Defaults.Exposed › Informes
¿Qué es DNSSEC y realmente lo necesitas? (2026)
Publicado 2026-07-01
Cifras a 2026-06-29 · metodología v7. Datos agregados del censo sobre 261 millones de dominios evaluados. DNSSEC añade firmas criptográficas al DNS para que un resolver pueda demostrar que una respuesta realmente proviene de ti y no ha sido manipulada. Consulta cómo evaluamos.
DNSSEC sella cada respuesta DNS de tu dominio con una firma, de modo que un atacante no pueda sustituirla discretamente por una falsa y enviar a tus visitantes a otro lugar. Es uno de los controles menos adoptados de la web: solo el 1,99 % de los 261 millones de dominios tiene una cadena firmada válida. También es uno de los pocos en los que una configuración incorrecta es peor que ninguna: el 3,02 % de los dominios está firmado pero roto, lo que puede volverlos inaccesibles. Aquí te explicamos qué hace y si lo necesitas.
Contra qué protege realmente DNSSEC
El DNS convencional no tiene forma de demostrar que una respuesta es genuina. Eso abre la puerta al envenenamiento de caché y a la suplantación de DNS en la ruta (on-path): un atacante alimenta a un resolver con un registro falsificado y dirige a tus visitantes, o a tu correo, a su servidor, sin ninguna advertencia de certificado que lo delate. DNSSEC cierra esa brecha firmando los registros, de modo que un resolver validador rechaza todo lo que no verifique.
Lo que no hace: no cifra el DNS, no protege el sitio web en sí y no reemplaza a HTTPS, DMARC ni CAA. Es una sola capa: integridad para las respuestas DNS.
El panorama de adopción
- 1,99 % firmado y válido.
- 3,02 % firmado pero roto: una firma que no supera la validación, lo que puede dejar caído el dominio para cualquiera que use un resolver validador. Este es el riesgo que hace que la gente sea cautelosa.
- Donde un registro lo promueve activamente, la adopción es mucho mayor: las terminaciones de país impulsadas por el registro alcanzan un 9,1 % de validez, frente al 1,3 % en las demás terminaciones de país. La adopción es una palanca de política, no un límite técnico. Consulta ¿funciona el DNSSEC obligatorio? y la paradoja de DNSSEC.
Por terminación de dominio, el DNSSEC válido varía ampliamente: 18,38 % en .se, 11,86 % en .nl, 14,62 % en .cz, frente a apenas 1,62 % en .com.
¿Lo necesitas?
- Dominios de alto valor o específicamente atacados (bancos, gobierno, infraestructura, cualquier cosa donde redirigir a usuarios o al correo sea un premio serio) son los que más se benefician.
- Organizaciones sujetas a cumplimiento normativo: DNSSEC aparece cada vez más en cuestionarios de seguridad y en algunas normas sectoriales.
- Todos los demás: es un paso de refuerzo razonable si tu proveedor de DNS lo hace con un solo clic y gestiona las rotaciones de claves por ti. Si activarlo implica gestionar manualmente claves que podrías configurar mal, el riesgo de firma rota es real: hazlo donde esté automatizado.
Cómo activarlo de forma segura
- Usa un proveedor de DNS que automatice DNSSEC: firma y rotaciones de claves gestionadas por ti (la mayoría de los grandes proveedores ya lo hacen con un solo clic). Consulta corregir DNSSEC.
- Activa la firma y luego publica el registro DS en tu registrador para completar la cadena de confianza.
- Valida que la cadena resuelve antes de dar por terminada la tarea: un dominio firmado pero roto es peor que uno sin firmar.
- Nunca gestiones las claves a mano a menos que dispongas de las herramientas para rotarlas de forma fiable.
Preguntas frecuentes
¿Qué es DNSSEC en términos sencillos? Es un conjunto de firmas digitales sobre tus registros DNS para que los resolvers puedan demostrar que la respuesta es genuina y no fue falsificada en tránsito.
¿Realmente necesito DNSSEC? Es más valioso para dominios de alto riesgo y donde el cumplimiento normativo lo exige. Para todos los demás es un buen paso de refuerzo si tu proveedor de DNS lo automatiza; el riesgo principal es una mala configuración, que actualmente tiene el 3,02 % de los dominios.
¿DNSSEC cifra mi DNS? No. Demuestra la integridad (que la respuesta es auténtica), pero no oculta la consulta. Eso es una tecnología diferente (DoH/DoT).
¿Puede DNSSEC romper mi sitio web? Una firma rota o caducada puede volver tu dominio irresoluble para cualquiera que use un resolver validador. Por eso importan la firma y la rotación de claves automatizadas.
¿DNSSEC es gratis? Sí, en la mayoría de los proveedores de DNS modernos: es una opción de configuración, no una compra.
Comprueba gratis el DNSSEC de tu dominio
Averigua si tu dominio está firmado, es válido y está correctamente encadenado, de forma privada y solo para su propietario.
Comprueba tu dominio → · Corregir DNSSEC → · ¿Funciona el DNSSEC obligatorio? → · Cómo evaluamos → · Solo datos agregados. Datos almacenados y procesados en la UE.