Parte 4 de la serie "Seguridad web en la UE: 10 pasos para una mejor calificación"
La base invisible
Antes de que tu navegador pueda cargar un sitio web, debe resolver el nombre de dominio a una dirección IP. Eso es lo que hace el Sistema de Nombres de Dominio (DNS) — y tiene un problema fundamental: fue diseñado en 1983 sin autenticación. Cualquiera que pueda manipular las respuestas DNS puede redirigir a los usuarios a servidores arbitrarios.
Un atacante en la misma red puede falsificar respuestas DNS y redirigir a tus clientes a una copia perfecta de tu sitio web — con un certificado válido de Let's Encrypt, si ningún registro CAA restringe la emisión.
Adopción de DNSSEC en la UE: 15,8%. Solo uno de cada seis dominios está protegido.
Las cifras
- DNSSEC: 15,8% validado
- CAA (Certification Authority Authorization): 3,0%
- DANE/TLSA: menos del 1%
El 97% de los dominios europeos no tiene registro CAA. Esto significa: cualquier autoridad de certificación del mundo puede emitir un certificado válido para tu dominio — incluyendo un atacante con acceso a una CA comprometida.
¿Qué es DNSSEC?
DNSSEC (Domain Name System Security Extensions, RFC 4033-4035) firma criptográficamente las respuestas DNS. El servidor de nombres que resuelve puede verificar que la respuesta proviene genuinamente del servidor de nombres autoritativo y no ha sido manipulada.
Sin DNSSEC: tu-dominio.com -> 93.184.216.34 (no verificable)
Con DNSSEC: tu-dominio.com -> 93.184.216.34 + RRSIG (firmado criptográficamente)
Cómo activar DNSSEC
DNSSEC se activa en el proveedor DNS, no en tu servidor.
Paso 1: Comprobar tu proveedor DNS
La mayoría de los grandes proveedores soportan DNSSEC:
| Proveedor | Soporte DNSSEC | Activación |
|---|---|---|
| Cloudflare | Sí | Un clic en el panel de control |
| AWS Route 53 | Sí | Vía CLI o Consola |
| Google Cloud DNS | Sí | Vía CLI o Consola |
| Azure DNS | Sí | Vía Portal o CLI |
| OVH | Sí | Zona DNS > Activar DNSSEC |
| Hetzner | Sí | Consola DNS > Activar DNSSEC |
| GoDaddy | Sí | Configuración del dominio > DNSSEC |
Paso 2: Activar DNSSEC
Con la mayoría de los proveedores, es un solo interruptor en el panel de gestión DNS. El proveedor genera las claves DNSSEC y firma la zona automáticamente.
Paso 3: Añadir el registro DS en el registrador
Si tu proveedor DNS y tu registrador son diferentes (por ejemplo, dominio en GoDaddy, DNS en Cloudflare), necesitas añadir manualmente el registro DS en el registrador. El registro DS es el ancla de confianza — vincula tu dominio con la firma DNSSEC.
Cloudflare muestra el registro DS que necesitas introducir en tu registrador.
Paso 4: Verificar la validación
dig +dnssec tu-dominio.com
Si la respuesta contiene la bandera ad (Authenticated Data), DNSSEC está activo y validado.
CAA: ¿Quién puede emitir certificados?
Un registro CAA (RFC 8659) define qué autoridades de certificación pueden emitir certificados TLS para tu dominio:
tu-dominio.com. IN CAA 0 issue "letsencrypt.org"
tu-dominio.com. IN CAA 0 issuewild ";"
issue "letsencrypt.org"— solo Let's Encrypt puede emitir certificadosissuewild ";"— ningún certificado wildcard de nadie
El 3% de los dominios de la UE tiene un registro CAA. El otro 97% confía ciegamente en todas las CA del mundo.
Errores comunes
1. Activar DNSSEC sin monitorización. Si las firmas DNSSEC expiran (fallo en la rotación de claves), el dominio se vuelve inaccesible para todos los resolvedores que validan DNSSEC. Asegúrate de que tu proveedor rota las claves automáticamente.
2. Configurar CAA de forma demasiado estricta. Si cambias de proveedor de CA y olvidas actualizar el registro CAA, la renovación del certificado fallará.
3. DANE sin DNSSEC. Los registros DANE/TLSA solo funcionan con DNSSEC — sin la firma, un atacante también puede falsificar el registro TLSA.
Contexto regulatorio
- NIS2 Art. 21(2) — la infraestructura DNS forma parte de las medidas de ciberseguridad para redes y sistemas de información
- NIS2 Art. 28 — obligaciones específicas para proveedores de servicios DNS y registros de TLD
- RGPD Art. 32 — el DNS spoofing puede llevar a phishing y, en consecuencia, a brechas de datos
Comprueba la seguridad de tu DNS
SiteGuardian comprueba la validación DNSSEC, registros CAA, DANE/TLSA y la higiene DNS (transferencias de zona abiertas, registros huérfanos):
La próxima semana en la Parte 5: security.txt — el estándar RFC 9116 que ENISA recomienda y que el 97,2% de los sitios web de la UE no tiene.