Llevo años buscando alternativas a los grandes resolvers DNS. En 2008 publiqué una lista de servidores DNS de operadoras españolas como fallback; en 2018 hice una comparativa más completa con más de 30 proveedores y empecé a hablar de privacidad. En 2025 toca la tercera entrega: soberanía digital europea, y datos reales desde Barcelona.
Por qué ahora
Dos cosas han cambiado desde 2018.
La primera es regulatoria. La directiva NIS2, transpuesta en España como RD 43/2021, menciona explícitamente el desarrollo de resolvers DNS públicos y seguros europeos como parte de la estrategia de ciberseguridad de la UE. No es solo filosofía: es política industrial.
La segunda es que ya existen proveedores europeos serios. En 2018 las opciones eran escasas y la mayoría eran proyectos personales o americanos con PoP en Europa. Hoy hay fundaciones, asociaciones activistas, consorcios cofinanciados por la Comisión Europea y operadores de red académicos ofreciendo servicio público de resolución DNS con DNSSEC, sin logging y 100% dentro de la UE.
Los proveedores: quién está detrás y dónde
Antes de las tablas de IP, conviene saber con quién estás tratando. No es lo mismo confiar en una empresa comercial que en una asociación sin ánimo de lucro alemana fundada para combatir leyes de censura.
DNS4EU
Operador: Whalebone (líder) + consorcio de 10 países
País: República Checa, con infraestructura 100% dentro de la UE
Tipo: Proyecto cofinanciado por la Comisión Europea (2023–2025), ahora operación plena bajo Whalebone.
Consorcio: CZ.NIC, CVUT, deSEC (DE), NASK (PL), HUN-REN (HU), ABI Lab (IT), DNSC (RO), Time.lex (BE). Asociados: F-Secure (FI), CESNET (CZ), Ministerio de Gobernanza Electrónica (BG), Centro Nacional de Ciberseguridad (PT)
Tecnología: Knot Resolver 6 (desarrollado por CZ.NIC).
GDPR: Anonimización directa en el resolver, datos que nunca salen de la UE
El proyecto más ambicioso del lote. Tiene cinco modos de resolución diferentes, incluyendo uno completamente sin filtrar. Límite de 1.000 queries/segundo por IP.
Ver página de documentación de DNS4EU.
Quad9
Operador: Quad9 Foundation
País: Suiza (Zúrich), c/o SWITCH
Tipo: Fundación sin ánimo de lucro
Fundadores: Global Cyber Alliance, IBM, PCH
Cobertura: 230+ clusters en 110+ países
Legal: Ley suiza de protección de datos (comparable a GDPR, no es UE pero es sólida)
Técnicamente, no es europeo en el sentido político, pero Suiza ofrece garantías legales similares a la UE y la fundación es independiente. Su inteligencia de amenazas viene de más de 25 fuentes. Bloquea una media de 670 millones de queries maliciosas al día.
Ver página de documentación de Quad9.
Applied Privacy DNS
Operador: Applied Privacy
País: Austria (Viena)
Tipo: Servicio privado orientado a privacidad
Sin filtrado por diseño. Implementa QNAME minimisation, DNSSEC completo y RFC 7706 (zona raíz local). Importante: no acepta DNS plano (UDP/53). Solo DoH y DoT. Si tu herramienta no soporta cifrado, no llegarás a este servidor.
Ver página de documentación de Applied Privacy DNS.
Restena Public DNS
Operador: Fondation Restena
País: Luxemburgo
Tipo: Fundación de investigación y educación
Restena gestiona la red académica y de investigación de Luxemburgo. Su resolver público está orientado a comunidades de investigación, educación, cultura, salud y administración pública. Es uno de los pocos que soporta DoQ (DNS over QUIC). En 2025 añadieron DNS firewall para sus miembros.
Ver página de documentación de Restena Public DNS.
Artikel10 DNS
Operador: Artikel10 e.V.
País: Alemania
Tipo: Asociación activista de derechos digitales
El nombre viene del Artículo 10 de la Constitución alemana, que garantiza el secreto de las comunicaciones. No guardan información de queries individuales. Tampoco aceptan DNS plano: solo DoH y DoT.
Ver página de documentación de Artikel10 DNS.
Digitalcourage DNS
Operador: Digitalcourage e.V.
País: Alemania (Bielefeld)
Tipo: Asociación activista
Llevan ofreciendo DNS libre desde 2013, cuando lo montaron en respuesta a la Zugangserschwerungsgesetz (ley de bloqueo de sitios). Solo soportan DoT, sin DoH ni DNS plano. No implementan EDNS Client Subnet, lo que maximiza la privacidad, pero puede afectar a la geolocalización de CDN. Límite de 50 queries/segundo por IP.
Ver página de documentación de Digitalcourage DNS.
Freifunk München
Operador: Freifunk München e.V.
País: Alemania (también infraestructura en Austria, Viena)
Tipo: Comunidad ciudadana
Infraestructura comunitaria, sin ánimo de lucro. Uno de los pocos que soporta DoQ además de DoH y DoT. Solo guardan contadores generales, sin logging de queries por IP.
Ver página de documentación de Freifunk München.
UncensoredDNS
Operador: Individuo (Thomas Steen Rasmussen)
País: Dinamarca
Tipo: Proyecto personal
Explícitamente anticensura. Desde 2024 el puerto 53 está cerrado: solo acepta tráfico cifrado (DoH, DoT). Sin logging.
Ver página de documentación de UncensoredDNS.
Tablas de IP
Con protección de malware y phishing
| Proveedor | IPv4 | IPv6 | DoH | DoT |
|---|---|---|---|---|
| DNS4EU Protective | 86.54.11.1 | 2a13:1001::86:54:11:1 | https://protective.joindns4.eu/dns-query | protective.joindns4.eu |
| DNS4EU Protective + Infantil | 86.54.11.12 | 2a13:1001::86:54:11:12 | https://child.joindns4.eu/dns-query | child.joindns4.eu |
| DNS4EU Protective + Ads | 86.54.11.13 | 2a13:1001::86:54:11:13 | https://noads.joindns4.eu/dns-query | noads.joindns4.eu |
| DNS4EU Todo | 86.54.11.11 | 2a13:1001::86:54:11:11 | https://child-noads.joindns4.eu/dns-query | child-noads.joindns4.eu |
| Quad9 | 9.9.9.9 / 149.112.112.112 | 2620:fe::fe / 2620:fe::9 | https://dns.quad9.net/dns-query | dns.quad9.net |
Sin filtrado (privacidad y DNSSEC)
| Proveedor | IPv4 | IPv6 | DoH | DoT |
|---|---|---|---|---|
| DNS4EU Unfiltered | 86.54.11.100 / 86.54.11.200 | 2a13:1001::86:54:11:100 | https://unfiltered.joindns4.eu/dns-query | unfiltered.joindns4.eu |
| Applied Privacy | 146.255.56.98 | 2a02:1b8:10:234::2 | https://doh.applied-privacy.net/query | dot1.applied-privacy.net |
| Artikel10 | 217.197.91.153 | 2001:67c:1401:2120::1 | https://dns.artikel10.org/dns-query | dns.artikel10.org |
| Digitalcourage | 5.9.164.112 | 2a01:4f8:251:554::2 | ❌ | dns3.digitalcourage.de |
| Freifunk München | 5.1.66.255 / 185.150.99.255 | 2001:678:e68:f000:: / 2001:678:ed0:f000:: | https://doh.ffmuc.net/dns-query | dot.ffmuc.net |
| UncensoredDNS | 89.233.43.71 | 2a01:3a0:53:53:: | https://anycast.uncensoreddns.org/dns-query | unicast.censurfridns.dk |
Soporte de protocolos
| Proveedor | UDP/53 | DoT | DoH | DNSSEC |
|---|---|---|---|---|
| DNS4EU | ✅ | ✅ | ✅ | ✅ |
| Quad9 | ✅ | ✅ | ✅ | ✅ |
| Applied Privacy | ❌ | ✅ | ✅ | ✅ |
| Restena | ✅ | ✅ | ✅ | ✅ |
| Artikel10 | ❌ | ✅ | ✅ | ✅ |
| Digitalcourage | ❌ | ✅ | ❌ | ✅ |
| Freifunk München | ✅ | ✅ | ✅ | ✅ |
| UncensoredDNS | ❌ | ✅ | ✅ | ✅ |
Test real desde Barcelona
He lanzado un test de latencia desde un servidor propio en Barcelona (AS214855), consultando 5 dominios a cada servidor y midiendo el tiempo de respuesta con dig. También incluyo Cloudflare y Google como referencia.
SERVERS="86.54.11.100 86.54.11.200 146.255.56.98 217.197.91.153 \
5.9.164.112 5.1.66.255 185.150.99.255 89.233.43.71 \
1.1.1.1 8.8.8.8 9.9.9.9"
DOMAINS="javiercasares.com google.com cloudflare.com github.com wordpress.org"
for ns in $SERVERS; do
total=0; count=0; fail=0
for domain in $DOMAINS; do
t=$(dig @$ns $domain +noall +stats +time=1 +tries=1 2>/dev/null \
| grep "Query time" | awk '{print $4}')
if [ -n "$t" ]; then total=$((total+t)); count=$((count+1))
else fail=$((fail+1)); fi
done
if [ $count -gt 0 ]; then avg=$((total/count)); else avg="-"; fi
echo "$ns -> avg: ${avg} ms, fails: $fail/$((count+fail))"
done
Resultados:
| Servidor | Proveedor | Latencia media | Fallos |
|---|---|---|---|
| 1.1.1.1 | Cloudflare | 1 ms | 0/5 |
| 9.9.9.9 | Quad9 | 14 ms | 0/5 |
| 8.8.8.8 | 24 ms | 0/5 | |
| 5.1.66.255 | Freifunk München | 30 ms | 0/5 |
| 185.150.99.255 | Freifunk München (secundario) | 49 ms | 0/5 |
| 86.54.11.200 | DNS4EU Unfiltered | 118 ms | 0/5 |
| 86.54.11.100 | DNS4EU Unfiltered | 125 ms | 0/5 |
| 146.255.56.98 | Applied Privacy | — | 5/5 |
| 217.197.91.153 | Artikel10 | — | 5/5 |
| 5.9.164.112 | Digitalcourage | — | 5/5 |
| 89.233.43.71 | UncensoredDNS | — | 5/5 |
Por qué varios «fallan»
Los cuatro servidores que no responden al test no están caídos. Sencillamente han cerrado el puerto 53 (UDP/TCP). Solo aceptan tráfico cifrado: DoT en puerto 853 o DoH en puerto 443. Para ellos, un dig estándar es tráfico no deseado.
Desde el punto de vista de un sysadmin, esto tiene implicaciones prácticas. Si tu stack usa /etc/resolv.conf o el resolver del sistema sin configuración adicional, estos servidores no te sirven. Si usas systemd-resolved, Unbound o AdGuard Home con soporte DoT/DoH, son perfectamente válidos.
Lo que dicen los números
Cloudflare gana a 1 ms porque tiene un PoP en Barcelona. La soberanía DNS tiene un coste de rendimiento real y medible: pasar de Cloudflare a DNS4EU implica multiplicar la latencia por 100. En la práctica, para resolución con caché esto apenas se nota en el usuario final, pero es relevante en infraestructura con alta tasa de queries sin caché.
Freifunk München es la sorpresa positiva: 30 ms desde Barcelona para un DNS comunitario alemán es un resultado excelente.
Recomendaciones por caso de uso
Servidor de producción, sysadmin, infraestructura propia
Usa dos resolvers en paralelo. Para DNS plano (sin tocar el stack):
nameserver 5.1.66.255 # Freifunk München — mejor europeo con UDP/53
nameserver 86.54.11.100 # DNS4EU Unfiltered — soberanía UE, acepta UDP/53Si tu stack soporta DoT (Unbound, systemd-resolved 247+):
nameserver 146.255.56.98 # Applied Privacy — Austria, sin filtrado, DoT
nameserver 217.197.91.153 # Artikel10 — Alemania, activismo, DoTUsuario final que quiere salir de Google/Cloudflare
Quad9 es la opción más pragmática: fundación suiza, sin ánimo de lucro, 14 ms desde Barcelona, protección de malware incluida y disponible en todos los sistemas operativos sin configuración especial.
Infraestructura pública o administración
DNS4EU con el modo protectivo es lo más alineado con NIS2 y GDPR. La latencia es el peaje.
Máxima privacidad
Digitalcourage o Applied Privacy: sin ECS (EDNS Client Subnet), sin logging, sin DoH que exponga metadatos HTTP. Solo DoT. Asumiendo que tu stack lo soporta.
Conclusión
En 2018 la alternativa real a Google DNS eran cuatro opciones, la mayoría americanas. En 2025 hay un ecosistema europeo funcional: fundaciones, asociaciones, consorcios, operadores académicos. La infraestructura existe.
El precio es rendimiento. Cloudflare a 1 ms gana por PoP local. Cualquier alternativa europea sin infraestructura en Barcelona va a costar entre 14 y 125 ms. En la mayoría de casos prácticos, con caché bien configurada, es irrelevante para el usuario. Para alta frecuencia de resolución sin caché, no lo es.
La soberanía DNS europea existe. No es hype, no es solo marketing. Pero tampoco es gratis: hay que decidir conscientemente cambiarla por rendimiento. Lo interesante de 2025 es que por fin es una decisión real, no teórica.
Test ejecutado desde AS214855 (Barcelona) en mayo de 2025. Metodología: dig estándar, 5 dominios por servidor, promedio de tiempo de respuesta. Los servidores que solo aceptan DoT/DoH no responden a este test por diseño, no por fallo.
Deja una respuesta