DNS (Domain Name System)
Se lee en aproximadamente 5 minutos
Última actualización: 2026-03-15
Qué es DNS
DNS (Domain Name System) es un mecanismo que convierte nombres de dominio legibles por humanos (por ejemplo: example.com) en direcciones IP (por ejemplo: 93.184.216.34) que los ordenadores utilizan para comunicarse. A menudo se compara con la "guía telefónica" de internet, y cada vez que introduces una URL en el navegador web, se realiza una consulta a DNS en segundo plano.
Sin DNS, sería necesario introducir directamente la dirección IP cada vez que se quisiera acceder a un sitio web. DNS es una tecnología fundamental que sustenta la comodidad de internet, y sus fallos afectan a todo internet.
Flujo de resolución de nombres
Cuando accedes a www.example.com en el navegador, la resolución de nombres DNS procede en el siguiente orden.
- Caché del navegador: Si existe un registro de acceso previo en el navegador, se utiliza ese.
- Caché del SO: Si no está en el navegador, se consulta la caché del resolver del sistema operativo.
- Resolver completo (servidor DNS caché): Se consulta al DNS del ISP o DNS público (por ejemplo:
8.8.8.8). Si hay caché, responde aquí. - Servidor DNS raíz: Si no hay caché, se consulta al servidor raíz sobre quién gestiona
.com. - Servidor TLD: Se consulta al servidor TLD que gestiona
.comsobre el servidor autoritativo deexample.com. - Servidor DNS autoritativo: El servidor autoritativo de
example.comdevuelve la dirección IP final.
Todo este proceso se completa normalmente en unas pocas decenas de milisegundos. Si la caché está activa, la respuesta puede llegar en menos de 1 milisegundo.
Opciones de DNS público
En lugar del servidor DNS predeterminado proporcionado por el ISP, utilizar un DNS público puede mejorar la velocidad de respuesta y la privacidad.
El cambio a un DNS público se realiza modificando la dirección del servidor DNS en la configuración DHCP del router, o especificándolo individualmente en la configuración de red de cada dispositivo.
Riesgos de seguridad de DNS y contramedidas
La comunicación DNS tradicional no está encriptada, lo que presenta varios riesgos graves.
- Spoofing DNS (envenenamiento de caché): Un ataque que inyecta respuestas DNS falsas para redirigir a los usuarios a sitios de phishing. DNSSEC (DNS Security Extensions) puede verificar la autenticidad de las respuestas, pero su tasa de adopción aún es baja.
- Fuga de DNS: Un problema donde las consultas DNS se filtran fuera del túnel VPN durante su uso, revelando los destinos de navegación al ISP.
- Interceptación: Las consultas DNS en texto plano pueden ser interceptadas por cualquiera en la red. Los sitios que visitas quedan completamente expuestos.
Como contramedida, se recomienda la encriptación mediante DNS over HTTPS (DoH) o DNS over TLS (DoT). En los principales navegadores, DoH está disponible como opción predeterminada o configurable.
Conceptos erróneos comunes
- Cambiar el DNS hace que internet sea más rápido
- Lo que mejora al cambiar el DNS es solo el tiempo de respuesta de la resolución de nombres. No afecta la velocidad de descarga ni el buffering de vídeos. Sin embargo, si el DNS del ISP es lento, el inicio de la visualización de páginas web puede sentirse más rápido.
- DNS solo se usa para la navegación web
- DNS se utiliza en toda comunicación que use nombres de dominio: envío de correo (registros MX), conexiones VPN, juegos en línea, comunicación de dispositivos IoT, etc. Si DNS se detiene, prácticamente toda la comunicación excepto la que usa direcciones IP directas se ve afectada.
Comparación entre DNS tradicional y DNS encriptado
DNS tradicional
Puerto 53. Texto plano sin encriptar. ISP y administradores de red pueden ver las consultas. Vulnerable a spoofing y interceptación.
DNS encriptado (DoH/DoT)
Puerto 443 (DoH) o 853 (DoT). Consultas encriptadas. Protege la privacidad de navegación. Recomendado como contramedida de seguridad.