Qué es DNSSEC y cómo sé si un dominio lo ha configurado

Mantener la seguridad al navegar es muy importante y por ello hay diferentes protocolos que ayudan a evitar problemas. Uno de ellos es DNSSEC, del cual vamos a hablar en este artículo. Vamos a explicar qué es, por qué es importante y también hablaremos de qué podemos hacer para saber si un dominio web lo ha configurado. Esto nos ayudará a navegar con mayor seguridad y evitar riesgos que puedan comprometer nuestros equipos.

Cómo funciona DNS

En primer lugar vamos a explicar qué es y cómo funciona DNS. De esta forma podremos comprender mejor para qué sirve DNSSEC. Son las siglas de Domain Name System, que si lo traducimos al español diríamos Sistema de nombres de dominio.

Cuando navegamos por Internet simplemente tenemos que poner el nombre del sitio en el navegador y entramos en la página. Por ejemplo redeszone.net para entrar en RedesZone. Pero claro, en realidad hay algo más detrás de eso. Ahí precisamente es donde entran en juego los DNS.

Lo que hacen los DNS es traducir esos nombres de dominio, como sería RedesZone, en la dirección IP que corresponde al sitio. De esta forma no tenemos que recordar una gran cantidad de números sin mucho sentido, que sería la IP, sino simplemente el nombre.

Para ello van a utilizar una base de datos, la cual tiene que estar lo más actualizada posible. Básicamente actúan como si fuera una guía telefónica pero para vincular sitios web a las direcciones IP correspondientes.

En qué consiste DNSSEC

Entonces, ¿qué significa DNSSEC? ¿Qué relación tiene con lo que hemos explicado de los servidores DNS. Podemos decir que tiene una vinculación directa, pero que permite mejorar la seguridad. Añade una capa extra de protección a los servidores DNS que tiene un dominio web.

El uso de DNSSEC se basa en firmas digitales que va a comprobar el cliente DNS y de esta forma verificar que esa información es correcta y corresponde con los servidores DNS autorizados.

Lo que hace DNSSEC es firmar digitalmente esos registros para la búsqueda de DNS. Utiliza para ello criptografía de clave pública como RSA y DSA. Usa además algoritmos como SHA-1, SHA256 y SHA512. Todo esto sirve para verificar que los datos no han sido modificados y que se están enviando y recibiendo los que corresponden.

Previene de ataques de seguridad

El uso de DNSSEC es importante de cara a evitar ciertos ataques de seguridad en la red. Como hemos visto puede verificar que lo que estamos solicitando realmente es lo correcto. Esto evita que, por ejemplo, terminemos en un sitio web que ha sido creado únicamente para robar contraseñas.

Esto es lo que se conoce como ataque Phishing. Accedemos a una página web para abrir el correo, alguna red social como puede ser Facebook o incluso entrar en la cuenta bancaria, pero en realidad nos están derivando a un sitio que simula ser el original y que está diseñado para robar las claves de acceso y el nombre de usuario.

Es necesario utilizar DNS que soporten DNSSEC

Hay que tener en cuenta que para poder navegar por Internet con el protocolo DNSSEC es imprescindible utilizar servidores DNS que sean compatibles. Esto lo podemos cambiar fácilmente y por ejemplo podemos utilizar los de Google, que sí son compatibles.

Para cambiar los servidores DNS en Windows tenemos que ir a Inicio, entramos en Configuración, vamos a Red e Internet, Cambiar opciones del adaptador, hacemos clic con el  botón derecho del ratón encima de la tarjeta de red que nos interesa y le damos a Propiedades. Posteriormente marcamos Protocolo de Internet versión 4 (TCP/IPv4) para, una vez más, darle a Propiedades. Se abrirá una nueva ventana y hay que pinchar en Usar las siguientes direcciones de servidor DNS. Allí tenemos que rellenar con los que vamos a utilizar.

Cambiar los servidores DNS

Cómo saber si una página utiliza DNSSEC

Pero, ¿todas las páginas web tienen habilitado el protocolo DNSSEC? Es posible saber si un sitio web lo tiene activado o no. Esto nos ayudará a tener un mayor conocimiento sobre la seguridad de las páginas por las que estamos navegando.

Hay varias herramientas online que nos permiten saber si un sitio web cualquiera tiene implementado el protocolo DNSSEC. Debemos indicar que, aunque es una medida de seguridad interesante, lo cierto es que hay muchas páginas que hoy en día no lo incluyen. Esto no quiere decir que ese sitio sea peligroso, inseguro o que pueda ser usado para robar contraseñas y datos, pero sí que significa que no tiene esa capa extra de seguridad.

Para saber si un sitio web utiliza DNSSEC podemos entrar en DNSSEC-Analyzer. Es un servicio gratuito que pertenece a Verisign. Una vez dentro nos encontraremos con una página inicial como podemos ver en la imagen.

Verificar DNSSEC

Cuando escribimos el nombre del dominio que nos interesa y le damos a Enter, automáticamente nos aparecerá una serie de información relacionada con ese dominio. Si vemos que aparece algo como vemos en la imagen de abajo, significa que ese sitio web en concreto no tiene configurado DNSSEC.

Dominio no seguro con DNSSEC

Una opción alternativa que tenemos es la de DNSViz. Su funcionamiento es similar al anterior que hemos visto. Tenemos que poner arriba el dominio web correspondiente y le damos a iniciar. Automáticamente nos mostrará una serie de información para verificar si tiene o no configurado DNSSEC.

También podemos encontrar una extensión que está disponible para navegadores como Chrome o Firefox. Se trata de DNSSEC-Validator. La podemos instalar en el navegador y nos indicará de una manera sencilla si esa página que estamos visitando es o no compatible con DNSSEC.

Nos mostrará esta información de una forma tan simple como un icono en la barra del navegador. Este indicativo nos permitirá saber en todo momento si esa web en la que estamos es o no compatible. Nos aparecerá en verde si lo es y en rojo si no lo es.

En definitiva, DNSSEC es un protocolo que complementa DNS para agregar una capa extra de seguridad. Hemos explicado en qué consiste, por qué es interesante que las páginas lo tengan y de qué manera podemos saber si un sitio web cualquiera es o no compatible.