Cómo Recuperar la Privacidad Real de tu Wi-Fi en Casa con AT&T / Xfinity + Flint 2

Si tu iPhone muestra “Privacy Warning: This network is blocking encrypted DNS traffic” (o “This network is blocking encrypted DNS”), significa que la red está forzando DNS sin cifrar.
Traducción: tu proveedor (AT&T o Xfinity) puede ver los nombres de dominios que consultan todos los dispositivos conectados a tu Wi-Fi, no solo el iPhone. Aunque el contenido va por HTTPS, los dominios + horarios + frecuencia quedan expuestos.

Impacta a toda la red: teléfonos, TVs, consolas, asistentes de voz, cámaras, domótica… Si está en tu Wi-Fi, no tiene privacidad de DNS.

¿Por qué ahora?

• iOS 17–18 endureció la detección y te avisa si la red bloquea DoH/DoT (DNS cifrado).
• AT&T ha activado por defecto funciones tipo DNS forzado, DNS Error Assist y ActiveArmor (2024–2025).
• Xfinity impulsa xFi Advanced Security e inspección/redirección de DNS.
• En Android, salvo que configures “DNS privado”, no verás alerta (pero la exposición existe igual).

¿Qué puede inferirse con solo DNS?

• Horarios y rutinas del hogar
• Servicios sensibles (banca, salud, trabajo remoto, educación)
• Intereses, poder adquisitivo, perfiles familiares
  En EE. UU., los ISP pueden monetizar estos datos.

2) Estrategia de solución (visión general)

1. Dejar el módem del ISP solo como “puerta de enlace” (no como router de tu red).
2. Activar Bridge Mode (Xfinity) o IP Passthrough (AT&T).
3. Usar un router propio (recomendado GL.iNet Flint 2) que imponga DNS cifrado para toda la casa y, si quieres, VPN a nivel de red.

Resultado: el ISP deja de ver tus dominios; la red la controlas tú.

3) ¿Por qué el GL.iNet Flint 2 (GL-MT6000)?

• Privacidad centralizada: activa DoH/DoT para toda la casa.
• AdGuard Home integrado: bloquea rastreadores/anuncios a nivel de red (mejor que filtros del ISP).
• OpenWrt + hardware potente (ARM A73 Quad-Core): aguanta cifrado sin matar la velocidad.
• Wi-Fi 6/MU-MIMO: cobertura y estabilidad.
• Firewall/Reglas finas: puedes bloquear DNS clásico (53) para impedir fugas.
• VPN de router: si la activas, ocultas también IPs destino (no solo dominios).

Sale

GL.iNet Flint 2 (GL-MT6000) Wi-Fi 6 | 2×2.5G | VPN

Router Wi-Fi 6 de alto rendimiento (hasta 6 Gbps) con 2 puertos 2.5G, ideal para fibra. Potencia para juegos, streaming y trabajo remoto con WireGuard ~900 Mbps y OpenVPN ~880 Mbps. Incluye AdGuard Home para bloquear rastreadores/anuncios y admite decenas de dispositivos con total estabilidad. Configuración sencilla vía panel web. (Recomendado actualizar el firmware al inicio).

$139.99

¡Compra ahora en Amazon!

4) Requisitos previos

• Servicio AT&T con BGW210-700 o BGW320 / o Xfinity XB6/XB7/XB8.
• Router GL.iNet Flint 2 (GL-MT6000).
• 1 cable Ethernet: módem ISP (LAN) → Flint 2 (WAN).
• Acceso a paneles web de ambos dispositivos.

5) Configuración completa – AT&T (BGW210 / BGW320)

A. Entrar al panel de AT&T

1. Conéctate al Wi-Fi del módem de AT&T.
2. Navega a http://192.168.1.254.
3. Introduce el Device Access Code (en la etiqueta).

B. Apagar Wi-Fi del módem

• Home Network → Wi-Fi
  • 2.4 GHz → Off
  • 5 GHz → Off
  • Save

Evita interferencias y que el módem actúe como AP; tu Wi-Fi ahora será el del Flint 2.

C. Activar IP Passthrough (cede la IP pública al Flint 2)

• Firewall → IP Passthrough
  • Allocation Mode: Passthrough
  • Passthrough Mode: DHCPS-Fixed
  • Conecta el Flint 2 por su puerto WAN al LAN del AT&T para “ver” su MAC en la lista.
  • Passthrough Fixed MAC Address: elige el MAC WAN del Flint 2
  • Save/Apply → Restart del módem
• Conexión física definitiva: AT&T (LAN 1) → (WAN) Flint 2

D. Opcionales recomendados (cuenta/app de AT&T)

• Desactiva ActiveArmor/Smart Home Manager y DNS Error Assist para que no rehagan redirecciones.

6) Configuración completa – Xfinity (XB6 / XB7 / XB8)

A. Entrar al panel de Xfinity

1. Conéctate a su Wi-Fi o por cable.
2. Navega a http://10.0.0.1.
3. Usuario admin, contraseña password (o etiqueta del equipo).

B. Activar Bridge Mode

• Gateway → At a Glance → Bridge Mode → Enable
• Acepta el reinicio.

Bridge Mode apaga NAT y (normalmente) el Wi-Fi del equipo; el enrutamiento lo hará el Flint 2.

C. Conexión física

• Xfinity (LAN 1) → (WAN) Flint 2
• No conectes nada más al módem de Xfinity (evita doble NAT).

7) Configuración completa – Flint 2 (GL-MT6000)

(Válida en cualquier país/proveedor)

A. Acceso inicial y red local

1. Conéctate al Wi-Fi por defecto o por cable.
2. http://192.168.8.1 → crea contraseña admin.
3. Network → LAN
   • Cambia IP LAN a 192.168.50.1 (evita choques con 192.168.1.x de AT&T).
   • DHCP: 192.168.50.100–192.168.50.200
   • Save (reconecta a http://192.168.50.1).

B. Wi-Fi seguro del Flint 2

• Wireless
  • SSID(s) propios
  • WPA2/WPA3-Personal, AES, WPS: Off
  • En 5 GHz usa 80 MHz (o 40 MHz si hay congestión); en 2.4 GHz, 20 MHz.

C. DNS cifrado para toda la casa (recomendado: AdGuard Home)

1. Applications → AdGuard Home → Enable
2. Upstream DNS servers (DoH): https://cloudflare-dns.com/dns-query (alternativa fiable) https://dns.quad9.net/dns-query
3. Force clients to use router DNS (obliga a todos a pasar por AdGuard/DoH).
4. (Opcional avanzado) IPv6 Off si no vas a cifrar IPv6 de momento.
5. Save y Reboot del Flint 2.

D. (Muy recomendado) Bloquear DNS clásico (puerto 53)

• Firewall → Traffic Rules
  • Regla LAN→WAN para bloquear 53/TCP y 53/UDP.
  • Excepciones solo si hay equipos que requieran DNS sin cifrar.

E. (Opcional) VPN de router

• Si configuras una VPN (WireGuard/OpenVPN) en el Flint 2, además de ocultar dominios con DoH, ocultas IPs destino frente al ISP. Útil para evitar perfilado por SNI/IP.

8) Verificación: ¿cómo sé que ya nadie “husmea” mis dominios?

• En Flint 2 (Status → WAN): debes ver IP pública (no 192.168.1.x).
• iPhone
  • Ajustes → Wi-Fi → “Olvidar esta red” → reconectar.
  • El aviso “blocking encrypted DNS” debe desaparecer.
• Cualquier dispositivo
  • Abre la página de verificación del proveedor DNS (p. ej., Cloudflare “/help”) y confirma DoH: OK.
• Logs de AdGuard Home: verás consultas resolviéndose por DoH (y bloqueos de rastreadores funcionando).

9) Beneficios y trade-offs (claro y honesto)

Beneficios

• Privacidad real: el ISP no ve dominios consultados por tu hogar.
• Menos rastreo: AdGuard bloquea analytics/ads a nivel de red.
• Control total: reglas granulares, listas blancas/negras.
• Mejor experiencia: menos anuncios, menos telemetría, menos ruido.

Trade-offs

• Controles parentales del ISP o “asistentes” (ActiveArmor, xFi Security) pueden dejar de funcionar (usualmente no los necesitas si usas AdGuard).
• Algunos equipos muy viejos podrían necesitar excepción si no soportan bien DNS forzado.
• Si activas VPN a nivel de router, revisa el throughput (el Flint 2 es potente, pero todo cifrado consume CPU).

10) Problemas típicos y soluciones rápidas

• El Flint 2 no recibe IP pública
  • Revisa IP Passthrough (AT&T) o Bridge Mode (Xfinity).
  • Reinicia módem primero, luego Flint 2; confirma MAC WAN seleccionado (AT&T).
• Sigue saliendo el aviso en iPhone
  • Olvida/red Wi-Fi y reconecta.
  • Asegúrate de DoH activo y bloqueo 53 aplicado.
  • Verifica hora correcta (TLS exige hora del sistema correcta).
• Se “cae” AdGuard por listas enormes
  • Reduce listas; mantén firmware actualizado; empieza con listas recomendadas.

11) Modelo de seguridad: qué sí protege y qué no

• Protegido: dominios consultados (DNS), rastreadores/anuncios, telemetría básica.
• No protegido solo con DoH: IPs destino (el ISP podría mapear por IP/SNI).
• Protección máxima: DoH + VPN de router (cubre dominios e IPs).

Resumen final

• Ese aviso en iPhone es real: tu ISP está forzando DNS sin cifrar.
• Afecta a toda tu casa, incluso si no usas iPhone.
• Solución duradera y limpia: Bridge/Passthrough + Flint 2 + DoH (y bloqueo 53)
• Resultado: privacidad doméstica real y una red bajo tu control.