• Infraestructura del sitio web y buenas prácticas de seguridad

Comprender el papel de los registros DNS en la funcionalidad y seguridad de los sitios web

  • Felix Rose-Collins
  • 11 min read
Comprender el papel de los registros DNS en la funcionalidad y seguridad de los sitios web

Introducción

DNS significa Sistema de Nombres de Dominio. Es una tecnología básica que hace que Internet funcione como lo hace. Su definición más básica es: "El DNS es responsable de resolver las direcciones IP de los sitios web a sus nombres de dominio".

En realidad, el DNS es capaz de mucho más que eso. Las funciones DNS se llevan a cabo con la ayuda de los registros DNS. Los registros DNS son archivos de texto que contienen información esencial para el funcionamiento del DNS.

Este artículo destaca la importancia de los registros DNS para el funcionamiento y la seguridad de los sitios web. Para ello, examinaremos varios tipos de registros DNS y explicaremos lo que hacen en relación con el funcionamiento o la seguridad del sitio web.

Al final de este artículo, tendrá una mejor perspectiva del sistema de nombres de dominio.

Understanding the Role of DNS Records in Website Functionality and Security

¿Cómo funciona el DNS?

Para entender los registros DNS y su papel en el funcionamiento y la seguridad de los sitios web, es obligatorio tener algunos conocimientos sobre el sistema de nombres de dominio (DNS).

Todo empieza con tu ordenador. El ordenador que busca un sitio web se llama cliente. El cliente envía su petición a un servidor conocido como DNS resolver. El resolver DNS es un servidor asignado por su ISP, o puede configurar el suyo propio en los ajustes de su sistema operativo. Su función es responder a todas las consultas DNS planteadas por el cliente.

Conoce Ranktracker

La plataforma todo en uno para un SEO eficaz

Detrás de todo negocio de éxito hay una sólida campaña de SEO. Pero con las innumerables herramientas y técnicas de optimización que existen para elegir, puede ser difícil saber por dónde empezar. Bueno, no temas más, porque tengo justo lo que necesitas. Presentamos la plataforma todo en uno Ranktracker para un SEO eficaz

¡Por fin hemos abierto el registro a Ranktracker totalmente gratis!

Crear una cuenta gratuita

O inicia sesión con tus credenciales

Así. El cliente pregunta al resolver: "Oye, quiero encontrar este nombre de dominio (xyz.com). ¿Conoces su dirección IP? El resolver comprueba su caché para ver si tiene almacenados el nombre de dominio y su IP. Si no los tiene, se pone en contacto con una serie de servidores de la jerarquía DNS para ver si tienen la dirección IP.

Imagen de jerarquía DNS

DNS Hierarchy Image

Fuente de la imagen: https://www.menandmice.com/glossary/dns-server-types

Normalmente, la dirección IP se encuentra con relativa rapidez. Sin embargo, a veces el resolver tiene que ir hasta lo más alto de la jerarquía y consultar servidores conocidos como servidores de nombres raíz (NS).

Hay 13 servidores de nombres raíz en el mundo, y contienen las direcciones IP de todos los sitios web de la red. Si la dirección IP de un dominio no existe en los servidores de nombres, significa que la consulta DNS para ese dominio es "irresoluble".

En cualquier caso, una vez encontrada la dirección IP, el resolver la devuelve al cliente. El cliente hace entonces una petición al servidor en la dirección IP dada, y el servidor responde con el sitio web requerido.

Así es como funciona una simple consulta, y todo esto ocurre en cuestión de segundos. ¿Dónde entran en escena los registros DNS? Pues bien, la información almacenada en todos los servidores de la jerarquía DNS se guarda en forma de registros DNS.

Conoce Ranktracker

La plataforma todo en uno para un SEO eficaz

Detrás de todo negocio de éxito hay una sólida campaña de SEO. Pero con las innumerables herramientas y técnicas de optimización que existen para elegir, puede ser difícil saber por dónde empezar. Bueno, no temas más, porque tengo justo lo que necesitas. Presentamos la plataforma todo en uno Ranktracker para un SEO eficaz

¡Por fin hemos abierto el registro a Ranktracker totalmente gratis!

Crear una cuenta gratuita

O inicia sesión con tus credenciales

Los registros DNS pueden ser gestionados por un webmaster utilizando herramientas populares como cPanel, Cloudflare, GoDaddy, etc. Para saber cómo puede gestionar su sitio web con dichas herramientas, lea nuestro artículo sobre cPanel. Crear documentación detallada sobre la gestión de registros DNS puede llevar mucho tiempo. Un generador de párrafos AI puede ayudar a producir contenido informativo de alta calidad de manera eficiente, facilitando la explicación de conceptos complejos con claridad.

Veamos ahora cómo los registros DNS ayudan y contribuyen a la funcionalidad del sitio web.

Diferentes registros DNS y cómo contribuyen a la funcionalidad del sitio web

Empezaremos por los registros que desempeñan un papel en el funcionamiento del sitio web. Estos son más numerosos en comparación con los registros de seguridad.

Todos los registros DNS comparten la misma plantilla. De izquierda a derecha, aparecen el nombre de dominio, el tiempo de vida, la clase de registro, el nombre del registro y el valor del registro. La mayoría de los registros sólo difieren en el nombre y el valor. A continuación se muestra una imagen de un registro A.

dnschecker Fuente de la imagen: dnschecker

La imagen muestra cuatro registros A para Microsoft.com. El nombre de dominio es "microsoft.com". El TTL es de 1290 segundos, IN (internet) es la clase, A es el nombre del registro y los números son la dirección IPv4, es decir, el valor.

Ahora que ya sabemos qué aspecto tiene un registro DNS típico, vamos a entender qué hacen y cómo contribuyen a la funcionalidad del sitio web.

1. Registros A/AAAA

Los registros A y AAAA corresponden a direcciones IPv4 e IPv6, respectivamente. Su único propósito es asignar direcciones IP a un nombre de dominio. Esta es la función más básica del DNS, y es lo que hace que Internet funcione.

La dirección IP, como ya sabrá, es una representación numérica (IPv4) o hexadecimal (IPv6) de la ubicación de un servidor.

Todos los contenidos de la web se almacenan en numerosos servidores de todo el mundo. Cuando buscas un nombre de dominio, el resolver DNS comprueba su caché en busca de cualquier registro A o AAAA para el dominio.

Si no los encuentra, consulta a otros servidores de la jerarquía para ver si los tienen o no. Cuando encuentra los registros A/AAAA pertinentes, el resolver los guarda en su caché para no tener que buscarlos más tarde.

A estas alturas, ya debería haber comprendido el papel que desempeñan los registros A/AAAA en la función del sitio web. Sin estos registros, sería imposible localizar un sitio web. Por lo tanto, la configuración de los registros A/AAAA de un sitio web es fundamental para su funcionamiento.

2. Registro CNAME

Los registros CNAME no son tan críticos como los registros A/AAAA, pero tienen sus usos únicos. Un registro CNAME asigna un alias de un dominio a otro. En palabras más sencillas, puede hacer que todas las consultas DNS para un dominio se envíen automáticamente a otro dominio.

Por ejemplo, si tiene un dominio llamado "coches.com" y otro llamado "vehículos.com", puede utilizar un registro CNAME para cambiar el alias de "coches.com" a "vehículos.com".

Lo que ocurrirá es que cuando alguien escriba "cars.com" en la barra de direcciones de su navegador, se encontrará automáticamente en "vehicles.com". Esto se debe a que la consulta DNS para "coches.com" se encontrará con un registro CNAME que hace referencia al registro A/AAAA de "vehículos.com".

Esto es útil para sitios web que tienen múltiples dominios similares. Con los registros CNAME, el usuario final siempre será dirigido al sitio correcto. Así, si su dominio se llama "xyz.org", puede crear registros CNAME para "www.xyz.org" que apunten a "xyz.org".

3. Registro MX

MX significa registros de intercambio de correo. Los registros MX son cruciales para las funciones de correo electrónico del sitio web. Básicamente, su función es definir qué servidores de correo se ocupan de los correos electrónicos del dominio.

Supongamos que tiene una tienda online. Obviamente, tendrá una dirección de correo electrónico para que los clientes se pongan en contacto con usted. También puede tener otra dirección de correo electrónico para posibles socios comerciales.

Si sus registros MX están configurados correctamente, no tendrá problemas para recibir correos electrónicos. Cualquier correo electrónico dirigido a la dirección de correo electrónico de su dominio se enviará al servidor de correo adecuado definido en el registro.

Sin un registro MX, esos correos se perderían. No los recibirías porque no se enviarían a ningún servidor de correo. Cuando no recibe correos electrónicos, no puede responder a ellos. Esto da la impresión de que usted no es comunicativo y deja una mala impresión en los usuarios de su sitio web.

4. Registro TXT

Los registros TXT son registros no estándar que pueden utilizarse para diversas funciones. Pueden utilizarse para la verificación de sitios web por parte de proveedores de servicios de terceros, como motores de búsqueda, servidores de correo, proveedores de API, etc.

Un registro TXT no tiene un valor fijo como los demás registros. Su valor puede ser el que tú quieras. Siempre que se mantenga dentro del límite de caracteres, puede escribir cualquier valor.

Para la verificación de sitios web, los proveedores de servicios de terceros antes mencionados dan en privado un valor determinado a un webmaster para que lo añada a su registro TXT. Si el valor es el mismo que el proporcionado por el proveedor de servicios externo, significa que se trata del sitio web correcto y no de un impostor.

También hay otras formas de utilizar los registros TXT para la seguridad, que revisaremos en la "Sección Seguridad".

5. Registro NS

Con diferencia, el tipo de registro más importante es el registro NS. NS significa servidor de nombres. Los servidores de nombres se encuentran en la parte superior de la jerarquía DNS. Contienen todos los registros de dominio.

Los registros NS detallan qué servidores de nombres contienen los registros de un dominio. Sin un registro NS, los resolvers y los servidores DNS situados por debajo en la jerarquía no sabrían qué servidor consultar para obtener información sobre un dominio concreto.

Por lo tanto, si sus registros NS no están presentes, su sitio web es básicamente imposible de encontrar, lo que lo hace inútil. Por eso, asegúrese de que sus registros NS están en forma.

6. Registro SRV

SRV significa servicio. Estos registros definen qué servicios de Internet, como VoIP, correo electrónico y mensajería, utilizan qué puertos.

Sin un registro SRV, el tráfico específico para puertos específicos será eliminado. Normalmente, esto no es un problema para la mayoría de los sitios web. Sin embargo, si utiliza servicios de Internet que utilizan VoIP, correo electrónico o mensajería instantánea, los registros SRV deben configurarse correctamente.

7. Registro PTR

Los registros PTR se utilizan para búsquedas DNS inversas. PTR significa puntero, y este tipo de registro asigna una dirección IP a un nombre de dominio. Por lo tanto, es lo contrario de un registro A/AAAA.

Los registros PTR son necesarios para el funcionamiento de un sitio web porque se utilizan para su verificación. A veces, los sitios web pueden falsificar su nombre de dominio y enviar solicitudes a un servidor para otro dominio. El servidor puede utilizar los registros PTR para comprobar si la dirección IP del impostor coincide con la del dominio real.

Si no coincide, se deniega la solicitud.

Registros DNS que contribuyen a la seguridad

alt_text

La seguridad de un sitio web es extremadamente importante. Puede obtener más información al respecto en otro de nuestros artículos.

A continuación se indican los registros que ayudan a proteger su sitio web y evitar diversos riesgos de seguridad, como la suplantación de identidad y el envenenamiento de la caché.

1. Registros DNSSEC

DNSSEC es el acrónimo de DNS security. Se trata de un protocolo de seguridad que pretende frenar las deficiencias del DNS. El DNS no se diseñó pensando en la seguridad. Por lo tanto, era extremadamente fácil utilizarlo como vector de ataque.

Con DNSSEC, se introdujeron dos tipos de registros nuevos. Estos registros ayudan a proteger el contenido de otros registros y a verificar la fuente de la que proceden.

DNSSEC funciona sobre la base de la criptografía de clave pública. Básicamente, los registros DNS se firman con claves criptográficas para garantizar que sus datos no puedan ser manipulados.

Se utilizan claves similares para asegurarse de que los registros también proceden de la fuente correcta.

Esto contribuye a la seguridad del sitio web al ayudarle a defenderse de los ataques de envenenamiento de caché. Los actores maliciosos pueden cambiar los registros DNS en la caché de un resolver y redirigir el tráfico de un sitio web a otro.

Con DNSSEC, puede proteger a los visitantes que intentan acceder a su sitio web de redireccionamientos malintencionados y preservar su reputación.

Veamos cómo se implementan los registros DS y DNSKEY.

2. Registro DNSKEY

El registro DNSKEY contiene una clave pública. Esta clave pública es el par de la clave privada de la zona. Todos los registros DNS de una zona se firman con la clave privada, y la clave pública del registro DNSKEY se utiliza para verificar esa firma.

Si la firma no puede verificarse, significa que los datos del registro se han modificado, y este registro no es válido.

Sin embargo, esto sigue dejando la pregunta: ¿cómo se puede verificar que la propia clave pública no se ha visto comprometida? Aquí es donde entran en juego los registros DS.

3. Registro DS

Registro DS significa Firmante de Delegación. Se trata de un registro que delega autoridad en un dominio. En la jerarquía DNS, existen divisiones administrativas conocidas como zonas. Las zonas pueden tener padres o hijos. Las zonas padre se consideran autoritativas, es decir, son de confianza, y su información es de confianza.

Las zonas padre pueden delegar su autoridad a sus zonas hijo. Lo hacen con la ayuda de los registros DS. Los registros DS contienen un hash de la clave almacenada en el registro DNSKEY.

Siempre que el hash del valor del registro DNSKEY coincida con el hash del registro DS, significa que la clave es válida. Esta verificación se realiza en todos los niveles, es decir, el padre de una zona, el padre de su padre, etc.

4. Registros SPF, DKIM y DMARC

Los registros TXT desempeñan muchas funciones en materia de seguridad. Los registros TXT relacionados con la seguridad se denominan SPF, DKIM y DMARC. Están relacionados con la seguridad de los correos electrónicos relacionados con su dominio. Al configurarlos, puede salvaguardar la reputación de su remitente de correo electrónico y mejorar la entregabilidad del correo electrónico de su sitio web.

Las funciones de estos registros están relacionadas. Empecemos por los registros SPF.

5. Registros SPF

SPF son las siglas de Sender Policy Framework. Los registros SPF indican qué servidores de correo están autorizados a enviar correos electrónicos en nombre de un dominio. Antes de que existieran los registros SPF, cualquiera podía enviar un correo electrónico y afirmar que procedía de un dominio específico. Esto planteaba el problema de los impostores, que utilizaban esos correos electrónicos para phishing, redireccionamientos maliciosos e incluso ingeniería social.

6. Registros DKIM

DKIM son las siglas de Domain Keys Identified Mail. También es un tipo de registro de texto. Los registros DKIM cubren una vulnerabilidad dejada por los registros SPF. Se trata de la posibilidad de falsificar una dirección de correo electrónico.

Los registros DKIM también utilizan criptografía para garantizar que un correo electrónico procede de la fuente correcta. DKIM consta de dos partes: una clave pública disponible en los registros DNS y una cabecera DKIM en el correo electrónico firmada con la clave privada. Los clientes que reciben correos electrónicos tienen que comprobar si la clave de la cabecera DKIM y las claves de los registros forman parte del mismo par o no. Si lo son, entonces el correo electrónico procede de la fuente correcta, si no lo son, entonces el correo electrónico es rechazado.

7. Registros DMARC

DKIM y SPF se utilizan para verificar el origen de un correo electrónico y reducir la suplantación de identidad. DMARC se utiliza para indicar al receptor del correo electrónico qué hacer cuando recibe mensajes que no superan las comprobaciones mencionadas.

Conoce Ranktracker

La plataforma todo en uno para un SEO eficaz

Detrás de todo negocio de éxito hay una sólida campaña de SEO. Pero con las innumerables herramientas y técnicas de optimización que existen para elegir, puede ser difícil saber por dónde empezar. Bueno, no temas más, porque tengo justo lo que necesitas. Presentamos la plataforma todo en uno Ranktracker para un SEO eficaz

¡Por fin hemos abierto el registro a Ranktracker totalmente gratis!

Crear una cuenta gratuita

O inicia sesión con tus credenciales

DMARC son las siglas de Domain-Based Message Authentication Reporting and Conformance.

Básicamente, los registros DMARC indican al receptor del correo electrónico que tome una o varias de las siguientes medidas si un correo electrónico no supera las comprobaciones SPF y DKIM.

  • Marcar el correo como spam.
  • Dejar pasar el correo basura
  • Rechazar el correo basura

Además, también informan al dominio cuyos correos electrónicos están fallando las comprobaciones SPF y DKIM. Esto ayuda a los propietarios de dominios a comprobar si su dominio tiene algún problema y a tomar medidas rápidamente para mantener su reputación de remitente.

Sin registros DMARC, los proveedores de servicios de correo electrónico toman sus propias decisiones sobre el rechazo o la aceptación de correos electrónicos. Esto puede tener consecuencias extrañas para la reputación de su dominio (y, por extensión, también para la reputación de su sitio web). Por lo tanto, es mejor tener control sobre ello.

Conclusión

Así pues, ahora ya ve cómo los registros DNS son vitales para el funcionamiento y la seguridad de los sitios web. Sin los registros DNS, es imposible localizar sitios web. DNS también es responsable de definir los puertos para los servicios individuales de un sitio web (como el correo electrónico y VoIP).

Con los registros de seguridad DNS, evita que otros utilicen indebidamente la imagen de su sitio web para causar daños. También se asegura de que la reputación del remitente de correo electrónico de su sitio web se mantenga, lo que se traduce en más correos electrónicos que llegan a las bandejas de entrada de los consumidores.

Felix Rose-Collins

Felix Rose-Collins

Ranktracker's CEO/CMO & Co-founder

Felix Rose-Collins is the Co-founder and CEO/CMO of Ranktracker. With over 15 years of SEO experience, he has single-handedly scaled the Ranktracker site to over 500,000 monthly visits, with 390,000 of these stemming from organic searches each month.

Empieza a usar Ranktracker... ¡Gratis!

Averigüe qué está impidiendo que su sitio web se clasifique.

Crear una cuenta gratuita

O inicia sesión con tus credenciales

Different views of Ranktracker app