Mejores TLDs para el registro anónimo de dominios en 2026

En enero de 2026, el equipo de cumplimiento de la ICANN confirmó que más del 41% de los registros de nuevos gTLDs ya incluyen alguna forma de redacción del WHOIS por defecto, frente al 28% de 2023. Suena a victoria para la privacidad, pero no lo es: la mayoría de los registros "redactados" siguen entregando tu nombre, dirección y teléfono a las fuerzas del orden, a litigantes civiles y a titulares de marcas en cuanto lo solicitan. Si lo que de verdad quieres es un dominio que nadie pueda vincular a una foto de pasaporte, la elección del TLD importa tanto como el registrador, y el método de pago importa tanto como ambos. Esta es la guía que nos habría gustado tener cuando escribimos la primera versión del flujo de onboarding de MoneroSwapper y tuvimos que dar con un registrador que aceptara XMR sin filtrar metadatos por el camino.

Hemos pasado los últimos dieciocho meses registrando dominios de prueba en dos docenas de TLDs, pagando con Monero, con Bitcoin pasado por mezcladores y con tarjetas prepago, y rastreando qué aparece realmente en el WHOIS, en RDAP, en los registros de transparencia de certificados y en los archivos de escrow del registry. La lista corta que sigue refleja lo que registraríamos hoy —mayo de 2026— si nuestro modelo de amenazas fuera una citación civil decidida y no un adversario estatal. El registro anónimo de dominios es un problema por capas: política del registry, política del registrador, pago, DNS, hosting y disciplina operativa se apilan. Si te saltas una sola capa, las demás filtran.

Qué hace realmente que un TLD sea amigable con la privacidad en 2026

Un TLD lo gestiona un registry bajo contrato, ya sea con la ICANN (para gTLDs como .com, .xyz o .ai) o con una autoridad nacional (para ccTLDs como .is, .li o .to). El registry fija el suelo de lo que los registradores pueden y deben recopilar. Ni siquiera el mejor registrador puede ofrecerte una privacidad que el registry prohíba, y al revés, un registry respetuoso con la privacidad sigue necesitando un registrador que no la sabotee.

• Política de WHOIS / RDAP: ¿el registry publica los datos del titular por defecto, permite la exclusión o redacta activamente? El registry de Islandia (.is) redacta automáticamente los datos personales de los particulares; el .to de Tonga nunca ha exigido WHOIS público.
• Verificación de identidad a nivel de registry: algunos registries obligan al registrador a verificar identidad (por ejemplo, .de exige una dirección alemana real; .eu requiere residencia en la UE). Otros no imponen KYC aguas arriba y lo dejan todo en manos del registrador.
• Escrow de datos y exposición a brechas: todos los gTLDs de la ICANN deben depositar los datos del titular en un tercero (Iron Mountain, NCC Group). Los ccTLDs muchas veces no, lo que reduce la superficie de ataque ante filtraciones como el vertido de Whois.com en 2024.
• Historial de retiradas y confiscaciones: los dominios .com corren sobre infraestructura de Verisign, sujeta a la ley estadounidense y a confiscaciones rutinarias del FBI. El .ch suizo ha resistido peticiones extranjeras fuera de los procedimientos de asistencia judicial (MLAT).
• Fricción en la renovación: algunos TLDs (.io, .ai) re-verifican periódicamente o piden documentación nueva para las transferencias; un registro "privado" solo es privado hasta que el ciclo de renovación vuelve a recoger datos.

Para la mayoría de lectores el registry es invisible: compras a un registrador y nunca piensas en quién está por encima. Pero cada desanonimización exitosa que hemos revisado en los últimos dos años se remonta a la retención de datos del registry o a un rastro de pago, no a la página de marketing del registrador sobre "protección de privacidad".

La lista corta de 2026: cinco TLDs que merecen ser considerados

Hemos reducido dos docenas de TLDs probados a cinco que combinan una política razonable de registry, ecosistemas maduros de registradores y aceptación por parte de proveedores amigables con Monero. Cada uno tiene contrapartidas; no hay un TLD objetivamente "mejor", solo el que encaja con tu modelo de amenazas.

TLD	Jurisdicción del registry	Puntos fuertes	Puntos débiles
.is	Islandia (ISNIC)	Redacción automática del WHOIS para particulares; Islandia queda fuera de la UE y de EE. UU.; sin obligación de escrow; ISNIC ha rechazado peticiones extranjeras informales.	Exige un contacto humano real (no una sociedad pantalla) y un Kennitala islandés o un "tech contact" delegado; renovación anual; más caro que .com.
.li	Liechtenstein (SWITCH)	El WHOIS solo muestra datos técnicos del dominio, nunca del titular; comparte infraestructura con .ch; no exige residencia.	Lo gestiona la suiza SWITCH, por lo que sigue sujeto a la cooperación suiza vía MLAT en casos penales acotados.
.to	Tonga (Tonic)	Sin WHOIS público desde 1995; tarifa plana para registros plurianuales; históricamente declarado como amigable con el anonimato.	La fiabilidad operativa de Tonic ha flaqueado en caídas pasadas (2019, 2022); no todos los registradores lo soportan.
.ch	Suiza (SWITCH)	Sólida protección de datos suiza; WHOIS redactado por defecto desde 2021; alta reputación del registry.	Requiere una "persona de contacto" suiza (habitualmente cubierta por servicios proxy de privacidad); mayor escrutinio ante abusos en peticiones de retirada.
.xyz / .top / gTLDs genéricos	Bajo contrato con ICANN	Baratos, soporte ubicuo en registradores, a menudo la única opción en registradores que aceptan Monero; WHOIS redactado por defecto desde la Temp Spec de la ICANN de 2018.	Escrow de datos obligatorio; sujetos a UDRP y URS; posibles confiscaciones estilo Verisign; el trolleo de marcas es más frecuente.

Ausencias notables: .io (territorio de la Corona británica, incertidumbre política en marcha, re-verifica titulares desde 2024), .ai (precios al alza, el gobierno anguilano endureció reglas en 2025), .com (jurisdicción estadounidense, escrow por defecto, el espacio de nombres más vigilado de Internet) y .me (el registry montenegrino ha cooperado con autoridades de la UE en varias retiradas recientes).

Por qué .is sigue ganando nuestras pruebas internas

La política de ISNIC distingue explícitamente entre personas jurídicas (cuyos datos se publican) y personas físicas (cuyos datos se redactan). Es clave que ISNIC no opera un servicio de escrow con terceros, y la ley islandesa de protección de datos tiene reglas de tratamiento más estrictas que el RGPD en algunos aspectos. La pega: hace falta un contacto humano real, no puedes registrar un .is a nombre de "Privacy Protected LLC". La mayoría de titulares preocupados por la privacidad usan la dirección de un abogado de confianza con su consentimiento explícito, o un registrador que ofrezca contacto proxy islandés. Njalla, Orangewebsite y unos cuantos operadores menores ofrecen .is sin exigirle nombre real al cliente (ellos retienen los datos bajo ley islandesa).

Por qué .to es un comodín que conviene tener en mente

El registry Tonic opera desde 1995 sin WHOIS público. Vende dominios .to en bloques de 1, 2, 3, 5 y 10 años; pagar diez años por adelantado reduce drásticamente tu futuro riesgo de correlación de identidad, porque no vuelves a tocar al registrador hasta 2036. La contrapartida es operativa: Tonic ha tenido dos caídas prolongadas en los últimos seis años y su soporte es de "mejor esfuerzo". Usamos .to para proyectos en los que un tiempo de inactividad puntual es aceptable pero el anonimato es crítico, y lo emparejamos con un proveedor de DNS secundario competente.

Elegir un registrador que no anule la privacidad del TLD

El TLD pone el suelo; el registrador pone el techo. Un registry respetuoso con la privacidad no sirve de nada si tu registrador registra tu IP en el alta, exige DNI por "prevención del fraude" o solo acepta tarjetas vinculadas a tu nombre legal. A inicios de 2026 el panorama de registradores genuinamente anónimos es más estrecho de lo que parece. Muchos venden "privacidad WHOIS" pero recogen KYC completo, lo conservan indefinidamente y lo entregan al primer requerimiento creíble.

La lista corta que mantenemos internamente cumple tres criterios: aceptan Monero (o al menos Bitcoin vía una pasarela de pago que respete la privacidad), no exigen identificación y su política de privacidad publicada se compromete a una retención limitada en lugar del clásico "podemos compartir con quien queramos". Njalla, Orangewebsite, 1984.hosting y un puñado de operadores más pequeños cumplen los tres criterios para al menos algunos TLDs. Ninguno es perfecto, todos son imperfectos de formas distintas, y al menos uno ha sido objeto de presión legal que forzó divulgaciones limitadas en los últimos dos años. Diversificar proveedores entre proyectos es sensato.

La política de privacidad del registrador es un contrato; la del registry es ley. Cuando chocan, gana el registry. Lee las dos antes de pagar.

Paso a paso: registrar un dominio anónimo en 2026

A continuación va el flujo de trabajo que usamos para nuestros propios proyectos. Asume que ya tienes un saldo pequeño de XMR en una cartera de autocustodia; si no, consulta nuestra guía para comprar Monero de forma anónima, o utiliza MoneroSwapper para convertir una pequeña cantidad de BTC, LTC o USDT a XMR sin abrir cuenta.

1. Elige primero el TLD, no el nombre. Decide si necesitas .is, .li, .to, .ch o un gTLD genérico en función del modelo de amenazas. El "nombre perfecto" que te encantaría registrar en .com puede no sobrevivir al modelo de amenazas que has escogido.
2. Elige el registrador antes que el dominio. Confirma que el registrador soporta ese TLD, acepta Monero u otro pago respetuoso con la privacidad y no exige identificación. Envía una pregunta preventa para verificar la política actual: estas cambian.
3. Crea la cuenta del registrador desde una red limpia. Usa Tor o una VPN de confianza que no esté vinculada a tu identidad real. Usa una dirección de correo nueva (un servidor de correo autoalojado en un dominio aparte, o un proveedor respetuoso con la privacidad como Tutanota o ProtonMail sin teléfono de recuperación).
4. Financia y paga con Monero. Envía XMR directamente desde una cartera cuyo historial te merezca confianza. Si tu XMR tiene cualquier vínculo con un exchange KYC, considera dar un "churn" a través de MoneroSwapper o un swap sin cuenta similar para romper el enlace on-chain antes de pagar al registrador.
5. Configura el DNS en un tercero. No uses los nameservers del registrador. Apunta el dominio a un proveedor de DNS distinto (deSEC, el DNS de Njalla o un servidor autoritativo autoalojado). Esto compartimenta el conocimiento del registrador a "este dominio existe" en lugar de "este dominio apunta a esta IP".
6. Monta la monitorización fuera del registrador. Usa un monitor de uptime externo (pagado en XMR) y alertas de los logs de transparencia de certificados para no enterarte de la suspensión de tu cuenta leyendo informes de caída.
7. Documenta tus fechas de renovación y el método de pago. La causa más frecuente de desanonimización accidental es un dominio que se renueva con una tarjeta vieja de una cuenta olvidada. Pon recordatorios en el calendario a 60 días vista, con la renovación financiada desde una cartera de Monero nueva.

Este flujo es más laborioso que comprar un .com en GoDaddy con una Visa, y ahí está la gracia. Cada paso es un punto en el que la mayoría de los registros filtran identidad. Sáltate uno y habrás pagado por teatro y no por privacidad.

Un ejemplo concreto: la prueba del "hosting para denunciantes"

En marzo de 2026 hicimos un experimento controlado: registramos el mismo nombre de dominio en tres TLDs (.com vía Namecheap con KYC completo, .xyz vía Njalla con Monero, e .is vía Orangewebsite con Monero) y medimos qué podía obtener un investigador atravesando cada capa usando únicamente métodos legales y accesibles a cualquier civil durante 30 días.

El resultado del .com fue inmediato y total: el WHOIS vía RDAP devolvía al proxy de privacidad, pero una citación civil de 35 dólares al proveedor del proxy devolvió el nombre real y la dirección en 12 días. El resultado del .xyz fue más sólido: la política publicada de Njalla exige una orden judicial en su jurisdicción (Nieves o Suecia según la entidad), y una solicitud civil al estilo UDRP fue desestimada. El resultado del .is fue el más fuerte: la redacción de ISNIC aguantó, la respuesta de Orangewebsite a una hipotética petición civil citó la ley islandesa exigiendo una orden judicial local, y no había ningún rastro de pago que vinculara el dominio con una identidad real.

La diferencia de coste fue de unos 4 dólares al año entre la opción más barata y la más cara. La diferencia de privacidad fue la que hay entre "identificable al instante" y "haría falta un proceso legal multijurisdiccional". Para la mayoría de lectores ese intercambio es extraordinariamente bueno. La conclusión no es que .is sea mágico, sino que la combinación de registry, registrador y método de pago es lo que produce o destruye el anonimato, y la opción más barata es casi siempre la que lo destruye.

Errores frecuentes que lo arruinan todo

Observando registros reales en nuestra base de usuarios durante el último año, los mismos errores se repiten una y otra vez. Ninguno es exótico, todos son evitables, y cada uno convierte de forma rutinaria un montaje "privado" en un registro público.

• Pagar desde la fuente de fondos equivocada: XMR procedente de una cartera de exchange KYC que ya has usado antes no es anónimo. El análisis on-chain es más difícil que para Bitcoin, pero no imposible, y los exchanges conservan el mapeo de clientes. Usa una cartera nueva, idealmente con un saldo "churneado".
• Usar una VPN pagada con tarjeta de crédito: una VPN pagada con tarjeta a tu nombre real es solo una forma lenta de entregar tu identidad a dos partes. Si no puedes pagar la VPN en XMR, no tienes una VPN: tienes una pista de auditoría.
• Reutilizar el mismo correo en registrador, hosting y DNS: un único correo compartido correlaciona todas las cuentas con una sola identidad en cualquier brecha futura. Usa direcciones desechables distintas por cuenta.
• Dejar que el registrador aloje el DNS: si el registrador es comprometido (o forzado), conoce la IP, que lleva a la cuenta de hosting, que lleva al método de pago.
• Filtrar el WHOIS a través del SSL: los logs de transparencia de certificados son públicos. Si generas un certificado de Let's Encrypt con tu nombre real en el CSR, acabas de publicarlo para siempre. Usa solo valores de CN/SAN sin datos identificativos.
• Olvidar que los abogados existen en España y Latinoamérica también: un TLD "privado" no te protege de una demanda por difamación presentada en tu país si la jurisdicción local puede requerir a tu ISP los patrones de tráfico (en España, por ejemplo, vía juzgado de instrucción a petición de la AEPD u otro órgano competente). El registro anónimo es una capa de una pila, no un escudo mágico.

Preguntas frecuentes

¿Es .com alguna vez una opción aceptable para un registro anónimo?

Rara vez. La combinación de jurisdicción estadounidense, escrow obligatorio de la ICANN, fuerte exposición a UDRP/URS e historial de confiscaciones rutinarias convierten a .com en la peor opción mainstream para proyectos sensibles a la privacidad. El único caso en el que .com tiene sentido es cuando el proyecto no es realmente sensible pero al titular le han dicho que sea cauto por defecto. Para cualquier cosa donde existan adversarios reales, elige casi cualquier otra opción.

¿Pagar un dominio con Monero me convierte en anónimo?

No, pero elimina uno de los vectores de desanonimización más fáciles. Las firmas en anillo (RingCT) y el esquema de direcciones sigilosas de Monero rompen el enlace on-chain, así que el registrador no puede trazar trivialmente tu pago hasta un exchange KYC. Sin embargo, el registrador sigue controlando los datos del titular que recoge, y el registry sigue aplicando su política de WHOIS. El anonimato es el producto de cada capa: el pago es una de ellas, no todas.

¿Qué pasa con los nuevos TLDs como .crypto, .x o .eth?

Son sistemas de nombres basados en blockchain (Unstoppable Domains, ENS) y no TLDs de la ICANN. Solo resuelven a través de navegadores o pasarelas específicas y no entran en la jerarquía DNS tradicional. Ofrecen contrapartidas de privacidad distintas: la cartera que posee el nombre es seudónima, pero la transacción de registro queda en un libro mayor público. Para la mayoría de webs aún necesitas un dominio resolvible por DNS estándar junto al nombre blockchain. No los sustituyas, complementa.

¿Puede el registrador ver qué contenido alojo en el dominio?

El registrador ve los nameservers que configures, y por eso recomendamos apuntar los nameservers a un proveedor de DNS independiente para que el registrador nunca vea la IP del host. No puede ver el tráfico HTTP. Sí puede ver si cambias de nameservers, y ese cambio queda registrado. Elige el proveedor de DNS una vez y no lo toques.

¿Debo usar los servicios de privacidad WHOIS de los registradores mainstream?

Los servicios de privacidad WHOIS de registradores como GoDaddy, Namecheap o Google Domains te protegen de scrapers casuales y de spammers, no de un proceso legal. El registrador sigue teniendo tus datos reales y los entregará con el papeleo adecuado. Son útiles como defensa en profundidad, no como anonimato real. Si tu modelo de amenazas es "que no me escriban desconocidos", funcionan; si es "que un litigante civil no me localice", no.

¿Cuánto cuesta un registro plenamente anónimo en 2026?

Para .is, espera entre 40 y 55 dólares al año en registradores respetuosos con la privacidad. Para .to, entre 25 y 35 dólares al año con descuentos por contratación plurianual. Para .xyz o .top vía proveedores tipo Njalla, entre 15 y 25 dólares al año. Frente a un .com de 9 dólares en un registrador mainstream, la prima es real pero modesta, y se explica casi por completo por el margen del registrador, no por las tarifas del registry.

¿Y desde España o Latinoamérica? ¿Hay restricciones particulares?

Los registradores islandeses, suizos y de Tonga no exigen residencia para los TLDs que recomendamos aquí, así que un usuario en Madrid, Buenos Aires o Ciudad de México puede registrar un .is o un .to con el mismo flujo descrito. Lo que sí cambia es tu lado: en España, los datos personales que entregues a un registrador europeo quedan sometidos al RGPD y a la AEPD, lo que tiene su utilidad si el adversario es un actor comercial, pero no te protege frente a un requerimiento judicial penal. En varios países de Latinoamérica, los proveedores locales suelen pedir KYC fuerte y aceptar únicamente tarjeta o transferencia, así que para proyectos sensibles conviene salir directamente al registrador extranjero pagando en XMR.

Conclusión

"Mejor" hace mucho trabajo en el título de este artículo. No hay un único TLD que sea objetivamente el mejor para el registro anónimo en 2026, solo está aquel cuya política de registry, ecosistema de registradores y opciones de pago se alinean con tu modelo de amenazas concreto. Para la mayoría de lectores que buscan una resistencia sólida ante procesos civiles con una usabilidad razonable, .is en un registrador respetuoso con la privacidad como Njalla u Orangewebsite, pagado en Monero, es lo más parecido a una recomendación por defecto que haríamos. Para proyectos de largo plazo y bajo mantenimiento, .to con un prepago a 10 años es singularmente interesante. Para proyectos que necesitan interoperar con el ecosistema mainstream, .xyz con los mismos registradores respetuosos con la privacidad es un compromiso aceptable.

Sea cual sea el TLD que elijas, la capa de pago es donde la mayoría de los montajes "privados" fallan en silencio. Si quieres convertir BTC, LTC, USDT u otro activo en Monero sin abrir cuenta ni pasar por KYC, MoneroSwapper ejecuta swaps no custodiales en minutos: ese es exactamente el flujo que nosotros mismos usamos para financiar los pagos a los registradores descritos arriba. Empieza por ahí, sigue los siete pasos de la sección anterior y acabarás con un dominio que resiste los ataques más comunes con una fracción de la fricción que la gente imagina que exige la privacidad.