DNSSEC: qué es y cómo ayuda a proteger un dominio web

El dominio es una parte fundamental de cualquier página web. Por ello mantener la seguridad es algo que debe preocupar a los responsables de sitios en Internet. En este artículo vamos a explicar qué es DNSSEC y cómo ayuda a proteger una web. Vamos a hacer un repaso por este término que puede favorecer la seguridad de un dominio.

Qué significa DNSSEC

Las siglas de DNSSEC vienen de Domain Name System Security Extensions. Es un protocolo que añade una capa extra de seguridad a los servidores DNS que hay en un dominio. Esto permite evitar ciertos ataques cibernéticos que podrían comprometer seriamente la seguridad de ese sitio.

Hay que tener en cuenta que los DNS es una parte fundamental de Internet. Actúan básicamente como traductores a la hora de poner el nombre de una web. De esta forma el usuario no necesita recordar la dirección IP que corresponde a una página, sino simplemente el nombre como sería el caso de redeszone.net.

El protocolo DNSSEC lo que hace es firmar digitalmente esos DNS que mencionamos. Le agrega un plus de seguridad para verificar que realmente la información recibida corresponde con la de los servidores autorizados para ello y no se trata de una estafa que pueda poner en riesgo nuestra privacidad.

Cuando un usuario entra en una página web, su navegador se encargará de comprobar los servidores DNS asociados a ese sitio. Hay una serie de registros que almacenan las firmas digitales. El navegador lo que hace es consultar si esas firmas corresponden con lo que debería y por tanto valida la solicitud.

¿Qué ocurriría si esas firmas no corresponden? En el caso de que no se pudiera verificar, el sitio web no sería accesible. Es, como vemos, una medida de protección adicional para evitar acceder a sitios que puedan ser un peligro para la seguridad. Como si quisieras entrar en una página web que contenga malware y el antivirus te avisara y te bloqueara el acceso.

Cómo protege un dominio web

Como hemos indicado, agrega una capa extra de seguridad a un dominio web. Puede ayudar a prevenir ataques de suplantación de identidad, como podría ser el Phishing. Además, aumenta la protección contra ataques de interceptación de tráfico. Un pirata informático podría crear una web que simule ser legítima y en realidad ser una estafa. La podría usar para robar contraseñas o colar archivos maliciosos.

Debemos tener en cuenta que no cualquier servidor DNS que utilicemos va a servir para este propósito. Como sabemos, podemos utilizar los que vienen de forma predeterminada con nuestra operadora, así como utilizar otros. Hay muchas opciones en la red. Por ejemplo podemos nombrar los de Google o CloudFlare. Son alternativas a los que vienen con nuestra operadora.

No todos ellos van a soportar DNSSEC, por lo que debemos comprobar si lo hacen y de esta forma poder beneficiarnos de la seguridad que aportan. Por ejemplo los DNS de Google, que son muy populares y utilizados, sí son compatibles y además funcionan muy bien.

Pero no solo protegen al dominio en sí, sino también al usuario lógicamente. Evitan que una persona pueda acceder a un dominio inseguro, que ha podido ser creado simplemente con el objetivo de robar información y comprometer la privacidad.

En Windows puedes cambiar los DNS fácilmente y poner otros como los que hemos mencionado. Lo que tienes que hacer es ir a Inicio, entras en Configuración, vas a Red e Internet, Configuración de red avanzada, Más opciones del adaptador de red, Propiedades, Protocolo de red IPv4 y nuevamente a Propiedades. Ahora se abrirá una nueva ventana donde debes marcar la casilla de Usar las siguientes direcciones de servidor DNS.

Cambiar los DNS en Windows 11

¿Qué DNS poner? Hay muchas opciones, más allá de las que ofrecen la propia operadora que tengamos contratada. Algunas de las más populares son las siguientes:

  • Google: 8.8.8.8 y 8.4.4.8
  • Cloudflare: 1.1.1.1 y 1.0.0.1
  • Quad9: 9.9.9.9 y 9.9.9.11

Estas tres opciones que hemos puesto son gratuitas, pero puedes usar otras muchas. Además, algunas pueden llegar incluso a mejorar la velocidad de Internet, más allá de hacer que la seguridad y privacidad estén más presentes que si utilizas alguna alternativa predeterminada de tu operadora o cualquier otra que encuentres en la red. El objetivo es lograr que la conexión funcione lo mejor posible, pero sin que la seguridad se vea afectada en ningún momento y evitar así problemas.

Cómo saber si un dominio es compatible con DNSSEC

Tenemos diferentes opciones para comprobar si una página es compatible con DNSSEC. Así sabremos si realmente está protegido o deberíamos de activarlo en nuestro hosting. Esto es un proceso sencillo que podemos llevar a cabo en cualquier momento. En caso de que detectes que no es compatible, podrás activarlo y aumentar así la seguridad.

Para saber si un dominio es compatible con DNSSEC podemos hacer uso de alguna de las herramientas que hay disponibles. Una de ellas es DNSSEC-Analyzer, de Verisign. Simplemente tenemos que entrar allí y poner el dominio que nos interesa. Nos mostrará los datos como vemos en la imagen de abajo. Por ejemplo, hemos probado con el dominio de RedesZone. Puedes probar con cualquier otro que te interese y verás la información.

Comprobar si un dominio acepta DNSSEC

Otra opción que tenemos es la de DNSViz. Una vez más, tenemos que poner el nombre del dominio que nos interesa y darle a analizar. Tarda unos segundos y nos muestra la información que nos interesa para saber si es compatible o no con DNSSEC y por tanto está protegido. Veremos los datos de forma gráfica, una opción interesante para poder llevar a cabo cambios en caso de que fuera necesario.

DNSViz

En definitiva, DNSSEC es un protocolo importante y que debemos tener en cuenta para un dominio web. Nos ayuda a agregar una capa extra de seguridad y evitar así posibles problemas que pueden poner en peligro la fiabilidad de una página. Proteger nuestro sitio web, así como navegar por la red con seguridad, es algo elemental. Hemos visto que hay diferentes opciones para saber si un dominio es o no compatible, por lo que no resulta difícil comprobarlo.

¡Sé el primero en comentar!