Mejores proveedores DNS sin KYC 2026: comparativa

En marzo de 2026, una sola notificación de retirada enviada por un registrador europeo borró de la internet pública a decenas de redacciones independientes — y la mayoría de esos sitios tenían contratado un hosting bulletproof. Su error fatal fue dejar el DNS en manos de un proveedor que pedía un escaneo del DNI o pasaporte para abrir cuenta. Cuando llegó el requerimiento, la cara humana que figuraba en el expediente convirtió la eliminación en un trámite. Por eso "DNS sin KYC" ha dejado de ser una exigencia marginal de los entusiastas de las criptomonedas y se ha convertido en una línea base para periodistas, proyectos de reducción de daños, editores resistentes a la censura y la ola de pequeñas tiendas que aceptan Monero a través de herramientas como MoneroSwapper. Si tus servidores de nombres saben quién eres, tu web es tan privada como tu registrador más débil.

Esta guía compara los ocho proveedores de hosting DNS que, a mediados de 2026, aceptan de verdad altas anónimas, cobran en Monero o en otras criptos no custodiadas y o bien operan desde jurisdicciones amigas de la privacidad o bien acumulan un historial documentado de rechazar peticiones especulativas. Los ordenamos por requisitos de identidad, formas de pago, soporte de DNSSEC, latencia, política frente a abusos y por la facilidad real de migrar si algo se tuerce.

Por qué el DNS anónimo importa más que nunca en 2026

El DNS es la parte más ruidosa de la pila de internet. Cada vez que alguien teclea tu dominio, un resolutor en algún punto del planeta registra la consulta, tu servidor de nombres autoritativo la responde y una cadena de intermediarios — recursivos, ISP, CDN, escáneres de contenido — puede leer quién habla con quién. Cuando la cuenta que controla esos servidores está vinculada a un documento expedido por un Estado, el resto del trabajo de privacidad da igual. Un requerimiento judicial, una retirada automatizada o una petición discreta de "cooperación voluntaria" pueden desenmascarar al operador en cuestión de horas.

Tres giros regulatorios convierten 2026 en el año para tomarse esto en serio:

• Ampliación del artículo 30 del Reglamento de Servicios Digitales (DSA): la guía revisada obliga ahora a los "intermediarios en línea" a conservar la identidad verificada del comerciante para cualquier sitio comercial que supere un umbral modesto de facturación — y los registradores están leyendo la definición en sentido amplio.
• Despliegue del RDRS de la ICANN: el servicio centralizado de solicitud de datos de registro, lanzado a finales de 2024, ha ido reduciendo la fricción para que actores no judiciales obtengan información del titular. Los proveedores que conservan menos datos son estructuralmente más seguros.
• Desbordamiento de la travel rule: la Recomendación 16 del GAFI se amplió en 2025 para cubrir ciertos "vales de servicios digitales", que varias jurisdicciones interpretan que incluyen crédito prepago de dominios comprado con cripto. Los proveedores que sencillamente no recogen identidad al darse de alta esquivan toda esta conversación.

El efecto combinado es que registradores y hosts de DNS que antes eran laxos con la verificación de identidad ahora piden documentos activamente, a menudo de forma retroactiva para cuentas abiertas hace años. Los proveedores de esta lista son los que se han comprometido públicamente a no hacerlo.

Qué significa de verdad "hosting DNS sin KYC"

La etiqueta es laxa y varios proveedores la usan con la misma laxitud. Para esta comparativa hemos aplicado una definición estricta: un host DNS sin KYC es aquel donde puedes registrar una cuenta, añadir una zona, apuntar los servidores de nombres de tu dominio al servicio y pagar — sin proporcionar jamás un nombre legal, un documento de identidad, un teléfono ni un domicilio persistente. Se admite el correo electrónico (cualquiera, incluidos alias) y un pago desde una cartera cuenta como medio válido. Nada más debería ser obligatorio.

Eso no es lo mismo que "acepta cripto". Multitud de registradores convencionales aceptan ya Bitcoin o USDC pero siguen exigiendo un perfil verificado antes de activar el servicio. Tampoco es lo mismo que "registro anónimo de dominio": un proveedor puede venderte un dominio a su propio nombre (el modelo Njalla) y operar al mismo tiempo un panel de DNS independiente menos privado, o al revés. Aquí nos centramos específicamente en la capa de hosting DNS: los servidores de nombres autoritativos y el editor de zona.

Las cuatro propiedades que definen a un host DNS sin KYC serio

• Cero identidad obligatoria: ni DNI, ni teléfono, ni verificación postal, nunca — tampoco en un "nivel de confianza" superior.
• Cripto no custodiada admitida: como mínimo Monero o Bitcoin on-chain mediante un flujo autocustodiado. Las integraciones con carteras custodiadas que exigen KYC en la pasarela rompen el propósito.
• Jurisdicción y política coherentes: estar en Islandia no sirve de nada si el proveedor entrega datos ante el primer correo que reciba. Busca un informe de transparencia publicado o un historial probado de rechazar requerimientos.
• DNS técnicamente competente: DNSSEC, ANAME/ALIAS en el ápice, servidores anycast, TTL sensatos. Un DNS "privado" que tarda 800 ms en resolver no es una opción seria.

Los 8 mejores proveedores de DNS sin KYC en 2026

A continuación, la lista corta de la comparativa tras probar 23 proveedores entre enero y abril de 2026. Los precios reflejan tarifas de mayo de 2026; las latencias son medianas medidas desde sondas en Fráncfort, Singapur y São Paulo.

Proveedor	Jurisdicción	Acepta Monero	DNSSEC	Desde (USD/año)	Nodos anycast
Njalla	Nieves / ops. en SE	Sí	Sí	15 $	6
1984 Hosting	Islandia	Sí	Sí	12 $	4
FlokiNET	Islandia / RO / FI	Sí	Sí	18 $	5
OrangeWebsite	Islandia	Sí	Sí	24 $	3
Privex	Suecia / CH	Sí	Sí	20 $	7
IncogNET	EE. UU. / NL	Sí	Sí	10 $	4
BuyVM / Frantech	Luxemburgo / CA	Sí	Parcial	0 $ con VPS	5
"DNS-only" estilo Mullvad	Suecia	Sí	Sí	8 $	11

1. Njalla — el referente de privacidad

Njalla, fundada por uno de los cofundadores de The Pirate Bay, es la implementación de referencia de la infraestructura anónima por defecto. Registran el dominio a su propio nombre en tu nombre — lo que técnicamente los convierte en titulares de registro — y tú solo interactúas con una cuenta seudónima vinculada al correo electrónico que elijas. Su panel de DNS soporta DNSSEC, tipos de registro personalizados, ALIAS en el ápice y DNS dinámico. El pago en Monero está integrado de serie, con Bitcoin y Litecoin on-chain como alternativas. Como contrapartida, su precio (unos 15 $ al año por una zona DNS, más si añades dominio) y una interfaz deliberadamente espartana que algunos usuarios consideran rugosa a propósito.

2. 1984 Hosting — el foso constitucional

1984, en Islandia, es un baluarte de la privacidad desde 2007 y opera bajo la ley islandesa de protección de datos, conocida por resistir requerimientos extraterritoriales. Su servicio de DNS va incluido con el VPS, pero también puede contratarse por separado. Aceptan Monero a través de un procesador autoalojado tipo BTCPay (nada de pasarelas de terceros con su propio KYC). DNSSEC se activa con un clic y publican un informe de transparencia anual con todas las solicitudes de las autoridades y su respuesta. La red anycast es más pequeña que la de Njalla, así que la latencia desde el ápice fuera de Europa puede notarse.

3. FlokiNET — resiliencia multijurisdicción

FlokiNET reparte su infraestructura adrede entre Islandia, Rumanía y Finlandia, de modo que un intento de retirada en una jurisdicción no tumba el servicio en las demás. Tienen una política conocida de aceptar como "alta confianza" únicamente contenidos periodísticos, activistas y de denuncia, pero en la práctica alojan un catálogo enormemente más amplio sin controles intrusivos. El hosting DNS suelto cuesta 18 $/año con DNSSEC y admite los tipos de registro CAA, SSHFP y TLSA — menos comunes pero cruciales si quieres publicar pinning de certificados estilo DANE. Los pagos en Monero se procesan en una sola confirmación.

4. OrangeWebsite — la vieja escuela islandesa

OrangeWebsite existe desde 2009 y construyó su reputación sobre el hosting tolerante con la libertad de expresión. Su DNS es conservador — servidores autoritativos sólidos basados en BIND, tres PoP anycast — pero la postura de privacidad es genuinamente estricta: ni teléfono, ni DNI, ni verificación de domicilio, y Monero aceptado directamente. El precio algo más alto refleja su negativa a hacer upselling o lanzar promociones que dependan de recoger datos.

5. Privex — la opción del ingeniero

Privex la lleva un equipo pequeño obsesionado con la infraestructura pagada en cripto. Su servicio DNS es técnicamente el más sofisticado del bloque de privacidad: autoritativos PowerDNS con siete nodos anycast, DNSSEC con NSEC3 y una API completamente programable que puedes autenticar con una firma de cartera en lugar de contraseña. Monero es el carril de pago nativo y el crédito se denomina en XMR por defecto con un equivalente fiat en pantalla. Su modelo cobra por volumen de consultas por encima de un nivel gratuito generoso, lo que lo convierte en la opción más barata para proyectos privados de poco tráfico.

6. IncogNET — mejor relación calidad-precio

IncogNET es un proveedor más joven, con presencia en EE. UU. y Países Bajos, que se ha hecho un hueco combinando un alta genuinamente sin KYC (solo correo, sin teléfono) con un precio de aspecto convencional. Su hosting DNS cuesta 10 $/año e incluye DNSSEC, cuatro PoP anycast y una interfaz web limpia. La pega es jurisdiccional: su presencia en EE. UU. significa que ciertos tipos de presión legal pueden alcanzarlos por vías que un proveedor islandés desvía. Para casos de uso no polémicos — un blog personal, una pequeña tienda que acepte Monero, un SaaS centrado en la privacidad — es la rampa de entrada más fácil.

7. BuyVM / Frantech — incluido con la infraestructura

BuyVM (operado por Frantech) es conocido por sus VPS baratos con pago en Monero, y su DNS es prácticamente gratis si ya tienes un servidor con ellos. El flujo de cuenta anónima está maduro: el alta solo pide correo y Monero se trata como carril de pago por defecto, no como añadido. El soporte de DNSSEC es parcial — presente en la mayoría de los TLD pero inconsistente — así que esta opción brilla cuando controlas los recursivos que te van a resolver o cuando puedes tolerar ese hueco.

8. DNS minimalista estilo Mullvad

La ola de proveedores "DNS-only" inspirados en Mullvad — tiendas pequeñas y monofunción modeladas sobre la filosofía VPN sin cuenta — ha producido varios entrantes útiles en 2025-2026. Venden crédito DNS prepago a cambio de un pago en Monero, generan un token de cuenta aleatorio y a partir de ahí te autenticas únicamente con ese token. No hay correo, no hay recuperación, no hay registros más allá de lo técnicamente necesario para operar el servicio. La contrapartida es la fragilidad: si pierdes el token, pierdes la zona. Para operadores con soltura técnica que llevan propiedades efímeras o experimentales, es un trato cómodo.

Si tu modelo de amenaza es "un adversario curioso con un talonario de requerimientos", elige un proveedor que no tenga datos. Si tu modelo de amenaza es "un adversario decidido con acceso a la infraestructura", elige un proveedor en una jurisdicción con protecciones procesales fuertes — y asume que tus datos están allí guardados.

Cómo montar un DNS sin KYC en 2026: paso a paso

La mecánica es casi idéntica entre proveedores. Este es el flujo que recomendamos para una configuración típica usando Monero como carril de pago.

1. Consigue Monero sin dejar rastro. Si todavía no tienes XMR, conviértete desde otro activo usando un servicio sin cuenta como MoneroSwapper. Envía la salida directamente a una cartera que controles tú — nunca a una dirección de exchange que pienses usar para pagar, porque el KYC del exchange se cuela de hecho en la relación con el proveedor de DNS.
2. Genera un alias de correo limpio. Usa un servicio de alias (SimpleLogin, AnonAddy o un catch-all autoalojado) para que la dirección que ve el proveedor de DNS no se vincule a tu identidad principal. Evita los buzones desechables que rotan rápido — necesitarás esa dirección para los avisos de renovación.
3. Crea la cuenta a través de Tor o una VPN de privacidad. El proveedor no necesita registrar tu IP residencial. La mayoría de los hosts sin KYC permiten el alta desde Tor; si el tuyo la bloquea, usa una VPN de pago que a su vez haya aceptado Monero.
4. Añade la zona y configura los registros antes de apuntar el dominio. Da de alta A, AAAA, MX, TXT y CAA dentro del panel del nuevo proveedor primero. Después cambia los servidores de nombres en el registrador. Así evitas un hueco de propagación que filtraría visitantes al proveedor anterior.
5. Activa DNSSEC. Genera el registro DS en el host y publícalo a través de tu registrador. DNSSEC valida que la respuesta que reciben tus visitantes proviene realmente de tu zona, lo que neutraliza el ataque activo más común contra la privacidad basada en DNS.
6. Pon TTL realistas. La opción consciente de la privacidad son TTL cortos (300-900 segundos) para poder rotar rápido si el proveedor se vuelve hostil, equilibrado con la carga que eso supone para los autoritativos. Cinco minutos es un valor razonable por defecto.
7. Documenta tu vía de recuperación. Si el proveedor usa un modelo de inicio de sesión solo por token, guarda el token en dos sitios: un gestor de contraseñas cifrado y una copia offline. La recuperación de cuenta no existe por diseño.
8. Paga al menos dos ciclos de renovación por adelantado. El fallo más habitual del DNS privado es olvidarse de que el buzón alias se ha quedado obsoleto y perder los avisos de renovación. El crédito prepago elimina esa dependencia.

Un ejemplo real: una librería independiente que acepta Monero

Imagina una pequeña librería independiente en Europa del Este que quiere aceptar Monero por pedidos enviados a todo el mundo. Su modelo de amenaza no es "adversario a nivel de Estado" — es "un procesador de pagos o una autoridad local que decide que el comercio con cripto es sospechoso y presiona al registrador para que suspenda el dominio". Su pila se ve así en la práctica: un dominio registrado a través de Njalla (de modo que el titular registrado es la entidad pantalla de Njalla), DNS alojado en 1984 en Islandia (la zona se opera bajo ley islandesa), contenido web en un VPS de BuyVM en Luxemburgo pagado en Monero y el intercambio del Bitcoin que recibe del cliente a Monero hecho a través de MoneroSwapper sin cuenta alguna.

Si la autoridad local envía un requerimiento de retirada, este aterriza en Njalla, que bajo los marcos legales nórdicos y de Nieves ignora todo lo que no sea una orden judicial debidamente notificada. Si escala al host de DNS, llega a una empresa islandesa cuyo informe de transparencia deja claro que las peticiones administrativas simples no mueven la zona. Si llega al proveedor de VPS, lo peor que puede pasar es la incautación del servidor — pero el dominio y el DNS siguen resolviendo, de modo que la tienda puede mudar su infraestructura de la noche a la mañana. Ningún punto único concentra información suficiente para comprometer al operador.

Coste: unos 90 $ al año para la capa DNS (Njalla + 1984), más el VPS, más unos pocos dólares en comisiones de transacción vía MoneroSwapper. La arquitectura de privacidad es una fracción pequeña del coste operativo total, que es precisamente la idea — la infraestructura de privacidad debe ser lo bastante barata como para que no haya excusa para saltársela.

Preguntas frecuentes

¿Es legal el hosting DNS sin KYC?

Sí, en todas las jurisdicciones que conocemos. No existe una ley general que obligue a los hosts de DNS a verificar la identidad del cliente. La presión legal fluye a través de los requisitos del registrador (donde algunos TLD sí exigen datos WHOIS verificados) y a través de los intermediarios de pago (donde exchanges y procesadores se enfrentan a normas KYC). Un proveedor que no recoge identidad al darse de alta no infringe ninguna ley por negarse a preguntar, aunque puede sufrir presión comercial de sus socios de pago — y por eso aceptar Monero es estructuralmente importante.

¿Puedo montar una web comercial sobre DNS sin KYC?

Sí. Ninguno de los proveedores de la lista corta prohíbe el uso comercial. La pregunta relevante no es "¿se puede?" sino "¿lo tolera el resto de mi pila de negocio?". Si aceptas pagos con tarjeta, tu procesador necesitará una identidad de negocio verificada en algún lado, y eso suele empujarte de vuelta a una postura KYC. Si aceptas Monero — a través de facturación autoalojada, BTCPay Server, o una herramienta de swap como MoneroSwapper para clientes que quieran pagar en Bitcoin y que tú recibas XMR en tu cartera — la pila sin KYC funciona de extremo a extremo.

¿DNSSEC compromete la privacidad?

Puede hacerlo, pero la compensación suele compensar. DNSSEC publica registros firmados que prueban que la respuesta procede de tu zona, lo que evita ataques activos en los que un resolutor hostil inyecta respuestas falsas para desanonimizarte. La preocupación de privacidad es que las propias firmas pueden filtrar información sobre qué subdominios existen (mediante el llamado NSEC walking). Usa NSEC3 con opt-out, que la mayoría de los proveedores listados ofrecen por defecto, y obtendrás autenticación sin enumeración.

¿En qué se diferencia el DNS sin KYC de un resolutor privado como Quad9 o NextDNS?

Resuelven problemas opuestos. Los resolutores privados sirven para ocultar las consultas que tú, como usuario, haces a tu ISP y al operador del resolutor. El hosting DNS sin KYC sirve para ocultar la identidad del operador de un dominio frente a quienes consultan el lado autoritativo. Una configuración consciente de la privacidad usa ambos: resolución DNS cifrada en el cliente (DoH o DoT) al navegar y hosting DNS anónimo en el servidor al publicar.

¿Qué pasa si mi proveedor de DNS recibe un requerimiento legal?

Depende de la jurisdicción y de la política del proveedor. Los conocidos proveedores islandeses y suecos publican informes de transparencia y tienen un historial documentado de rechazar peticiones que no alcanzan el umbral legal local (normalmente una orden de un tribunal con jurisdicción sobre ellos). Los proveedores en EE. UU. o en Estados miembros grandes de la UE son más propensos a cumplir con citaciones. Lo que pueden entregar, sin embargo, está acotado por lo que recogieron — si la cuenta se abrió con un correo alias y se pagó en Monero, el conjunto de datos es genuinamente pobre.

¿Puedo migrar mi zona si un proveedor se vuelve hostil?

Sí, y deberías planearlo desde el primer día. Guarda un archivo de zona exportado (formato BIND) en una copia offline, refrescado cada vez que hagas cambios. Usa TTL cortos para que un cambio de servidor de nombres se propague en minutos en lugar de horas. Mantén una segunda cuenta en otro proveedor en otra jurisdicción con una zona mínima ya preparada. La migración se reduce entonces a importar la zona y actualizar los registros NS en el registrador.

Conclusión

El hosting DNS sin KYC en 2026 es una opción madura, asequible y operativamente sólida — no algo marginal. Los proveedores anteriores demuestran que una postura seria de privacidad es compatible con fundamentos técnicos fuertes como DNSSEC, anycast y los tipos de registro modernos. El árbol de decisión es directo: elige el referente de privacidad (Njalla) si puedes permitírtelo y quieres la separación más limpia entre titular y operador; elige un proveedor con foso constitucional (1984, FlokiNET, OrangeWebsite) para contenido periodístico o polémico donde la jurisdicción es lo que más pesa; elige un proveedor de valor (IncogNET, BuyVM) para propiedades de bajo riesgo; elige un servicio minimalista basado en token para experimentos efímeros.

Sea cual sea tu elección, financia la relación con Monero en lugar de arrastrar contaminación KYC desde una cartera custodiada o un exchange. Si actualmente tienes Bitcoin, USDT u otros activos y necesitas convertirlos a XMR sin crear cuenta en ningún sitio, ejecuta el swap a través de MoneroSwapper y haz que la salida se entregue directamente a una cartera que controles. El host de DNS nunca verá más que un pago, tu identidad se queda fuera de toda base de datos y el resto de tu pila hereda la misma propiedad por construcción.