DNSSEC
Seguridad criptográfica para el DNS
DNSSEC (Domain Name System Security Extensions) es un conjunto de extensiones del protocolo DNS que añade firmas digitales criptográficas a los registros DNS. Su objetivo es proteger a los usuarios de ataques que manipulan las respuestas DNS para redirigirlos a sitios fraudulentos.
Comprueba el estado DNSSEC de cualquier dominio con nuestra herramienta
Comprobar DNSSEC → ¿Qué problema resuelve DNSSEC?
El protocolo DNS original fue diseñado sin mecanismos de seguridad. Un atacante que logre interceptar o falsificar respuestas DNS puede redirigir a los usuarios a servidores maliciosos aunque escriban la URL correcta en el navegador. Este ataque se conoce como DNS spoofing o envenenamiento de caché DNS (cache poisoning).
Ejemplo de ataque sin DNSSEC: 1. El usuario escribe banco.com en el navegador.
2. El resolver DNS del usuario hace una consulta DNS.
3. Un atacante inyecta una respuesta falsa con su propia IP.
4. El resolver guarda la IP falsa en caché (cache poisoning).
5. El usuario es redirigido al servidor del atacante, aunque la URL sea correcta.
¿Cómo funciona DNSSEC?
DNSSEC añade firmas digitales a cada conjunto de registros DNS. Cuando un resolver valida DNSSEC, verifica que la firma es válida usando la clave pública del dominio, garantizando que los datos no han sido manipulados.
DNSKEY Contiene la clave pública del dominio. Hay dos tipos: ZSK (Zone Signing Key) que firma los registros de la zona, y KSK (Key Signing Key) que firma el DNSKEY. La KSK es la que se autentica desde el padre.
RRSIG Resource Record Signature. Una firma digital para cada conjunto de registros DNS (RRset). El resolver usa el DNSKEY para verificar que la firma es válida y que los registros no han sido modificados.
DS Delegation Signer. Un hash de la KSK del dominio hijo, publicado en la zona del padre. Crea el eslabón de la cadena de confianza entre el TLD y el dominio.
NSEC / NSEC3 Permiten demostrar criptográficamente que un registro DNS no existe. Evitan que los atacantes inyecten registros inexistentes. NSEC3 añade hashing para evitar la enumeración de zonas.
La cadena de confianza DNSSEC
DNSSEC funciona gracias a una cadena de confianza que va desde la raíz de internet hasta tu dominio:
Raíz (.)
La ICANN gestiona la clave raíz (root KSK). Es la ancla de confianza de toda la cadena DNSSEC. Firmada con la ZSK de la zona raíz.
TLD (.com, .es...)
Los operadores de TLD tienen sus propias claves DNSSEC. El registro DS del TLD está firmado por la raíz, vinculando el TLD a la cadena.
Tu dominio
Tu servidor DNS firma todos los registros con la ZSK. La KSK tiene un registro DS en el TLD, completando la cadena hasta tu dominio.
DNSSEC en ComprobarDNS
ComprobarDNS verifica automáticamente el estado DNSSEC de cualquier dominio que consultes. En el panel de resultados encontrarás:
DNSSEC Validado
El dominio tiene DNSSEC activo y las firmas son válidas. Los registros son auténticos.
DNSSEC Firmado (no validado)
El dominio tiene firmas DNSSEC pero no se puede completar la validación de la cadena de confianza.
Sin DNSSEC
El dominio no tiene DNSSEC. Las respuestas DNS no están protegidas criptográficamente.
¿Debo activar DNSSEC en mi dominio?
En general, sí. DNSSEC añade una capa importante de seguridad sin coste adicional significativo. La mayoría de registradores y proveedores DNS modernos (Cloudflare, AWS Route53, Google Cloud DNS...) soportan DNSSEC y su activación es sencilla.
Precaución: Una configuración incorrecta de DNSSEC puede hacer que tu dominio sea inaccesible. Si vas a activarlo, asegúrate de que tanto tu proveedor DNS como tu registrador lo soportan correctamente. Nunca actives DNSSEC manualmente en el registrador si tu proveedor DNS no lo gestiona automáticamente.
