Defaults.Exposed

Defaults.Exposed › Informes

Secuestro de dominios y DNS: cómo se roban los dominios y cómo blindar el tuyo (2026)

Publicado 2026-07-01

Cifras a fecha de 2026-06-29 · metodología v7. Datos agregados del censo de 261 millones de dominios evaluados. El secuestro consiste en tomar el control del DNS o del registro de tu dominio para redirigir su tráfico y su correo. Consulta cómo puntuamos.

El secuestro de dominios no toca tu sitio web: se apodera del DNS o de la cuenta de registrador que apunta a él, de modo que tus propios visitantes y tu correo se redirigen en silencio hacia un atacante. Los dos controles de DNS que más reducen el riesgo están entre los menos desplegados en la web: solo el 1,99% de los dominios tiene DNSSEC válido y apenas el 1,56% publica un registro CAA. Aquí explicamos cómo se roban los dominios y cómo blindar el tuyo.

Cómo se secuestran realmente los dominios

La concentración añade un ángulo sistémico

La mayoría de los dominios dependen de un puñado de proveedores de DNS, de modo que un solo incidente de un proveedor tiene un alcance desproporcionado: el mayor operador de servidores de nombres da servicio por sí solo al 15,4% de los dominios que usan un proveedor reconocido, y los cinco principales juntos al 42,1%. La concentración no es un fallo que puedas corregir solo, pero es una razón para hacer bien los controles que dependen de ti. Consulta la concentración de servidores de nombres.

Cómo blindar tu dominio

  1. Protege la cuenta de registrador: contraseña única, MFA robusta y activa el bloqueo de registrador (transferencia prohibida) para que el dominio no pueda moverse sin un desbloqueo explícito.
  2. Habilita DNSSEC allí donde tu proveedor lo automatice: detiene las respuestas DNS falsificadas en el resolutor.
  3. Publica un registro CAA que nombre solo las autoridades de certificación que utilizas, para que no pueda emitirse un certificado fraudulento.
  4. Audita el DNS en busca de registros huérfanos: elimina las entradas que apuntan a recursos que ya no controlas.
  5. Nunca dejes caducar dominios clave: activa la renovación automática del registro y mantén actualizados los datos de contacto para que ningún aviso de renovación se te escape.

Preguntas frecuentes

¿Qué es el secuestro de dominios? Tomar el control del registro o del DNS de tu dominio para redirigir su tráfico web y de correo, sin llegar a vulnerar tus servidores reales.

¿En qué se diferencia el secuestro de DNS? El secuestro de DNS manipula específicamente los registros que resuelven tu dominio (mediante toma de control de la cuenta, envenenamiento de caché o un proveedor de DNS comprometido). DNSSEC defiende frente a respuestas falsificadas; solo el 1,99% de los dominios lo tiene.

¿Cuál es la mejor protección individual? Blindar la cuenta de registrador: contraseña única, MFA y bloqueo de transferencia del registrador. La mayoría de los secuestros empiezan con el acceso a la cuenta, no con ataques ingeniosos.

¿DNSSEC detiene el secuestro? Detiene una clase importante —respuestas DNS falsificadas o envenenadas—, pero no la toma de control de la cuenta de registrador. Úsalo junto con la seguridad de la cuenta y CAA.

¿Algo de esto es caro? No. El bloqueo de registrador, DNSSEC y CAA son ajustes gratuitos; el coste es la disciplina de aplicarlos.

Comprueba gratis las defensas DNS de tu dominio

Descubre si DNSSEC y CAA están implementados y correctamente configurados, de forma privada y solo para el propietario.

Comprueba tu dominio → · Corregir DNSSEC → · Corregir CAA → · Cómo puntuamos → · Solo datos agregados. Datos almacenados y procesados en la UE.