DNS CleanBrowsing: perfiles Family/Adult/Security, DoH/DoT y control parental

Por CaptainDNS
Publicado el 5 de enero de 2026

  • #DNS
  • #CleanBrowsing
  • #Resolver DNS
  • #Control parental
  • #Privacidad
  • #Seguridad de red
  • #DoH
  • #DoT
Ilustración: una red doméstica usa CleanBrowsing (Family/Adult/Security) vía DNS cifrado (DoH/DoT)
TL;DR
  • 📢 CleanBrowsing es un resolver DNS público de filtrado (enfoque familiar) con tres perfiles (Family/Adult/Security) y DNS cifrado (DoH/DoT).
  • Despliega en el router para proteger todo el Wi‑Fi; o por dispositivo si no controlas la red (móvil, portátil).
  • Para evitar desvíos, vigila DoH integrado y apps con DNS hardcodeado, y bloquea salidas DNS no autorizadas.
  • Verifica en 2 minutos con nslookup/dig + un dominio de prueba y ajusta el perfil si es demasiado (o poco) restrictivo.

CleanBrowsing es uno de esos resolvers DNS "públicos" que no solo responden rápido: aplican una política de filtrado. En claro, no cambias el DNS solo por rendimiento, sino para bloquear ciertas categorías (adulto/explícito, phishing, malware, proxies...).

Si sigues la serie sobre resolvers DNS públicos, el interés aquí es distinto de Google (8.8.8.8), Quad9 (9.9.9.9) o Cloudflare (1.1.1.1): CleanBrowsing apunta sobre todo a la red familiar (y, en la versión de pago, a usos en escuelas/pyme), con un enfoque muy de "control parental por DNS".

En este artículo vamos a lo simple y accionable: qué perfil elegir, cómo desplegar (router, Android, navegador), cómo verificar, y sobre todo cómo evitar los desvíos que hacen fallar el 80% de los despliegues en casa.

CleanBrowsing: para casa, no solo para un "internet más rápido"

CleanBrowsing ofrece 3 filtros gratuitos "globales" y una oferta de pago más completa. Punto importante: en la página de filtros gratis, CleanBrowsing posiciona claramente el gratuito como servicio "para padres" y anuncia que está limitado (velocidad/carga) y sin soporte.

Consecuencia práctica:

  • Casa / red familiar: el gratuito encaja (sobre todo el perfil Family).
  • PyME / red profesional: si quieres SLA, soporte y gobernanza (logs, políticas, excepciones), ve a una oferta de pago o a una solución dedicada.

Actualidad 2025: el soporte DoH pasa a ser "first-class" en CleanBrowsing

Durante mucho tiempo, muchos servicios de filtrado DNS estaban pensados sobre todo para "puerto 53". En julio de 2025, CleanBrowsing publicó documentación indicando que DNS-over-HTTPS (DoH) está plenamente soportado en su red, con endpoints dedicados por filtro (Family/Adult/Security).

Por qué importa:

  • en un Wi‑Fi (hotel, coworking, escuela), DoH cifra tus consultas DNS dentro de HTTPS;
  • reduces el "DNS hijacking" y la observación pasiva en la red local;
  • para control parental, también permite forzar CleanBrowsing en navegadores con "Secure DNS" integrado (en lugar de Cloudflare/Google por defecto).

Los 3 perfiles gratuitos: ¿cuál elegir?

El error clásico es elegir "al azar" y luego sufrir bloqueos inesperados. Empieza por tu objetivo y aplica el mismo perfil en todas partes (DNS1 y DNS2 incluidos).

Vista general: endpoints e intención

PerfilIdeal paraBloquea (resumen)SafeSearchDNS IPv4 (port 53)DNS IPv6DoHDoT (hostname)
Familyniños + red familiaradulto/explícito + proxies/VPN + sitios "mixtos" (ej.: Reddit) + phishing/malwareGoogle + Bing + YouTube185.228.168.168 / 185.228.169.1682a0d:2a00:1:: / 2a0d:2a00:2::https://doh.cleanbrowsing.org/doh/family-filter/family-filter-dns.cleanbrowsing.org
Adultadultos / oficina compartidaadulto/explícito + phishing/malware (proxies/VPN y Reddit permitidos)Google + Bing185.228.168.10 / 185.228.169.112a0d:2a00:1::1 / 2a0d:2a00:2::1https://doh.cleanbrowsing.org/doh/adult-filter/adult-filter-dns.cleanbrowsing.org
Securityseguridad base (IoT, invitados, pyme pequeña)phishing + spam + malware + dominios maliciosos (sin control parental)no185.228.168.9 / 185.228.169.92a0d:2a00:1::2 / 2a0d:2a00:2::2https://doh.cleanbrowsing.org/doh/security-filter/security-filter-dns.cleanbrowsing.org

Las IP, hostnames y endpoints anteriores son los publicados por CleanBrowsing para sus filtros gratuitos.

Perfiles CleanBrowsing: Family vs Adult vs Security

Regla de oro: no mezcles filtros en DNS1/DNS2

Poner Family en DNS1 y "un DNS más rápido" (o un DNS sin filtrado) en DNS2 es contraproducente: según el sistema, la latencia y los timeouts, los dispositivos a veces irán al otro resolver... y tu filtrado será aleatorio.

Si usas CleanBrowsing, configura las dos IP del mismo filtro.

Lo que CleanBrowsing filtra y lo que no puede filtrar

Un filtro DNS trabaja a nivel de nombre de dominio.

  • Puede bloquear captaindns-adulte.tld.
  • No puede analizar una URL completa captaindns.com/page?id=....
  • No "ve" el contenido de una página HTTPS (cifrado).

Consecuencia: el DNS es excelente para una barrera de acceso (adulto, phishing, malware), pero no es un antivirus ni un control parental "a medida" minuto a minuto.

Privacidad: cifrar el DNS está bien, saber con quién hablas está mejor

Tres niveles, del más simple al más robusto:

  1. DNS clásico (puerto 53)
    Fácil de desplegar en el router, pero no cifrado en la red local.

  2. DoT (DNS-over-TLS)
    Cifra el DNS en un puerto dedicado (a menudo 853). Muy práctico en Android ("DNS privado") y en algunos routers/firewalls.

  3. DoH (DNS-over-HTTPS)
    Cifra el DNS dentro de HTTPS (puerto 443). Muy común en navegadores.

En cuanto a privacidad, CleanBrowsing indica que no usa ni almacena información personal de los usuarios del resolver público, y que no cruza los datos de consultas DNS para identificar usuarios.
En ese contexto, CleanBrowsing también menciona el tratamiento de datos agregados y anonimizados de consultas DNS para operar y mejorar los servicios.

Si pasas a una oferta de pago, CleanBrowsing documenta opciones de retención de logs (hasta 7 días según la configuración) y un modo "Total Privacy" que desactiva el registro en el panel.

Configuración: tres escenarios concretos — router, Android, navegador

Flujo DNS: clásico vs DoT vs DoH, y dónde puede fugar

Escenario 1: Casa — configuración en el router (recomendado)

Objetivo: proteger todos los dispositivos del Wi‑Fi (TV, consolas, tablets, invitados...).

  1. En el router, busca los campos DNS primario / secundario (WAN, Internet, DHCP... según el modelo).
  2. Introduce las 2 IP del perfil elegido (p. ej., Family).
  3. Renueva el lease DHCP (desactivar/activar Wi‑Fi, reiniciar el dispositivo) y prueba.

Ejemplo (Family):

  • DNS1: 185.228.168.168
  • DNS2: 185.228.169.168

Prueba simple recomendada por CleanBrowsing: ejecutar un "Standard test" en dnsleaktest.com, o visitar badcaptaindns.com (debe fallar si el filtro está activo).

Escenario 2: Android — DoT vía "DNS privado" (limpio y eficaz)

Objetivo: cifrar el DNS en el teléfono, incluso fuera de casa.

En Android, ve a Red e Internet → DNS privado, elige el modo "nombre de host del proveedor" y escribe:

  • Family: family-filter-dns.cleanbrowsing.org
  • Adult: adult-filter-dns.cleanbrowsing.org
  • Security: security-filter-dns.cleanbrowsing.org

Consejo: en Android, activar DoT puede "pisar" el DNS del Wi‑Fi. Si ya tienes CleanBrowsing en el router, mantén la coherencia. DNS privado debe apuntar también a CleanBrowsing, o anulas tu estrategia.

Escenario 3: Navegador — DoH (útil en un portátil en movilidad)

Objetivo: cifrar el DNS en el navegador (sin tocar el resto del sistema).

CleanBrowsing publica URLs DoH por filtro:

  • Family: https://doh.cleanbrowsing.org/doh/family-filter/
  • Adult: https://doh.cleanbrowsing.org/doh/adult-filter/
  • Security: https://doh.cleanbrowsing.org/doh/security-filter/

En Firefox/Chrome/Edge, busca "DNS seguro / DNS over HTTPS" y elige un proveedor personalizado con la URL correspondiente.

Evitar desvíos, o tus hijos encontrarán una salida

Incluso con el DNS en el router, dos desvíos aparecen todo el tiempo:

  1. DNS hardcodeado en una app: ignora el DNS del sistema y habla directo con 8.8.8.8, 1.1.1.1, etc.
  2. DNS cifrado integrado (DoH/DoT) que sale hacia otro proveedor.

CleanBrowsing documenta estos casos y las estrategias asociadas (ajustes, bloqueo de DNS no autorizado, control del DNS cifrado).

Plan de defensa realista para casa:

  • Paso 1: coherencia
    Forzar CleanBrowsing en todas partes (router + DNS privado Android + DoH del navegador si está activado).

  • Paso 2: bloqueo simple (si tu router/firewall lo permite)
    Bloquea las salidas DNS a Internet excepto:

    • hacia el router, si haces DNS local, o
    • hacia las IP de CleanBrowsing elegidas.

  • Paso 3: higiene
    Desactiva "DNS seguro" si no lo controlas (o configúralo hacia CleanBrowsing).

Verificar que funciona

Despliegue: router vs por dispositivo, y puntos de control

Verificación rápida, en 2 minutos

  1. ¿Qué resolver responde?
nslookup captaindns.com

Mira la línea Server:: deberías ver una IP CleanBrowsing del perfil elegido.

  1. Prueba de filtrado
  • Ejecuta un test DNS leak "Standard"; el resultado debe mencionar CleanBrowsing.
  • Prueba badcaptaindns.com: debe ser inaccesible si el filtro está activo.

Si "no funciona": las 4 causas más frecuentes

  • Caché DNS (OS, navegador, router): espera, reinicia la interfaz Wi‑Fi, vacía cachés.
  • IPv6 sin cubrir: configuraste IPv4 en el router, pero los clientes resuelven en IPv6 por otro lado.
  • DNS secundario distinto: hay otro resolver en DNS2.
  • DoH/DoT activo en otro sitio: navegador o app se salta la configuración del sistema.

Desplegar CleanBrowsing correctamente

Un plan de acción corto para proteger una red familiar (y mantener el control).
  1. Elegir el perfil (Family / Adult / Security)
    • Para un Wi‑Fi familiar con niños: empieza con Family.
    • Para una red compartida entre adultos: Adult, menos falsos positivos.
    • Para un enfoque anti‑amenazas sin control parental: Security.
  2. Configurar en el lugar correcto (router primero)
    • Casa: configura en el router para cubrir a todos.
    • En movilidad: añade DoT Android (DNS privado) o DoH del navegador.
  3. Activar el cifrado donde importa
    • Red no fiable (hotel, Wi‑Fi público): prioriza DoT/DoH.
    • Red de casa: DoT/DoH sigue siendo útil, pero la prioridad es la coherencia, mismo proveedor en todas partes.
  4. Cerrar los desvíos evidentes
    • Revisa los ajustes de "DNS seguro" en los navegadores.
    • Si es posible, bloquea salidas DNS a Internet salvo CleanBrowsing (o tu router).
  5. Verificar y documentar
    • Prueba con nslookup + DNS leak test + badcaptaindns.com.
    • Anota el perfil elegido y los endpoints; útil el día que "Internet no funciona".

Alternativas y cómo elegir

CleanBrowsing es pertinente si tu necesidad principal es filtrado + SafeSearch con un despliegue simple.

Si tu necesidad es distinta:

  • Seguridad "pura" (phishing/malware) sin control parental: mira también Quad9 (9.9.9.9).
  • Bloqueo de anuncios/trackers: AdGuard DNS suele ser más adecuado.
  • Políticas muy personalizadas (listas allow/block, perfiles por dispositivo): servicios tipo NextDNS/ControlD o un DNS local (Pi-hole/Unbound) con upstream filtrante son más cómodos.

FAQ

¿CleanBrowsing es más 'familia' o 'empresa'?

El gratuito está claramente orientado a padres/casa (limitado, sin soporte). Para una pyme, mejor una oferta de pago (gobernanza, logs, soporte) o una solución orientada a empresa.

¿Qué perfil para proteger a niños sin romper todo Internet?

Empieza con Family. Si tienes demasiados bloqueos (VPN, Reddit, sitios mixtos), pasa a Adult y complementa con higiene del navegador (SafeSearch, perfiles infantiles).

DoH o DoT: ¿cuál elegir con CleanBrowsing?

DoT (DNS privado en Android) es simple y robusto en móvil. DoH es muy práctico en navegadores. En cualquier caso, lo importante es quedarse con el mismo proveedor en todas partes.

¿CleanBrowsing también bloquea anuncios y trackers?

No es su objetivo principal: CleanBrowsing es ante todo un filtro de contenido (adultos/amenazas). Para anti‑publicidad/anti‑tracking, busca un DNS orientado a adblocking.

¿Por qué una app sigue funcionando cuando debería estar bloqueada?

A menudo porque usa DNS hardcodeado o su propio DoH/DoT. En ese caso, hay que configurar la app/el navegador o bloquear salidas DNS no autorizadas en el router/firewall.

¿Puedo poner otro DNS de respaldo (8.8.8.8) por si acaso?

Técnicamente sí, pero será un desvío: si el dispositivo cambia al DNS de respaldo, el filtrado desaparece. Mejor usar las dos IP de CleanBrowsing del mismo filtro.

¿Cómo volver atrás limpiamente?

Restaura el DNS "automático" (DHCP) en el router y/o dispositivos, y luego vacía cachés DNS (o reinicia). Guarda una nota de las IP usadas para poder diagnosticar luego.

Glosario

  • Resolver DNS: servidor que traduce un nombre de dominio (p. ej., captaindns.com) a una IP.
  • Filtrado DNS: bloqueo (o redirección) de dominios según una política (categorías, listas, reputación).
  • DoH: DNS cifrado transportado en HTTPS (a menudo puerto 443).
  • DoT: DNS cifrado transportado en TLS (a menudo puerto 853).
  • SafeSearch: modo de "búsqueda filtrada" de los motores (Google/Bing/YouTube) que algunos DNS pueden imponer.
  • DNS hardcodeado: aplicación que ignora el DNS del sistema y contacta un resolver directamente.

Fuentes oficiales

Artículos relacionados