Sign in Subscribe
Redes

Cómo funciona el DNS: el directorio invisible de Internet

Javier Monzón

6 min read
Cómo funciona el DNS: el directorio invisible de Internet

¿Recuerdas la última vez que buscaste un teléfono en una agenda? Probablemente no. Hoy guardamos contactos por nombre y el móvil hace el resto. Pues bien, Internet lleva haciendo exactamente lo mismo desde 1983. Cada vez que escribes tecnoic.com en el navegador, hay un sistema invisible que traduce ese nombre en una dirección numérica que los ordenadores entienden. Ese sistema es el DNS, y sin él Internet tal como la conocemos no existiría.

¿Qué es el DNS?

DNS son las siglas de Domain Name System (Sistema de Nombres de Dominio). Es, en esencia, una base de datos distribuida que asocia nombres de dominio legibles por humanos —como google.com o tecnoic.com— con direcciones IP, que son los identificadores numéricos reales que usan los dispositivos en red para encontrarse entre sí.

Una dirección IPv4 tiene este aspecto: 93.184.216.34. Una IPv6, algo así: 2606:2800:220:1:248:1893:25c8:1946. Memorizar eso para cada web que visitas sería inviable. El DNS soluciona ese problema.

El DNS es el directorio telefónico de Internet: tú pones el nombre, él te da el número.

Un poco de historia: antes del DNS existían los HOSTS

En los años 70, cuando ARPANET —la red predecesora de Internet— tenía apenas unos cientos de equipos conectados, bastaba con un fichero de texto llamado HOSTS.TXT. Ese archivo, mantenido manualmente por el Stanford Research Institute, listaba todos los nombres de máquinas y sus IPs correspondientes. Cada administrador de red descargaba el archivo periódicamente para mantenerlo actualizado.

El problema llegó con el crecimiento exponencial de la red. Para principios de los 80 ya era imposible mantener ese fichero de forma centralizada. En 1983, Paul Mockapetris publicó los RFC 882 y 883, sentando las bases del sistema DNS que todavía usamos hoy.

La estructura del DNS: jerárquica como un árbol

El DNS no es una base de datos única. Es un sistema jerárquico y distribuido, organizado como un árbol invertido.

La raíz (root)

En la cima está la zona raíz, representada por un punto invisible al final de cada dominio (técnicamente, tecnoic.com. con punto final). Esta zona está gestionada por 13 grupos de servidores raíz distribuidos por todo el mundo, operados por organizaciones como ICANN, Verisign o la NASA.

Los TLD (Top-Level Domains)

Debajo de la raíz están los dominios de primer nivel: .com, .es, .org, .net, .io, etc. Cada TLD tiene su propia autoridad de registro. El .es, por ejemplo, lo gestiona Red.es.

Los dominios de segundo nivel

Aquí es donde aparece tu nombre de dominio propiamente dicho: tecnoic en tecnoic.com. Este nivel lo controla el propietario del dominio, que decide qué registros DNS configurar.

Los subdominios

Por debajo puedes crear tantos subdominios como quieras: blog.tecnoic.com, api.tecnoic.com, correo.tecnoic.com. Son divisiones lógicas del mismo dominio.

¿Cómo funciona una consulta DNS paso a paso?

Cuando escribes una URL en el navegador, ocurren varias cosas en cuestión de milisegundos. Vamos a verlo con detalle.

Paso 1: Caché local

Lo primero que hace tu sistema operativo es revisar su caché DNS local. Si ya visitaste ese dominio recientemente y la respuesta no ha caducado, usa esa IP directamente. Sin consultar nada externo.

Paso 2: El resolver recursivo

Si no hay caché, la consulta va al resolver recursivo, generalmente el servidor DNS de tu proveedor de Internet (ISP) o uno que hayas configurado manualmente, como el 8.8.8.8 de Google o el 1.1.1.1 de Cloudflare. Este servidor se encarga de hacer todo el trabajo por ti.

Paso 3: Consulta a los servidores raíz

El resolver pregunta a uno de los 13 servidores raíz: "¿quién sabe sobre dominios .com?" El servidor raíz no conoce la IP final, pero sí sabe a qué servidor de TLD preguntar.

Paso 4: Consulta al servidor TLD

El resolver ahora pregunta al servidor TLD de .com: "¿quién gestiona tecnoic.com?" El servidor TLD responde con los nameservers autoritativos del dominio.

Paso 5: Consulta al servidor autoritativo

Por fin, el resolver pregunta al servidor autoritativo de tecnoic.com: "¿cuál es la IP de este dominio?" Este servidor sí tiene la respuesta definitiva y la devuelve.

Paso 6: Respuesta y caché

El resolver devuelve la IP a tu dispositivo y la guarda en caché durante el tiempo que marque el TTL (Time To Live) del registro. Si el TTL es de 3600 segundos, durante una hora no habrá que repetir todo el proceso.

Todo esto ocurre, en condiciones normales, en menos de 100 milisegundos.

Los tipos de registros DNS más importantes

El DNS no solo guarda IPs. Almacena distintos tipos de registros según su función:

  • A: Asocia un dominio con una dirección IPv4. El más común.
  • AAAA: Lo mismo, pero para IPv6.
  • CNAME: Alias de un dominio a otro. Muy usado para subdominios como www.
  • MX: Indica los servidores de correo del dominio.
  • TXT: Texto arbitrario. Se usa para verificaciones de propiedad (Google Search Console, por ejemplo) y protocolos antispam como SPF o DKIM.
  • NS: Indica cuáles son los nameservers autoritativos del dominio.
  • PTR: Resolución inversa: de IP a nombre. Usado en auditorías y logs.
  • SOA: Start of Authority. Metadatos sobre la zona DNS.

DNS sobre HTTPS (DoH) y DNS sobre TLS (DoT): la privacidad entra en juego

Durante décadas, las consultas DNS se han enviado en texto plano por el puerto 53 del protocolo UDP. Esto significa que cualquier agente en la red —tu ISP, un router comprometido, un gobierno— podía ver exactamente qué dominios consultas. Aunque no vean el contenido de tus comunicaciones, el simple hecho de saber qué sitios visitas revela mucho.

Para solucionar esto surgieron dos tecnologías:

  • DNS sobre TLS (DoT): Cifra las consultas DNS usando TLS, el mismo protocolo que protege el HTTPS. Opera por el puerto 853.
  • DNS sobre HTTPS (DoH): Encapsula las consultas DNS dentro del tráfico HTTPS normal, haciéndolas indistinguibles del resto de tráfico web. Es el estándar que han adoptado Firefox y Chrome.

Cloudflare (1.1.1.1) y NextDNS son actualmente los resolvers más populares con soporte nativo para ambos protocolos.

El DNS como vector de ataque: cuando el directorio miente

Precisamente porque el DNS es la infraestructura fundamental de Internet, es también un objetivo prioritario para los atacantes.

DNS Spoofing / Cache Poisoning

El atacante introduce registros falsos en la caché de un resolver. Cuando el usuario consulta un dominio legítimo, recibe una IP falsa que lo redirige a un servidor malicioso. El usuario no nota nada: la URL en el navegador sigue siendo correcta.

DNS Hijacking

El atacante toma control del servidor DNS autoritativo o del router del usuario y modifica los registros para redirigir el tráfico. Especialmente peligroso en redes domésticas con routers mal configurados.

DNS Tunneling

Técnica sofisticada que usa las consultas DNS para exfiltrar datos o establecer canales de comunicación encubiertos. Como el DNS raramente está bloqueado por firewalls, es un vector difícil de detectar.

Ataques DDoS a servidores DNS

Si los servidores DNS de un dominio caen, ese dominio desaparece de Internet aunque sus servidores web sigan funcionando perfectamente. El ataque a Dyn DNS en 2016 dejó inaccesibles durante horas plataformas como Twitter, Netflix o Reddit.

DNSSEC: la respuesta a la falsificación

DNSSEC (DNS Security Extensions) añade firmas criptográficas a los registros DNS, permitiendo verificar que la respuesta proviene del servidor autoritativo legítimo y no ha sido manipulada. Su adopción sigue siendo lenta —especialmente entre dominios pequeños—, pero es considerada buena práctica para cualquier sitio crítico.

DNS en la nube: Anycast y alta disponibilidad

Los grandes proveedores de DNS como Cloudflare, AWS Route 53 o Google Cloud DNS usan Anycast: la misma dirección IP es anunciada desde múltiples centros de datos en todo el mundo. El resolver del usuario es dirigido automáticamente al nodo más cercano geográficamente, reduciendo la latencia y garantizando alta disponibilidad incluso ante ataques DDoS masivos.

Esta arquitectura explica por qué el 1.1.1.1 de Cloudflare responde igual de rápido desde Madrid que desde Singapur.

Cómo consultar DNS desde tu terminal

Si trabajas en entornos técnicos, conocer las herramientas básicas de diagnóstico DNS es imprescindible:

# Consulta básica con nslookup
nslookup tecnoic.com

# Consulta con dig (más detallada)
dig tecnoic.com

# Ver solo la IP
dig +short tecnoic.com

# Consultar un registro MX
dig MX tecnoic.com

# Consultar directamente a un servidor específico
dig @8.8.8.8 tecnoic.com

# Resolución inversa (de IP a dominio)
dig -x 93.184.216.34

Conclusión

El DNS lleva más de cuatro décadas funcionando en silencio, resolviendo miles de millones de consultas cada segundo, tan integrado en la infraestructura de Internet que resulta invisible. Pero como hemos visto, detrás de esa aparente simplicidad hay una arquitectura distribuida y jerárquica de enorme sofisticación, con implicaciones profundas en rendimiento, privacidad y seguridad.

Entender cómo funciona el DNS no es solo curiosidad técnica: es conocer uno de los puntos de fallo —y de ataque— más importantes de toda la red. Y en un mundo donde la infraestructura digital sostiene prácticamente todo lo demás, ese conocimiento importa.

¿Usas DoH en tu navegador? ¿Tienes DNSSEC configurado en tu dominio? ¿Te suena de algo la IP 93.184.216.34? Déjalo en los comentarios.