Fundamentos y seguridad del sistema de nombres de dominio (DNS)

1. Introducción al DNS

El sistema de nombres de dominio (Domain Name System o DNS) constituye uno de los pilares fundamentales de internet. Su función principal es actuar como un directorio telefónico global para la red, encargándose de traducir los nombres de dominio que resultan legibles para los seres humanos, como puede ser iescelia.org, en las direcciones IP numéricas que las computadoras necesitan para establecer comunicación, como por ejemplo 154.56.135.51.

A pesar de su carácter crítico para el funcionamiento de la red, el diseño original del protocolo presentado en el año 1983 carecía de mecanismos intrínsecos de seguridad o de cifrado de la información. Esta carencia fundamental ha hecho necesaria una evolución técnica constante para que el sistema pueda resistir las crecientes amenazas a las que se enfrenta en la actualidad.

2. Funcionamiento y jerarquía del DNS

El sistema funciona como una base de datos de carácter distribuido y jerárquico. En lugar de depender de un único servidor centralizado, la infraestructura se organiza de forma global mediante una serie de niveles estructurados.

2.1 Estructura jerárquica

Servidores raíz (root servers): Estos servidores se representan mediante un punto implícito que se sitúa al final de cada nombre de dominio, como ocurre en iescelia.org.. Existen 13 direcciones IP lógicas asignadas a estos servidores a nivel mundial, las cuales son gestionadas por diversas organizaciones internacionales. Su función técnica es indicar qué servidores tienen la responsabilidad de gestionar cada uno de los dominios de nivel superior (top-level domains o TLD).
Servidores de dominio de nivel superior (TLD, Top-Level Domains): Tienen la responsabilidad de gestionar las extensiones globales más comunes, como .com o .org, así como los dominios territoriales asignados a cada país, como es el caso de .es.
Servidores autoritativos (authoritative servers): Actúan como la fuente final de información veraz para un dominio concreto. Estos equipos almacenan los registros reales que definen el destino del tráfico, como son los registros de tipo A, AAAA o MX entre otros muchos.
Resolutores (recursive resolvers): Son los servidores que suelen proporcionar los proveedores de servicios de internet (ISP) o grandes entidades públicas como Cloudflare. Su cometido es realizar todo el proceso de búsqueda en nombre del cliente y almacenar las respuestas obtenidas en una memoria temporal (caché) para acelerar futuras consultas.

2.2 Protocolos de transporte

UDP (User Datagram Protocol) a través del puerto 53: Es el protocolo que se utiliza en la inmensa mayoría de las consultas estándar debido a que ofrece una gran rapidez y eficiencia en la transmisión.
TCP (Transmission Control Protocol) a través del puerto 53: Se emplea en situaciones específicas donde la respuesta a una consulta es demasiado grande para caber en un único paquete del protocolo UDP, lo cual se indica mediante el marcador de truncamiento identificado como TC. También se utiliza de forma habitual para realizar transferencias de zonas completas entre diferentes servidores.
Mecanismos de extensión para DNS (EDNS): Este estándar permite el envío de paquetes de mayor tamaño a través de UDP y añade nuevas funcionalidades de seguridad, como las galletas de DNS (DNS Cookies) que ayudan a prevenir ataques basados en la suplantación de identidad o en la amplificación de tráfico.

2.3 Ciclo de una consulta DNS

Cuando se realiza una consulta, esta puede seguir dos modelos principales denominados recursivo e iterativo.

Consulta recursiva: En este modelo, el equipo del cliente solicita al resolutor que localice la dirección IP de un dominio y que no devuelva una respuesta hasta que el proceso haya concluido con éxito. Por tanto, el resolutor asume toda la carga del trabajo de búsqueda.
Consulta iterativa: Bajo este esquema, el resolutor pregunta primero a los servidores raíz sobre la ubicación de un dominio. La raíz responde indicando que no conoce la dirección final pero que el resolutor debe preguntar a los servidores encargados de gestionar el dominio de nivel superior correspondiente. El proceso se repite nivel a nivel hasta alcanzar el servidor que tiene la autoridad final sobre el dominio consultado.

3. La evolución de la seguridad: DNSSEC

El diseño original del protocolo era vulnerable a diversas formas de agresión, entre las que destaca el envenenamiento de la caché (Cache Poisoning), una técnica mediante la cual un atacante consigue inyectar una dirección IP falsa en la memoria de un servidor resolutor.

3.1 ¿Qué es DNSSEC?

Las extensiones de seguridad para el sistema de nombres de dominio (DNSSEC) aportan capas de integridad y de autenticidad al sistema mediante el empleo de firmas criptográficas. Es fundamental destacar que esta tecnología no cifra el contenido de los datos, por lo que la privacidad de la consulta no se ve incrementada, pero sí garantiza que la información recibida no ha sido alterada por un tercero durante su tránsito.

3.2 Componentes técnicos de DNSSEC

Firma de registro de recurso (RRSIG): Consiste en la firma digital que se aplica puntualmente sobre un registro del sistema de nombres.
Clave de DNS (DNSKEY): Representa la clave pública que el servidor resolutor debe utilizar para comprobar que la firma digital recibida es auténtica.
Firmante de delegación (DS): Se trata de una huella digital o resumen de la clave pública (hash) que el dominio de nivel inferior entrega al superior para establecer lo que se conoce como una cadena de confianza oficial.
Registros NSEC y NSEC3: Estos elementos proporcionan una prueba autenticada de que un dominio solicitado no existe en la realidad, lo que sirve para anular los ataques basados en la denegación de existencia.

4. Privacidad y cifrado: DoT, DoH y DoQ

Puesto que el sistema tradicional funciona mediante el envío de texto plano, cualquier intermediario como un ISP o un organismo gubernamental puede monitorizar o censurar las consultas.

Protocolo	Definición técnica	Puerto	Ventajas principales	Inconvenientes
DNS sobre TLS (DoT)	Realiza el cifrado de las consultas mediante el estándar de seguridad TLS.	853	Es un método eficiente que resulta fácil de identificar y de filtrar por parte de los administradores de una red corporativa.	Al cursar tráfico por un puerto dedicado, puede ser bloqueado de forma sencilla.
DNS sobre HTTPS (DoH)	Encapsula las peticiones de resolución dentro del tráfico web convencional HTTPS.	443	Resulta extremadamente difícil de bloquear o de diferenciar del resto del tráfico web, lo que aporta una privacidad superior.	Hace mucho más compleja la monitorización de seguridad en el ámbito empresarial.
DNS sobre QUIC (DoQ)	Emplea el protocolo de transporte QUIC basado en HTTP/3.	853	Elimina problemas técnicos como el bloqueo de cabeza de línea y permite una resolución más rápida en transiciones entre redes diferentes.	Se encuentra todavía en una fase temprana de adopción tecnológica.
DNS sobre TLS Autenticado (ADoT)	Variante de DoT que hace uso de certificados mutuos (mTLS).	853	Permite autenticar de forma simultánea tanto al servidor como al equipo cliente, siendo ideal para empresas.	Presenta una complejidad de configuración muy superior a los otros métodos.

Protocolo

Definición técnica

Puerto

Ventajas principales

Inconvenientes

DNS sobre TLS (DoT)

Realiza el cifrado de las consultas mediante el estándar de seguridad TLS.

853

Es un método eficiente que resulta fácil de identificar y de filtrar por parte de los administradores de una red corporativa.

Al cursar tráfico por un puerto dedicado, puede ser bloqueado de forma sencilla.

DNS sobre HTTPS (DoH)

Encapsula las peticiones de resolución dentro del tráfico web convencional HTTPS.

443

Resulta extremadamente difícil de bloquear o de diferenciar del resto del tráfico web, lo que aporta una privacidad superior.

Hace mucho más compleja la monitorización de seguridad en el ámbito empresarial.

DNS sobre QUIC (DoQ)

Emplea el protocolo de transporte QUIC basado en HTTP/3.

853

Elimina problemas técnicos como el bloqueo de cabeza de línea y permite una resolución más rápida en transiciones entre redes diferentes.

Se encuentra todavía en una fase temprana de adopción tecnológica.

DNS sobre TLS Autenticado (ADoT)

Variante de DoT que hace uso de certificados mutuos (mTLS).

853

Permite autenticar de forma simultánea tanto al servidor como al equipo cliente, siendo ideal para empresas.

Presenta una complejidad de configuración muy superior a los otros métodos.

5. El DNS en el panorama de la ciberseguridad

Las estadísticas actuales muestran que una inmensa mayoría del software malicioso (malware) utiliza el sistema de nombres en alguna de las fases de su operación, por lo que el bastionado de este servicio es una tarea vital.

5.1 Amenazas comunes

Envenenamiento de caché (Cache Poisoning): Inyección de respuestas fraudulentas mediante la predicción de los identificadores de transacción. En la actualidad se mitiga mediante la aleatorización de los puertos de origen y el uso de DNSSEC.
Comunicaciones de mando y control (C2): El código malicioso realiza consultas a dominios específicos para recibir instrucciones de sus creadores.
Exfiltración de datos mediante tunelización (DNS Tunneling): Envío de información robada al exterior camuflándola dentro de subdominios, de manera que el tráfico aparenta ser una consulta normal y consigue evadir las reglas de los cortafuegos tradicionales.
Algoritmos de generación de dominios (DGA): El software dañino es capaz de generar cientos de direcciones nuevas cada día para evitar que las listas de bloqueo estáticas resulten efectivas.

5.2 Mecanismos de defensa activa

DNS protector (PDNS): Servicios que analizan las peticiones en tiempo real y deniegan el acceso si detectan que se intenta conectar con dominios clasificados como peligrosos.
Cortafuegos de DNS (DNS Firewall): Representa una implementación local que suele situarse en el resolutor de la empresa para aplicar sus propias políticas de filtrado de contenidos.
Zonas de política de respuesta (RPZ): Estándar técnico que permite a los encargados del sistema alterar la respuesta que se entrega al usuario por motivos de seguridad. Por ejemplo: si un equipo interno intenta contactar con un dominio infectado, el sistema puede devolver la dirección IP de un servidor de sumidero (sinkhole) controlado por la organización.

6. Implementación práctica: bastionado de DNS en pfSense

En entornos que utilizan el sistema operativo pfSense, se emplea habitualmente el servidor Unbound para desplegar estas medidas de protección.

6.1 Estrategias de control en pfSense

En una red empresarial es imperativo obligar a todos los dispositivos a utilizar el servidor local de la organización y no servicios externos que podrían permitir la evasión de las políticas de seguridad.

Redirección mediante NAT en el puerto 53: Esta técnica captura cualquier solicitud de resolución que no tenga como destino el servidor del propio cortafuegos y la redirige de manera forzosa hacia el servicio local.
Bloqueo del tráfico en el puerto 853: Al cerrar la comunicación en este puerto dedicado al cifrado, se obliga a los dispositivos a intentar una conexión convencional por el puerto 53, donde entrará en funcionamiento la regla de redirección anterior.
Filtrado de peticiones sobre HTTPS (DoH): Dado que este protocolo circula por el puerto web estándar, no es posible bloquearlo de forma genérica sin interrumpir la navegación. Por ello, se hace necesario el uso de herramientas como pfBlockerNG para denegar el acceso a las direcciones IP conocidas de los servidores públicos de este tipo.

7. Referencias

RFC 1035. Domain Names. Implementation and Specification
What is DNS?
How does DNS works
What is a DNS Resolver
What is an Authoritative DNS Server
What is DNSSEC?
How does DNSSEC work?
What is DNS Cache Poisoning?
What is DNS over TLS (DoT)?
What is DNS over HTTPS (DoH)?
What is DNS over QUIC (DoQ)?
Authenticated DNS over TLS (ADoT)
Why DNS is critical for cybersecurity?
How malware uses DNS?
What is Protective DNS?
What is a DNS Firewall?
What is RPZ?
DNS over HTTPS vs. TLS
DNS over QUIC (DoQ)
Privacidad en DNS. AEPD. Agencia Española de Protección de Datos.
Implementación y Análisis de los Mecanismos de Seguridad de DNS. Matías Pardo Fernández Henarejos.
DNSSEC. De 0 a 100 en una hora. Luciano Minuchin.
Anatomy of DNS: Investigating Vulnerabilities and Countermeasures from Clients to Authoritative Servers. Jonas Bushart.

8. Licencia

Licencia CC BY-NC-ND 4.0

Esta página forma parte del curso Bastionado de Redes y Sistemas © 2026 de José Juan Sánchez Hernández y su contenido se distribuye bajo una licencia Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International.

Esta licencia exige que quienes reutilicen el material otorguen el debido crédito al autor. Permite copiar y redistribuir el material en cualquier medio o formato, únicamente en su forma original, y solo para fines no comerciales.