Aunque tenía mis dudas he decidido publicar mis resultados de las pruebas que he hecho de la protección antimalware que nos ofrecen varios DNS públicos. Lo primero que voy a decir es que no pretendo tener la razón absoluta pero si decir que estos son mis resultados, que no quita para que si volviera a hacer todas las pruebas igual sacaba otras conclusiones. Cada servicio probado, aunque con sus matices, me ha parecido una muy buena opción y muy interesante para añadir una protección extra a un dispositivo o a todos los dispositivos de red si se configura en el router.
INTRODUCCIÓN
Lo primero que hay que decir es que servicios recursivos de DNS público hay muchos, en este listado estoy recopilando todos los que voy encontrando. Todos los que ofrecen protección antimalware me resultaría imposible de revisar, así que en este artículo me estoy limitando a escribir sobre los que mas o menos conozco de haberlos probado, todos ellos son de los mas conocidos y utilizados en Europa.
En mis pruebas he intentado revisar la calidad de los bloqueos, es decir, si cada servicio tiende a bloquear mucho o poco así como los falsos positivos que provoca. Durante bastante tiempo he ido probando todos estos, es cierto que unos mas y otros menos, pero siempre intentando sacar las suficientes conclusiones para la realización de este artículo. De todas formas matizo una cosa, con sus diferencias cada uno, pero mal servicio no es ninguno. Yo pienso que cada cual tiene sus peculiaridades y eso es lo que hay que buscar, el que mas se adapte a lo que cada cual quiera.
INFRAESTRUCTURA DE RED
En cuanto a infraestructura de red, para ponernos en contexto, he realizado una tabla para ver los puntos de presencia (POP) que tienen cada uno de los servicios analizados en este artículo. A priori daría igual la presencia en otros países ya que solo interesa si tienen presencia en España, pero viendo la tabla podemos hacernos a la idea de la infraestructura que tienen cada uno de estos DNS públicos recursivos. Recordamos que el servicio DNS0 tiene solamente presencia a nivel de la Unión Europea.
Los datos recogidos en esta tabla se refieren a la infraestructura de red con el número total de puntos de presencia a nivel mundial, su presencia a nivel de ciudades europeas, ciudades de la Unión Europea y puntos de presencia en España.
PUNTOS DE PRESENCIA (POP) |
TOTAL | EUROPA | UNIÓN EUROPEA | ESPAÑA |
---|---|---|---|---|
Cloudflare | 320 | 57 | 41 | 2 |
Quad9 | 222 | 47 | 42 | 2 |
RethinkDNS | 188 | 47 | 39 | 2 |
NextDNS | 132 | 42 | 31 | 2 |
CleanBrowsing | 69 | 18 | 15 | 1 |
DNS0 | 55 | 55 | 55 | 2 |
UltraDNS | 48 | 10 | 9 | 1 |
Cisco Umbrella | 46 | 13 | 12 | 1 |
ControlD | 34 | 11 | 10 | 1 |
AdGuard | 16 | 6 | 5 | 0 |
Comodo | 14 | 5 | 5 | 0 |
AhaDNS Blitz | 11 | 6 | 5 | 1 |
Mullvad DNS | 10 | 6 | 4 | 0 |
En cuanto a infraestructura de red, es decir, velocidad de resolución, lo primero que hay que tener claro son dos detalles. El primero, lógicamente, que haya POP en España. Lo segundo, también interesante, que haya mas de un POP para que si por mantenimiento o fallo cae un POP el sistema anycast pueda redireccionar a otro POP también en España y no haya que salir a un POP de otro país europeo lo cual haría algo mas lenta la resolución.
Aunque Cloudflare a nivel mundial sea el que mas presencia tiene, el vencedor claro en Europa y España es Quad9. Concretamente en España Quad9 dispone de un total de 4 POPs, dos en Madrid (ESpanix y DE-CIX), uno en Barcelona (CATNIX) y otro en Málaga (Startnix). Cloudflare y NextDNS disponen de dos POPs, uno en Madrid y otro en Barcelona. DNS0 dispone de dos POPs en Madrid.
ADGUARD DNS
AdGuard DNS, gran conocido bloqueador de publicidad, ofrece tanto servicio de resolución gratuita como versión de pago con panel de configuración, control y estadísticas. Este servicio ofrece un panel de control con bastantes posibilidades de configuración y uso, con estadísticas de uso al igual que otros, aunque actualmente está, a mi modo de ver, mas orientado al bloqueo publicitario y de rastreadores aunque en protección antimalware y phishing también queda muy bien.
Ofrece un panel de usuario muy moderno, eficiente, visualmente claro, sin notarse sobrecargado. De los paneles de control disponibles en servicios de este tipo para mi AdGuard es el mejor, quedando por encima de NextDNS pero sobretodo muy por encima de ControlD.
En cuanto a la protección antimalware, AdGuard DNS no es el servicio que mas va a bloquear, pero a su favor tiene que es una protección que trata de minimizar los falsos positivos. Al igual que Quad9, que es un servicio sin panel de control, AdGuard también se puede decir que ofrece una protección casi sin falsas. AdGuard, como Quad9, no es el servicio que mas bloquea pero si que está muy compensado procurando evitar las falsas alarmas.
En lo que respecta a los usuarios españoles tiene la pega de que no disponen de presencia en España y se enruta a Londres en el caso de Movistar y Frankfurt para Vodafone y Orange. Ofrece versiónes gratuitas para resolución sin filtrado, con filtrado de publicidad, rastreadores y malware, o bien lo anterior mas filtrado parental. A su favor decir que el servicio en la práctica ofrece una resolución bastante eficiente ofreciendo buenos resultados.
AHADNS BLITZ
AhaDNS Blitz, antes conocidos por pi-dns.com, es un sencillo servicio de DNS privado que ofrece solamente DOH. Es un DNS privado especializado en malware, publicidad, rastreadores aunque añade también otras listas de bloqueo como relaciones, apuestas, drogas o piratería. La configuración es sencilla, desde la url de configuración se activan las casillas correspondientes a las listas de bloqueo deseadas y se copia la url generada para utilizarla para la configuración DOH. Disponen de servidor en España. Las listas de bloqueo son muchas de ellas muy conocidas y presentes en otros servicios de bloqueo por DNS.
CISCO UMBRELLA (OPENDNS)
Cisco Umbrella es un servicio de seguridad por DNS que, realizando la comparación natural que sería con NextDNS, ControlD, o AdGuard posee paquetes de servicios empresariales que ofrecen mas posibilidades que los anteriormente mencionados pero como contrapartida el precio es bastante mas caro. A su vez Cisco Umbrella ofrece, a nivel personal o pequeña empresa, un servicio llamado Umbrella Prosumer que cuesta 20$ por cada usuario con tres dispositivos por usuario con un máximo de cinco usuarios y sin posibilidad de configurar IPs de red. Umbrella Prosumer quedaría como un servicio mas caro y con menos posibilidades que NextDNS, ControlD o AdGuard.
En cuanto a servicios gratuitos, ofrece dos variantes. La primera es OpenDNS, y aunque gratuitamente ofrece resolución, estadísticas y filtrado parental, no ofrece protección antimalware alguna solo phishing. Cisco Umbrella también ofrece una versión gratuita llamada DNS Monitoring que ofrece solo estadísticas. En ambos casos las estadísticas son solo a nivel de red sin posibilidad de aislar dispositivos.
CLEANBROWSING
CleanBrowsing es otro de los servicios conocidos que ofrece tres preconfiguraciones gratuitas de nivel de filtrado, con dos niveles de filtrado familiar y un nivel de solo seguridad con protección antimalware y phishing. Respecto al servicio de pago es más caro que otros y no dispone de periodo de prueba ni un número de resoluciones gratuitas dentro de la versión de pago así que no lo he podido probar. Los niveles de filtrado gratuito en general resuelven rápido pero he tenido a veces aumentos en los tiempos de resolución.
CLOUDFLARE
Cloudflare DNS es el gran conocido por sus servicios CDN, a parte de solo resolución también ofrece protección antimalware y filtrado parental. No hay panel web de configuración ni estadísticas de ningún tipo y viene a ser un «instalar y olvidar». Tiene bastantes servidores en todo el mundo con presencia de no solo uno sino varios hosts en España en Madrid y Barcelona.
La protección antimalware yo la veo floja, aunque como solucionador funciona muy bien, pero como protección antimalware queda de muchos otros servicios similares. Tiende a no bloquear lo que no sea malware pero a mi modo de ver su base de datos está por debajo de muchos otros servicios. Personalmente pienso que Cloudflare no se ha tomado demasiado en serio este tipo de filtrado, quizás asumiendo que otros servicios disponibles van a ir mejor.
COMODO DNS
Comodo Secure Internet Gateway, es el servicio DNS de Comodo Security Solutions, ofrece un panel de control bastante amigable y con bastantes posibilidades al igual que el resto de servicios de los que hablamos en este artículo. Entre las opciones y posibilidades que incluye están la de configuración de dispositivos y perfiles, configuración de redes y estadísticas. También ofrece una versión gratuita llamada Comodo SecureDNS de resolución con protección antimalware. A mi modo de ver, en cuanto a protección antimalware, se queda por debajo de otras opciones y además no dispone de punto de presencia en España, así que a los usuarios españoles se nos enrutará hacia los servidores en Francia.
CONTROLD
ControlD fue fundado en 2021 por los creadores de la VPN Windscribe, es el que mas opciones de preconfiguración ofrece en versión gratuita y el que es capaz de, mediante DNS, ofrecer como si de una VPN se tratase, configurar según que servicio desde que país se desea conectar. En versión de pago ofrece también un panel de configuración bastante completo, muy personalizable según perfiles y dispositivos y con estadísticas de todo tipo. Respecto a su panel de configuración y control, como opinión personal, lo veo el menos claro y mas liado de todos.
En cuanto a la protección antimalware está mejorando bastante y ya se ha puesto a la altura de otros servicios similares y conocidos. Quizás como defecto se le puede achacar que hay urls que las bloquea como malware y mas bien debería ser de tipo analíticas o rastreadores, pero tampoco pasa nada, desde luego que bien bloqueadas están. Esta opción ha mejorado y muy posiblemente se encuentre a la altura de los mejores servicios de este tipo.
DNS0.eu
DNS0.eu es el servicio mas nuevo y viene de dos fundadores de NextDNS, lo anuncian como un DNS publico, privado, seguro y para los usuarios europeos. Tienen servidores en 27 países de Europa, incluyendo en España, con infraestructura propia en Europa y ateniéndose a las leyes europeas. Ofrecen varios dos niveles de protección malware, filtrado parental y resolución sin filtrado.
La protección antimalware, asumiendo que va a dar falsas, es para mi de las mejores, aunque se les cuelan urls que no son malware. Por otra parte he detectado que pecan de exceso, es decir, a la mínima que otro servicio o antivirus bloquee es fácil ver que DNS0 también bloquee, lo cual provoca falsas alarmas.
A parte disponen de la opción Zero, un refuerzo bastante potente de urls potencialmente maliciosas, utilizando varios criterios se marcan urls potencialmente maliciosas según el comportamiento de los dominios que se sabe que acaban siéndolo. Es decir, no se marcan urls por tener malware, se marcan en base a una serie de criterios, es decir, estaríamos hablando de una especie de bloqueo preventivo. Zero es un aporte de seguridad muy potente pero hay que entender como funciona y ser conscientes de que va a marcar como malware urls que no lo son.
En el caso de usuarios que naveguen por webs de descargas, usando la configuración Zero vais a tener problemas ya que como las operadoras suelen ir bloqueándoles dominios, luego esas webs registran otros y es fácil que resulte que el dominio al que tratéis de conectar tenga menos de 30 días, por consiguiente, sería bloqueado por la configuración Zero de DNS0. En este tipo de navegación es preferible la configuración normal si se quiere usar DNS0.
MULLVAD DNS
Mullvad DNS es un servicio que viene de la mano de los creadores de la conocida Mullvad VPN. El servicio es sencillo y se centra en servidores DNS encriptados DOH y DOT. Ofrece varios niveles de filtrado, incluyendo malware, publicidad, protección parental. No dispone de servidores en España.
NEXTDNS
NextDNS es un servicio de pago de gran calidad, muy personalizable, con muchas opciones, estadísticas, grandes posibilidades de personalización por perfiles y dispositivos, y con servidores en muchos países del mundo incluida España. Quien quiera un servicio muy personalizable, muy configurable y con estadísticas de todo tipo por perfiles y dispositivos, para mi esta es claramente la mejor opción.
En lo que respecta a la protección antimalware, a la par de DNS0.eu está entre las mejores. La única pega es la misma que he detectado en DNS0.eu, en perfil normal, sin activar opciones extras de seguridad, ya bloquea como malware urls que no lo son, y pecan de exceso, bloquean demasiado rápidamente urls que no son malware pero han sido bloqueadas por algún servicio de terceros.
Utilizando varias opciones de la configuración de seguridad se consigue un refuerzo bastante potente de urls potencialmente maliciosas pero se incrementan los falsos positivos. Se marcan urls potencialmente maliciosas según el comportamiento de los dominios que se sabe que acaban siéndolo. Es decir, no se marcan urls por tener malware, se marcan en base a una serie de criterios, es decir, estaríamos hablando de una especie de bloqueo preventivo.
QUAD9
Quad9 es un servicio de los de configurar y olvidar, sin panel de configuración web ni estadísticas de ningún tipo. Quad9 ofrece un servicio gratuito utilizando bastantes proveedores de inteligencia antimalware y la infraestructura de servidores de PCH con una red muy extensa de servidores repartidos en todo el mundo. Concretamente en España el que mas presencia tiene con servidores en Madrid, Barcelona y Málaga.
Para mi es la mejor protección antimalware, no es el que mas bloquea pero si el mas compensado ofreciendo un excelente equilibrio entre bloqueos correctos evitando falsos positivos. Tiene menos tendencia a falsas alarmas por bloqueos que no son realmente urls de malware, se puede decir que prácticamente no tiene falsos positivos. Además posee el mayor número de proveedores de fuentes de urls, incluyendo proveedores de inteligencia. Quad9 también dispone de una base de datos de dominios a modo de lista blanca, es decir, dominios para asegurar que, por error, nunca pasarían a ser bloqueados.
RETHINKDNS
RethinkDNS es un servicio DNS de bloqueo de publicidad, rastreadores y malware que está empezando a oírse bastante últimamente. El servicio forma parte de Part of Mozilla Builders MVP program. Ofrece dos modos de configuración, una avanzada con muchas listas de filtrado, algo liado a mi modo de ver y demasiado detallado, y un modo simple que permite elegir entre tres categorías de filtrado (control parental, seguridad y privacidad). Este servicio de bloqueo solo se ofrece por DNS privado, concretamente solo ofrecen el servicio a través de DOH o DOT. La protección ofrecida es de buena calidad y ofreciendo buenos resultados pero hay que tener cuidado al añadir listas, cuantas mas se añaden mas va aumentando la posibilidad de los falsos positivos.
ULTRADNS (NEUSTAR)
UltraDNS es un servicio de Neustar que ofrece versiones gratuitas preconfiguradas y versiones de pago a nivel empresarial. Las versiones gratuitas ofrecen varios niveles de configuración, resolución sin filtrado (a través de Verisign que fue adquirida por Neustar), malware y filtrado parental. La protección malware por las pruebas que he hecho me parece peor que la de otros servicios y, a mi por lo menos, me ha dado falsos positivos en webs conocidas que no debería darlos. A diferencia de los servicios anteriores, al menos en su versión gratuita, UltraDNS no ofrece configuración DOH/DOT/DOQ. En versiones empresariales posiblemente ofrezcan un excelente servicio pero, en cuanto a versiones gratuitas, está claramente por debajo del resto de opciones disponibles.
DNS BENCHMARK (TEST DE VELOCIDAD DE RESOLUCIÓN)
Para realizar esta prueba hemos utilizado la utilidad DNS Benchmark de Steve Gibson. Lo primero que hay que matizar es que entre DNS públicos que tienen servidores en España los resultados de velocidad de resolución van a ser muy similares. En esta prueba hemos introducido los DNS públicos mas conocidos.
CONCLUSIONES FINALES
Hay que partir de la base de que mal servicio no es ninguno. En cuanto a servicios de pago con opción de personalización de perfiles y dispositivos tenemos dos opciones. Quien este dispuesto a pagar por ello y quiera la mayor personalización, opciones de configuración, estadísticas, panel de usuario muy completo, gran calidad de servicio, la opción clara sería NextDNS. Por contra, quien quiera un panel de usuario menos sobrecargado, mas moderno, mejor gestión de dispositivos, visualmente muy claro y eficaz, su opción sería AdGuard.
Quien desee la opción de indicar que país de conexión usar para determinados servicios sería ControlD la mejor opción, ControlD también es el que ofrece mayores posibilidades de preconfiguración en versión gratuita con diversos niveles de bloqueo. Cisco Umbrella sería alternativa para quien quiera servicios de pago mas potentes pero también estando dispuesto a pagar mucho mas.
Quad9 sería la mejor protección antimalware en cuanto a un equilibro entre bloqueos legítimos evitando falsas alarmas, no dispone de panel de configuración de usuario ni estadísticas. DNS0.eu sería la mejor opción gratuita si se quiere utilizar el refuerzo que da la configuración Zero, como he explicado antes, el refuerzo de aplicar medidas preventivas a la hora del bloqueo de dominios antes de que lleguen a albergar malware. DNS0 también sería la opción recomendada para quien prefiera un DNS exclusivamente para Europa ya que es el primero DNS anycast europeo con sede e infraestructura solo para Europa.
Luego ya nos queda Cloudflare, un gran servicio, ciertamente, pero personalmente, en cuanto a protección antimalware, lo veo descolgado respecto al resto, no encuentro razón alguna para utilizarlo antes que alguno de los anteriormente mencionados.