisado: los controles parentales de Apple o un perfil de gestión permiten desactivar el DNS privado y fijar el DNS familiar, para que no pueda activar su propio canal cifrado. En Android supervisado se restringe igual. Un buen DNS en el router no basta si el dispositivo puede activar el suyo por encima.
¿Qué es el DNS privado y por qué se salta mi filtro? Es un modo que cifra tus consultas de DNS y las envía por un canal propio, fuera del filtro de tu red. Como el filtro de la red ya no ve esas consultas, no puede bloquear nada. Por eso, en un dispositivo que quieres filtrar, hay que desactivar el DNS privado, y tener además una capa en el propio aparato que no dependa de la red.
¿Si fijo el DNS estoy completamente protegido? Es una capa muy fuerte, pero no conviene depender solo de ella, porque un dispositivo puede salir a datos móviles o alguien muy decidido podría tocarla. Lo sólido es combinar el DNS fijado con un bloqueo en el propio dispositivo, como el de TKO’T, que sigue funcionando aunque el DNS cambie. Así, tumbar una capa no abre todo el muro.
¿Cómo fijo el DNS para toda la casa? En el router: configura un DNS familiar y cada aparato del wifi lo hereda. La condición es proteger la contraseña de administrador del router para que no se pueda cambiar el DNS desde ahí. Y como el filtro de red solo cubre el wifi, añade una capa en cada dispositivo para cuando salga con datos móviles o intente un DNS privado.