Defaults.Exposed › Soluciones › DNSSEC

Cómo arreglar DNSSEC

DNSSEC es un sello digital sobre la agenda de direcciones de tu dominio. Permite a internet demostrar que la respuesta a «¿dónde vive este dominio?» vino de verdad de ti y no fue manipulada por el camino. Sin él, la respuesta puede falsificarse, y tus visitantes acabar enviados sin ruido a otra parte.

En resumen, para tu negocio: Sin DNSSEC, un atacante capaz de envenenar una respuesta DNS puede dirigir a tus clientes a una copia perfecta de tu sitio mientras su navegador sigue mostrando el nombre de tu dominio real. Se cosechan inicios de sesión, números de tarjeta y datos personales, y solo te enteras por los contracargos y las quejas. Una configuración DNSSEC rota y a medias es aún peor: puede dejar tu sitio inaccesible para una porción creciente de visitantes sin ningún error que tú llegues a ver.

Lo que esto te puede costar

Los visitantes que escriben tu dominio real son redirigidos en silencio a una imitación que captura su contraseña y sus datos de tarjeta; y como la barra de direcciones muestra tu dominio todo el rato, nadie sospecha nada hasta que llegan los informes de fraude.
Tu correo se reencamina sin ruido: un atacante falsifica la respuesta de tus servidores de correo, lee o intercepta mensajes y restablece contraseñas en cuentas que te envían un código por correo, todo sin tocar tu bandeja de entrada.
Una configuración DNSSEC a medias (el sello público existe pero falta la clave que lo respalda) hace que tu sitio web y tu correo fallen al azar para clientes de grandes proveedores de internet y de redes corporativas: informes intermitentes de «tu sitio no me carga» que no puedes reproducir.
El equipo de seguridad de un cliente potencial hace una comprobación previa al contrato, no ve DNSSEC y te marca por lo bajo como débil en fundamentos, poniendo en riesgo un acuerdo por un ajuste gratuito.
Los compradores del sector público y los grandes B2B esperan cada vez más DNSSEC como base (está nombrado en normativas como NIS2); su ausencia te descalifica en silencio de las licitaciones antes incluso de empezar una conversación.

Por qué importa. El DNS es la agenda de direcciones de internet y, por defecto, sus respuestas viajan sin firmar: cualquiera que pueda colar una respuesta falsa puede enviar a tus clientes y tu correo a donde le plazca, con tu dominio real aún visible en el navegador. DNSSEC pone un sello a prueba de manipulaciones sobre esas respuestas para que puedan verificarse como genuinamente tuyas. La solución es gratuita en la mayoría de los proveedores; el único coste real es hacerla mal, por eso recorremos ambas mitades con cuidado.

DNSSEC, en palabras llanas

Cada vez que alguien visita tu sitio web o te envía un correo, su ordenador primero le hace a internet una pregunta sencilla: «¿dónde vive realmente este dominio?». La respuesta —el conjunto de direcciones de tu sitio y tus servidores de correo— vuelve del DNS, la agenda de direcciones de internet.

Esta es la parte incómoda: por defecto, esas respuestas viajan sin firmar. No hay nada adjunto que demuestre que la respuesta es genuina. Si alguien puede colar una respuesta falsa en esa conversación —y hay formas conocidas y comprobadas de hacer exactamente eso—, el ordenador de tu visitante la aceptará tan contento. Desde ese momento, el visitante puede estar hablando con el servidor de un atacante mientras su navegador sigue mostrando tu nombre de dominio en la barra de direcciones.

DNSSEC es la solución. Añade un sello digital a prueba de manipulaciones a tus respuestas DNS. Con DNSSEC activado, internet puede verificar matemáticamente que una respuesta vino de verdad de ti y no se alteró por el camino. Una respuesta falsa no pasa la comprobación y se descarta. Es la diferencia entre una agenda en la que cualquiera puede garabatear y una en la que cada entrada está firmada y atestiguada.

Esta página cubre las dos partes que nuestra comprobación mira juntas: si el sello está publicado (el registro DS) y si la clave que lo respalda existe de verdad (el registro DNSKEY). Verás enseguida por qué importan ambas, porque tener una sin la otra es su propia clase de problema.

Lo que esto puede costarte

Estos son patrones realistas y agregados, no ningún negocio concreto y nombrado.

La redirección invisible. Un atacante envenena la respuesta DNS de tu dominio. Los clientes escriben tu dirección web real, ven tu dominio real en la barra y aterrizan en una copia impecable de tu página de inicio de sesión o de pago, alojada por el atacante. Cada contraseña y número de tarjeta que introducen va directo al delincuente. Solo te enteras cuando empiezan los contracargos y las llamadas de «me hackearon a través de tu sitio», y el rastro lleva de vuelta a tu marca, no a la del atacante.
Intercepción silenciosa del correo. El DNS no solo apunta a tu sitio web; apunta a tus servidores de correo. Falsifica esa respuesta y el correo entrante puede reencaminarse primero a través de un atacante. Lee mensajes sensibles, cosecha los códigos de un solo uso que los servicios envían por correo para «verificar que eres tú» y restablece contraseñas en cuentas ligadas a tu dominio, todo sin entrar nunca en tu buzón.
La caída que no puedes reproducir. Esta viene de una configuración DNSSEC a medias. El sello público (DS) está en tu registrador, pero la clave correspondiente (DNSKEY) falta o es errónea. Los visitantes de proveedores de internet y redes corporativas que comprueban DNSSEC —y cada año hay más— simplemente no pueden resolver tu dominio en absoluto. Tu sitio y tu correo funcionan bien para ti y tu equipo técnico, pero una porción de clientes reales recibe «no se puede acceder a este sitio» sin ningún error que tú puedas ver. Es uno de los problemas más difíciles de diagnosticar precisamente porque es invisible desde dentro.
El acuerdo perdido. El equipo de seguridad o de compras de un cliente potencial hace un análisis rutinario previo al contrato sobre tu dominio. La ausencia de DNSSEC aparece como una marca roja en «conceptos básicos de seguridad DNS». Para un control gratuito y bien entendido, su ausencia se lee como descuido, y puede costarte en silencio un contrato que nunca supiste que estaba en peligro.
La licitación para la que ni siquiera calificas. Las normativas y las listas de comprobación de los compradores nombran cada vez más DNSSEC como higiene básica esperada (se referencia en las disposiciones de seguridad DNS de NIS2). Los grandes compradores B2B y del sector público pueden filtrarte antes de que empiece una conversación de ventas, simplemente porque la casilla no está marcada.

Qué es en realidad

DNSSEC funciona como una cadena de confianza, y tiene dos piezas móviles que deben concordar entre sí. Este es el meollo de por qué nuestra comprobación mira dos cosas.

El DNSKEY — tu clave. Tu proveedor de DNS posee una clave criptográfica y la usa para firmar tus registros DNS. La mitad pública de esa clave se publica como un registro DNSKEY. Piénsalo como el cuño del sello que se guarda en tu lado.

El registro DS — la huella que avala la clave. Una huella corta de esa clave, llamada registro DS (Delegation Signer), se publica un nivel por encima, en el registro de tu dominio, a través de tu registrador. Esto es lo que permite al resto de internet confiar en tu clave: cada nivel avala al de debajo, todo el camino hasta la raíz de internet. El DS es el sello registrado oficialmente para que todos los demás puedan reconocerlo.

Para que DNSSEC te proteja de verdad, ambos deben estar presentes y deben coincidir:

DS presente + DNSKEY presente y coincidente → bien. La cadena de confianza está completa. Las respuestas falsas se rechazan; las legítimas se verifican. Este es el estado de «aprobado».
Sin DS (y sin DNSKEY) → DNSSEC simplemente no está activado. No tienes protección, pero nada está roto. Es el estado de «aún no hecho» más común. (En nuestra puntuación, aquí es donde la comprobación de DS cuenta en tu contra; la comprobación combinada de clave trata un estado limpio y totalmente «apagado» como informativo, no como un fallo grave, porque nada está rompiéndose de forma activa.)
DS presente, pero DNSKEY ausente o no coincidente → roto, y peor que apagado. Internet ve un sello publicado que apunta a una clave que no está ahí. Los resolvedores que validan concluyen que tu dominio ha sido manipulado y se niegan a resolverlo, causando las caídas intermitentes descritas arriba. Este es el estado más urgente de arreglar, y nuestra comprobación lo marca como severidad alta.
DNSKEY presente, pero sin DS en el registrador → activado pero no activo. Tus registros están firmados, pero como la huella nunca se registró un nivel por encima, el resto de internet no tiene forma de confiar en ellos. Haces el trabajo sin la protección. La solución es añadir el registro DS en tu registrador.

Cómo es lo «bueno», en una línea: un registro DS en tu registrador cuya huella coincide con un DNSKEY vivo en tu proveedor de DNS, ambos confirmados con una consulta rápida.

Cómo solucionarlo (gratis, ~10-30 minutos)

Pásale este apartado a quien gestione tu dominio o tu sitio web. La solución en sí es gratuita en la mayoría de los proveedores; el único coste es hacerla con cuidado para que las dos mitades se mantengan sincronizadas. Solo cobramos si más adelante quieres que monitoricemos que se mantiene correctamente activado.

La regla de oro: activa la firma primero (lo que crea el DNSKEY), luego publica el registro DS en el registrador; nunca al revés, y nunca uno sin el otro. Publicar un DS antes de que la clave exista es exactamente lo que causa las caídas.

La vía sencilla (recomendada — Cloudflare):

En Cloudflare, asegúrate de que Cloudflare lleve de verdad tu DNS (tus servidores de nombres apuntan a Cloudflare).
Ve a DNS → Settings → DNSSEC → Enable DNSSEC. Cloudflare genera y gestiona las claves por ti (esto crea la parte del DNSKEY automáticamente).
Cloudflare te muestra los detalles del registro DS para publicar en tu registrador.
Inicia sesión en tu registrador de dominio (p. ej. GoDaddy, Namecheap, OVH) y busca la sección DNSSEC. Pega los valores DS que Cloudflare te dio.
Espera de 24 a 48 horas a que se propague del todo. Tu sitio y tu correo siguen funcionando mientras tanto.

Otros proveedores de DNS (AWS Route 53, tu hosting web, etc.):

En el panel de control de tu proveedor de DNS, activa DNSSEC / «firmar esta zona». Esto genera las claves de firma y publica los registros DNSKEY.
Copia el registro DS que el proveedor produce.
Añade ese registro DS en tu registrador, bajo sus ajustes de DNSSEC.
Confirma que el registrador lo aceptó y espera a la propagación.

Notas por plataforma:

Cloudflare — activación de un clic, luego un pegado de DS en el registrador. La vía más fácil con diferencia.
AWS Route 53 — activa la firma DNSSEC en la zona alojada, luego añade el registro DS en el registrador de tu dominio (si el dominio está registrado con Route 53, AWS puede enlazarlo por ti).
Microsoft 365 / Google Workspace — estos llevan tu correo, no normalmente tu zona DNS. DNSSEC se activa donde vivan realmente tus registros DNS (a menudo tu registrador, hosting o Cloudflare), no en el centro de administración de 365/Workspace.
¿Tu proveedor de DNS no soporta DNSSEC en absoluto? Es común con hostings antiguos o económicos. La solución limpia es mover la gestión del DNS a un proveedor que sí lo soporte (Cloudflare es gratis) y luego seguir la vía sencilla de arriba. Mover el DNS no requiere mover tu sitio web ni tu correo.

Verifica que funcionó:

Ejecuta dig DS tudominio.com y dig DNSKEY tudominio.com: ambos deberían devolver registros.
O usa cualquier verificador de DNSSEC gratuito en línea y confirma una cadena de confianza verde/válida.
No lo des por hecho hasta que ambos devuelvan registros que coincidan. Un DS sin DNSKEY es el estado roto: arréglalo o quítalo de inmediato.

Errores habituales

Publicar el DS antes de que la clave exista. El error más dañino de todos: añadir el registro DS en el registrador antes de que la firma esté de verdad activa en el proveedor de DNS. Esto crea el estado de «sello publicado, clave ausente» que hace tu dominio irresoluble para los visitantes que comprueban DNSSEC. Activa siempre la firma primero, luego publica el DS.
Dejar un DS obsoleto tras cambiar de proveedor. Si migras de proveedor de DNS (o desactivas la firma) pero olvidas quitar o actualizar el antiguo registro DS en el registrador, te quedas apuntando a una clave que ya no existe: el mismo resultado roto. Cuando apagues DNSSEC o lo muevas, actualiza el DS en el registrador en el mismo cambio.
Pararse tras el primer paso. Activar la firma en el proveedor de DNS (creando el DNSKEY) pero nunca añadir el DS en el registrador. Todo parece «activado» en el panel de DNS, pero sin DS la protección nunca se activa. Hiciste el trabajo y no obtuviste ningún beneficio.
Suponer que HTTPS o la autenticación del correo ya lo cubren. El candado y la autenticación del correo (SPF / DKIM / DMARC) son valiosos pero resuelven problemas distintos. Ninguno de ellos impide que una respuesta DNS falsa envíe a los visitantes al lugar equivocado, para empezar.
No monitorizar tras activarlo. Las claves se rotan, los proveedores cambian, los registros se editan. Una configuración perfecta hoy puede romperse en silencio meses después. Si DNSSEC importa lo bastante como para activarlo, merece una comprobación periódica de que sigue siendo válido.

Dónde encaja esto en tu nota

Ambas comprobaciones cuentan para tu puntuación de Seguridad DNS. La comprobación del registro DS se trata como la de mayor prioridad de las dos: un DS ausente es un hueco real y se puntúa como un fallo. La comprobación de DNSKEY confirma que el resto de la cadena está intacto: solo pasa cuando hay un DS y un DNSKEY que coinciden, y marca el peligroso estado roto de «DS-sin-clave» como severidad alta. Un resultado limpio de «DNSSEC simplemente aún no está activado» es el punto de partida común de muchos negocios; pasar de ahí a un par DS + DNSKEY completo y coincidente es una mejora gratuita y bien entendida que eleva tu posición en Seguridad DNS y elimina una vía genuina de suplantación e intercepción.

Configúralo en tu proveedor

Paso a paso para los proveedores más populares:

Preguntas frecuentes

No soy una persona técnica, ¿es esto algo de lo que tenga que encargarme personalmente?

No. Necesitas entender por qué importa (esta página lo cubre), pero el cambio en sí vive en la configuración DNS y de registrador de tu dominio, así que corresponde a quien gestione tu dominio o tu sitio web. Pásale el apartado «Cómo solucionarlo»: es gratis y normalmente lleva menos de media hora. Solo cobramos si más adelante quieres que sigamos vigilando que se mantiene correctamente activado.

Si mi sitio ya tiene el candado (HTTPS), ¿no estoy ya protegido?

Protegen cosas distintas. El candado asegura la conexión una vez que el visitante ha llegado al servidor correcto. DNSSEC protege el paso anterior: asegurarse de que llegan al servidor correcto, para empezar. Un atacante que falsifique tu DNS puede enviar a los visitantes a su propio servidor, que puede tener su propio candado válido en un dominio imitación o incluso en una copia del tuyo. Necesitas ambos; uno no sustituye al otro.

¿Activar DNSSEC podría romper mi sitio web o mi correo?

Hecho en un solo lugar por un proveedor que lo soporta, no: los proveedores modernos gestionan las claves por ti y simplemente funciona. El riesgo viene de hacerlo en dos pasos desconectados y terminar solo uno: publicar el «sello» público (el registro DS) en tu registrador mientras la clave correspondiente (DNSKEY) falta o no coincide. Ese estado roto es peor que no tener DNSSEC y causa caídas intermitentes. Los pasos de abajo mantienen las dos mitades sincronizadas para que esto no pase.

Alojamos con Cloudflare / Google Workspace / Microsoft 365, ¿eso lo cubre?

No automáticamente, pero lo facilita. Lo que importa es dónde se gestiona tu DNS. Si Cloudflare lleva tu DNS, es un activado de un clic más pegar un registro en tu registrador. Microsoft 365 y Google Workspace gestionan el correo, no normalmente tu zona DNS; DNSSEC se activa donde vivan realmente los registros DNS de tu dominio (a menudo Cloudflare, tu registrador o tu hosting). Los pasos de abajo cubren los casos comunes.

¿Qué son exactamente «DS» y «DNSKEY», y por qué esta página menciona ambos?

Son las dos mitades de una misma cerradura. DNSKEY es la clave que tu proveedor de DNS posee y usa para firmar tus registros. DS es una huella de esa clave, publicada un nivel por encima en tu registrador para que el resto de internet pueda confirmar que la clave es de verdad tuya. Ambos deben estar presentes y coincidir. Comprobamos los dos: un DS ausente significa que DNSSEC no está activado; un DS sin DNSKEY que coincida significa que está activado pero roto.

¿Cuánto tarda en funcionar y cómo lo confirmo?

Deja pasar de 24 a 48 horas para que el cambio se extienda del todo por internet; tu sitio y tu correo actuales siguen funcionando mientras tanto si está bien hecho. Para confirmarlo, tu informático puede ejecutar «dig DS tudominio» y «dig DNSKEY tudominio» y ver registros devueltos para ambos, o usar cualquier verificador de DNSSEC gratuito en línea. También podemos monitorizarlo de forma continua para que una rotura futura se detecte el día que ocurre, no el día que un cliente se queja.