Soporte 24/7
Preguntas Frecuentes
 Panel de control
Saldo de Cuenta:    
Por qué el DNS encriptado entre resolvers y autoridades ya no es opcional

Por qué el DNS encriptado entre resolvers y autoridades ya no es opcional

May 23, 2026 dns security encrypted transport dot authoritative nameservers dns infrastructure cybersecurity domain management dns protocol

El problema del "middle mile" en DNS que casi nadie menciona

La mayoría de las conversaciones sobre seguridad DNS giran en torno a DNSSEC o a consultas cifradas entre el usuario y el resolver. Sin embargo, hay un tramo de la ruta que suele quedar fuera del radar: lo que ocurre entre el resolver recursivo y los servidores autoritativos. Ese segmento intermedio sigue viajando en texto plano.

Por qué debería importarte

Un atacante con acceso a la red puede interceptar esas consultas y devolver respuestas falsas. Las consecuencias van desde el envenenamiento de caché hasta el robo de tráfico antes de que llegue siquiera a tu resolver. Para cualquier negocio que dependa de su presencia online, esto significa que alguien podría redirigir a tus usuarios o dejar tus servicios inaccesibles.

Opciones de cifrado en estudio

La industria está evaluando varias alternativas para proteger ese tramo:

  • DoT entre resolver y autoritativo: TLS aplicado directamente a las consultas que buscan datos autoritativos.
  • DoH para resolución autoritativa: basado en HTTP/2 o HTTP/3, aprovecha infraestructuras existentes y ofrece mejor rendimiento.
  • Compromiso entre seguridad y velocidad: el cifrado añade latencia y carga computacional, por lo que los debates actuales se centran en si el beneficio justifica el coste en entornos de alto volumen.

El verdadero obstáculo: la adopción

A diferencia del cifrado en el lado del cliente —ya implementado en navegadores y sistemas operativos—, la encriptación autoritativa requiere que varios actores se pongan de acuerdo: operadores de servidores autoritativos, resolvers recursivos, registradores y proveedores de hosting. No basta con que tú actives una opción; toda la cadena tiene que soportarla.

Qué puedes hacer ahora

Si usas NameOcean para tus dominios, estas acciones te ayudarán a mantenerte preparado:

  1. Mantente al día sobre los avances en transporte DNS cifrado.
  2. Revisa periódicamente tus registros DNS para detectar patrones inusuales.
  3. Considera activar DNSSEC como medida temporal mientras maduran estas tecnologías.
  4. Habilita el registro de consultas para identificar comportamientos anómalos.

El camino que viene

Las reuniones de OARC muestran que la comunidad DNS ya identifica el problema y busca soluciones. La pregunta ya no es si el cifrado entre resolvers y servidores autoritativos se convertirá en estándar, sino cuándo y cómo se implementará. Es probable que veamos una adopción gradual, empezando por los grandes proveedores y extendiéndose a medida que se resuelvan los temas de rendimiento.

En NameOcean seguimos de cerca estas evoluciones. Nuestra infraestructura Vibe Hosting impulsada por IA está diseñada para incorporar avances de seguridad sin que tengas que preocuparte por los detalles técnicos.

Read in other languages:

RU BG EL CS UZ TR SV FI RO PT PL NB NL HU IT FR DE DA ZH-HANS EN