Defaults.Exposed

Defaults.Exposed › Informes

¿Qué es DNSSEC y realmente lo necesitas? (2026)

Publicado 2026-07-01

Cifras a 2026-06-29 · metodología v7. Datos agregados del censo sobre 261 millones de dominios evaluados. DNSSEC añade firmas criptográficas al DNS para que un resolver pueda demostrar que una respuesta realmente proviene de ti y no ha sido manipulada. Consulta cómo evaluamos.

DNSSEC sella cada respuesta DNS de tu dominio con una firma, de modo que un atacante no pueda sustituirla discretamente por una falsa y enviar a tus visitantes a otro lugar. Es uno de los controles menos adoptados de la web: solo el 1,99 % de los 261 millones de dominios tiene una cadena firmada válida. También es uno de los pocos en los que una configuración incorrecta es peor que ninguna: el 3,02 % de los dominios está firmado pero roto, lo que puede volverlos inaccesibles. Aquí te explicamos qué hace y si lo necesitas.

Contra qué protege realmente DNSSEC

El DNS convencional no tiene forma de demostrar que una respuesta es genuina. Eso abre la puerta al envenenamiento de caché y a la suplantación de DNS en la ruta (on-path): un atacante alimenta a un resolver con un registro falsificado y dirige a tus visitantes, o a tu correo, a su servidor, sin ninguna advertencia de certificado que lo delate. DNSSEC cierra esa brecha firmando los registros, de modo que un resolver validador rechaza todo lo que no verifique.

Lo que no hace: no cifra el DNS, no protege el sitio web en sí y no reemplaza a HTTPS, DMARC ni CAA. Es una sola capa: integridad para las respuestas DNS.

El panorama de adopción

Por terminación de dominio, el DNSSEC válido varía ampliamente: 18,38 % en .se, 11,86 % en .nl, 14,62 % en .cz, frente a apenas 1,62 % en .com.

¿Lo necesitas?

Cómo activarlo de forma segura

  1. Usa un proveedor de DNS que automatice DNSSEC: firma y rotaciones de claves gestionadas por ti (la mayoría de los grandes proveedores ya lo hacen con un solo clic). Consulta corregir DNSSEC.
  2. Activa la firma y luego publica el registro DS en tu registrador para completar la cadena de confianza.
  3. Valida que la cadena resuelve antes de dar por terminada la tarea: un dominio firmado pero roto es peor que uno sin firmar.
  4. Nunca gestiones las claves a mano a menos que dispongas de las herramientas para rotarlas de forma fiable.

Preguntas frecuentes

¿Qué es DNSSEC en términos sencillos? Es un conjunto de firmas digitales sobre tus registros DNS para que los resolvers puedan demostrar que la respuesta es genuina y no fue falsificada en tránsito.

¿Realmente necesito DNSSEC? Es más valioso para dominios de alto riesgo y donde el cumplimiento normativo lo exige. Para todos los demás es un buen paso de refuerzo si tu proveedor de DNS lo automatiza; el riesgo principal es una mala configuración, que actualmente tiene el 3,02 % de los dominios.

¿DNSSEC cifra mi DNS? No. Demuestra la integridad (que la respuesta es auténtica), pero no oculta la consulta. Eso es una tecnología diferente (DoH/DoT).

¿Puede DNSSEC romper mi sitio web? Una firma rota o caducada puede volver tu dominio irresoluble para cualquiera que use un resolver validador. Por eso importan la firma y la rotación de claves automatizadas.

¿DNSSEC es gratis? Sí, en la mayoría de los proveedores de DNS modernos: es una opción de configuración, no una compra.

Comprueba gratis el DNSSEC de tu dominio

Averigua si tu dominio está firmado, es válido y está correctamente encadenado, de forma privada y solo para su propietario.

Comprueba tu dominio → · Corregir DNSSEC → · ¿Funciona el DNSSEC obligatorio? → · Cómo evaluamos → · Solo datos agregados. Datos almacenados y procesados en la UE.