Defaults.Exposed › Informes
La paradoja de DNSSEC: más dominios lo rompen que los que lo hacen bien (2026)
Publicado 2026-06-29
Cifras a fecha de 2026-06-29 · metodología v7. Datos agregados del censo en 261 millones de dominios evaluados. Vea cómo evaluamos.
DNSSEC debería dificultar el secuestro de su dominio, pero es tan delicado que más dominios lo tienen roto que funcionando. En 261 millones de dominios, el 3,02% tiene DNSSEC firmado pero roto, frente a solo el 1,99% que lo tiene válido. El 94,99% restante ni siquiera lo intenta. DNS es la capa que la conversación sobre seguridad olvida, y los números lo demuestran.
Lo que dicen los datos
| Estado de DNSSEC | Proporción de dominios |
|---|---|
| Válido (firmado, funcionando) | 1,99% |
| Roto (firmado, mal configurado) | 3,02% |
| No firmado en absoluto | 94,99% |
Más dominios están en la fila roto que en la fila válido. Esa es la paradoja: entre la pequeña minoría que activa DNSSEC, la mayoría lo hace mal.
¿Por qué un DNSSEC roto es peor que no tener DNSSEC?
DNSSEC sin firmar simplemente está desprotegido. El DNSSEC roto es activamente peligroso: un resolutor que valida se negará a resolver un dominio cuyas firmas no cuadran, de modo que una configuración incorrecta puede dejar su dominio completamente fuera de línea para una parte de internet —sin sitio web, sin correo— hasta que se corrija. La misma función pensada para protegerle se convierte en una caída autoinfligida. Ese riesgo, sumado a la rotación de claves y al traspaso de registrador genuinamente complicados, es la razón por la que la adopción se mantiene cerca del mínimo.
La brecha más amplia de seguridad en DNS
DNSSEC no es el único control DNS descuidado. Los registros CAA —que restringen quién puede emitir certificados TLS para su dominio y bloquean silenciosamente una clase de ataques de emisión indebida— están presentes en apenas el 1,56% de los dominios. El DNS es fundamental: si se secuestra, cualquier otro control posterior puede eludirse. Sin embargo, es la capa que menos propietarios llegan a tocar.
¿Debo activar DNSSEC?
Para la mayoría de las pequeñas empresas, el orden de prioridad es primero la autenticación de correo y HTTPS: esos detienen los ataques que realmente enfrenta a diario. DNSSEC importa, pero solo si se hace bien: una firma rota es peor que ninguna. Si lo activa, use un proveedor que gestione la firma y la rotación de claves por usted, y verifique después que valida de extremo a extremo. Vea reparar DNSSEC y reparar CAA.
Preguntas frecuentes
¿De verdad un DNSSEC roto es peor que no tener DNSSEC? Sí. No tener DNSSEC solo significa ninguna protección adicional. Un DNSSEC roto puede hacer que su dominio no se resuelva en redes que validan, dejando su sitio y su correo fuera de línea hasta que se corrija.
¿Qué proporción de dominios usa DNSSEC correctamente? Solo el 1,99% a fecha de 2026-06-29, menos que el 3,02% que lo tiene firmado pero roto.
¿Qué es un registro CAA y necesito uno? CAA restringe qué autoridades de certificación pueden emitir certificados para su dominio, bloqueando una clase de emisión indebida. Solo el 1,56% de los dominios establece uno. Es una incorporación barata y de bajo riesgo.
¿Debe una pequeña empresa priorizar DNSSEC? Normalmente después de la autenticación de correo y HTTPS. Haga esos primero; añada DNSSEC solo si puede gestionarlo correctamente.
Compruebe gratis la seguridad DNS de su dominio
Vea su estado de DNSSEC y CAA —y los controles que importan más— de forma privada y solo para el propietario.
Compruebe su dominio → · Reparar DNSSEC → · Reparar CAA → · Cómo evaluamos → · Solo datos agregados. Datos almacenados y procesados en la UE.