Bloqueo de anuncios a nivel de router: Guía técnica para Pi-hole y AdGuard Home

La frustración de intentar ver una película en una Smart TV y tener que soportar el mismo anuncio de un coche cada diez minutos es real. El problema es que, en 2026, los ecosistemas cerrados de televisiones inteligentes y consolas de videojuegos siguen impidiendo la instalación de extensiones del navegador como uBlock Origin. No puedes "jailbreak" tu television fácilmente para instalar un bloqueador, ni deberías tener que hacerlo.

La solución real no es pelear contra cada dispositivo individualmente, sino atacar el problema en el punto común: el router. Al interceptar las solicitudes DNS, puedes impedir que tus dispositivos sepan siquiera dónde están los servidores de publicidad. He pasado las últimas semanas probando las dos implementaciones más robustas existentes: Pi-hole y AdGuard Home. Ambos funcionan bajo el principio de DNS sinkholing, pero tienen diferencias importantes en la gestión y el despliegue.

La arquitectura del problema: DNS como primera línea de defensa

Entender por qué esto funciona requiere saber cómo resuelve tu equipo una dirección web. Cuando escribes ejemplo.com, tu dispositivo pregunta a un servidor DNS "¿cuál es la dirección IP de este sitio?". Normalmente, tu ISP te da una respuesta honesta.

Sin embargo, si cambias ese servidor DNS por uno controlado por ti (Pi-hole o AdGuard), puedes decirle a tu red: "Si alguien pide la dirección de doubleclick.net, dile que no existe o devuélvele la IP de este dispositivo". El navegador carga la página, pero el espacio del anuncio permanece vacío porque nunca se contactó al servidor del anunciante. Esto es crucial no solo para la comodidad, sino para la seguridad, ya que muchos dominios de rastreo y malware son bloqueados de la misma forma. Como discutimos al analizar la realidad sobre los virus en smartphones Android vs iOS, la prevención a nivel de red es a menudo más efectiva que intentar limpiar una infección una vez que el dispositivo ya ha sido comprometido.

¿Puede tu router actual soportar esta carga?

Antes de lanzarnos a instalar software, debemos mirar el hardware. El router barato que te dio tu operadora de telefonía tiene una CPU integrada de bajo rendimiento y poca memoria RAM. Ejecutar un bloqueador de anuncios requiere memoria para mantener las listas de bloqueo en caché. En mi laboratorio, un router con 256MB de RAM se congelaba al actualizar listas de más de 500.000 dominios.

Necesitas dos cosas: un dispositivo dedicado para correr el software (no el router principal del ISP) y la capacidad de configurar el DHCP.

1. Hardware anfitrión: Una Raspberry Pi 4 (mínimo 2GB de RAM), o un mini-PC viejo con al menos 1GB de RAM y 8GB de almacenamiento. No intentes esto en una Raspberry Pi Zero W; la latencia DNS será perceptible.
2. Dirección IP estática: Tu dispositivo anfitrión no debe cambiar su dirección IP local. Asigna, por ejemplo, la 192.168.1.2 manualmente en la configuración de red del sistema operativo.

Una vez tengas el hardware listo, conectado por cable a tu router principal y con una IP estática asignada, podemos proceder con el software. Tener visibilidad sobre el tráfico es esencial; intercepté mi propio tráfico para encontrar una app espía utilizando técnicas similares, lo que demuestra el poder de controlar tu propia red.

Implementación de Pi-hole: El estándar de la comunidad

Pi-hole es la solución de código abierto más conocida. Es ligera, tiene una base de usuarios inmensa y su documentación es excelente. Vamos a instalarla en un sistema Linux (funciona en Debian, Ubuntu, o Raspberry Pi OS).

Abre una terminal en tu dispositivo anfitrión y ejecuta el siguiente comando:

curl -sSL https://install.pi-hole.net | bash

Este comando descarga el script de instalación. Durante el proceso:

1. El instalador te pedirá confirmar la dirección IP estática. Verifica que coincida con la que asignaste manualmente (ej. 192.168.1.2/24).
2. Selecciona el servidor DNS Upstream. Aquí defines a quién le pregunta Pi-hole cuando no tiene la respuesta en caché. Recomiendo Cloudflare (1.1.1.1) o Google (8.8.8.8) por velocidad.
3. Selecciona "Google" como proveedor de listas de bloqueo durante la configuración inicial.
4. Elige instalar la interfaz web administrative (Web Admin). Esto es vital para ver gráficos.

Al finalizar, el instalador te dará una contraseña temporal. Anótala. Accede a http://192.168.1.2/admin desde tu ordenador principal. Verás cero tráfico porque, de momento, ningún dispositivo en tu casa sabe que Pi-hole existe.

Configuración del DHCP para forzar el filtrado

Aquí es donde ocurre la magia. Tenemos dos opciones: decirle a cada dispositivo individualmente que use nuestra IP, o configurar el router para que distribuya nuestra IP automáticamente. La segunda es la única viable si tienes amigos que visitan tu casa o muchos IoT.

Entra en el panel de administración de tu router principal (normalmente 192.168.1.1). Busca la sección LAN o DHCP.

1. Busca el campo "DNS Server" o "Servidores DNS".
2. Cambia "Obtener automáticamente del ISP" a "Usar los siguientes".
3. Introduce la IP de tu Pi-hole (192.168.1.2) como primaria.
4. Como secundaria, pon una DNS pública (ej. 8.8.8.8) por si acaso tu servidor Pi-hole se apaga o falla. Esto evita que te quedes sin internet por un fallo de hardware.

Guarda los cambios y reinicia el router o fuerza la renovación de la IP en tu portátil (sudo dhclient -r en Linux, o desconecta y reconecta el wifi). Ahora, toda petición DNS pasa por tu Pi-hole.

Opción B: AdGuard Home para una gestión más visual

AdGuard Home es la alternativa comercial/abierta que ha ganado mucho terreno. A diferencia de Pi-hole, su interfaz es más moderna desde el primer momento y maneja mejor el cifrado DNS (DNS-over-HTTPS y DNS-over-TLS) de forma nativa sin tantos trucos.

La instalación en Linux es igual de sencilla. Descarga el archivo binario desde la web oficial o usa Docker:

curl -s -S -L https://raw.githubusercontent.com/AdguardTeam/AdGuardHome/master/scripts/install.sh | sh -s -- -v

Durante la instalación inicial en el puerto 3000 (o el que indique), AdGuard te pedirá configurar la interfaz y la contraseña de administrador.

La ventaja técnica de AdGuard Home radica en su manejo de servicios. Pi-hole es excelente bloqueando, pero AdGuard incluye controles parentales integrados y servicios de búsqueda seguros que son más fáciles de activar para usuarios menos técnicos. Si tu prioridad es bloquear dominios específicos de telemetría en tu Smart TV de Samsung o LG, AdGuard ofrece filtros predefinidos que funcionan mejor "out of the box" que la configuración por defecto de Pi-hole, que suele ser más estricta y romper cosas.

Sin embargo, hay un trade-off honesto: AdGuard consume más recursos de RAM que Pi-hole. Si estás usando una Raspberry Pi 3 o inferior, Pi-hole será más estable. En hardware moderno (2026 en adelante), la diferencia es imperceptible.

Listas de bloqueo y mantenimiento

Instalar el software no es el final; es el principio. Las listas por defecto bloquean lo obvio, pero la publicidad sofisticada requiere listas especializadas.

En el panel de tu software (Pi-hole -> Group Management o AdGuard -> Filters), añade las siguientes URLs de listas. Estas han sido probadas empíricamente para 2026:

• https://adguardteam.github.io/AdGuardSDNSFilter/Filters/filter.txt (Lista base de AdGuard).
• https://raw.githubusercontent.com/StevenBlack/hosts/master/hosts (Famosa por ser agresiva).
• https://raw.githubusercontent.com/Perflyst/DroidGuard-Lists/master/hosts (Específica para Android/Google).

Advertencia técnica: Al agregar la lista de StevenBlack, notarás que sitios legítimos podrían romperse (imágenes que no cargan, botones que no responden). Esto es normal. Debes revisar el "Query Log" en tu panel. Si ves dominios como fonts.googleapis.com o cdn.jsdelivr.net bloqueados, marcarlos como "Whitelist" (lista blanca). Mantener un equilibrio entre privacidad y usabilidad requiere ajuste manual; no existe una lista perfecta que se adapte a todos.

Además, recuerda que la seguridad no es solo bloqueo de anuncios. Es fundamental blindar tus credenciales. Si piensas que tener una red segura es suficiente, te equivocas. Muchos usuarios usan contraseñas como "123456" o "password", que son las 6 claves de contraseña que los hackers prueban primero para entrar en tus cuentas, saltándose cualquier firewall que hayas configurado.

Conclusión: El control de datos como activo final

Desplegar un bloqueador de anuncios a nivel de router es la medida de madurez de un entusiasta de la tecnología. Te devuelve el control sobre tu ancho de banda (ahorrando fácilmente un 15-20% de datos móviles si lo usas en una VPN móvil apuntando a casa) y tu privacidad visual.

Sin embargo, el verdadero beneficio de esta arquitectura en 2026 no es la ausencia de anuncios, sino la inmunidad pasiva. Al tener un servidor DNS propio, eres inmune a muchos ataques de phishing básicos que dependen de redirigir dominios legítimos. Es una capa de seguridad pasiva que nunca duerme. Junto con el uso de gestores de contraseñas robustos para proteger tus accesos —siendo recomendable revisar Bitwarden vs 1Password: ¿Qué pasa si la empresa quebra? para tomar una decisión informada—, constituyen la defensa esencial de cualquier hogar conectado.

El reto ahora no es configurarlo, sino mantenerlo. Los proveedores de contenido buscarán formas de eludir el bloqueo DNS, tal vez migrando más agresivamente a los CNAMEs o al enmascaramiento de IPs. Tu trabajo como administrador de tu red doméstica estará en actualizar esas listas y vigilar el registro de consultas. Es una batalla constante, pero al menos ahora tienes las armas para ganarla.