Guía de despliegue seguro de DNS de NIST: mejores prácticas

Resumen ejecutivo: NIST publicó el SP 800-81r3 el 19 de marzo de 2026, su primera actualización de la Secure DNS Deployment Guide en 13 años. El nuevo documento es más corto (50 páginas, en lugar de 120) y pasa de consejos de configuración específicos de plataformas a un marco estratégico para la seguridad DNS empresarial.

La guía divide la seguridad DNS en tres pilares. Primero, tratar el DNS como un componente de la arquitectura de seguridad centralizando la resolución para permitir el registro de consultas (para investigaciones forenses y detección de amenazas) y el filtrado de resolución de nombres (Protective DNS). Segundo, proteger los servidores recursivos proporcionando un servicio recursivo interno cifrado, restringiendo el acceso al DNS público, utilizando minimización de QNAME y validando DNSSEC. Tercero, proteger los servidores autoritativos en cinco áreas: proteger las interfaces de gestión, minimizar la fuga de información, mantener la higiene DNS (los registros NS/CNAME obsoletos son un riesgo de secuestro), monitorear dominios similares y desplegar DNSSEC para garantizar la integridad criptográfica.

El 19 de marzo de 2026, NIST publicó una esperada actualización de su Secure DNS Deployment Guide (SP 800-81r3). La seguridad DNS es un tema muy cercano para mí y me interesaba mucho ver lo nuevo. La respuesta rápida es—todo. ¿Sorpresa? No, en realidad no, porque la versión anterior de este documento se publicó en 2013, que fue hace unos impresionantes 13 años. El documento de 2013 fue producto de su época. El de 2026 también lo es, pero el panorama de seguridad actualmente es muy distinto al de entonces. Eso explica las grandes diferencias. Vamos a verlo en detalle.

El mayor cambio es conceptual. Con unas 120 páginas, la versión anterior era más larga y mucho más técnica, enfocada a menudo en configuraciones y detalles concretos de plataformas. La nueva versión se ha reducido a unas 50 páginas y se centra en la estrategia general para asegurar el DNS empresarial.

De hecho, la tarea de proteger DNS ahora se divide en tres aspectos:

• DNS como parte de la arquitectura de seguridad
• Seguridad de los servidores recursivos de la organización
• Seguridad de los servidores autoritativos de la organización

Aunque nunca se concibió como control de seguridad, con los años DNS se ha convertido en una parte crítica de la arquitectura de seguridad de toda organización, debido a que todos los servicios de red lo requieren. La gran mayoría de los servicios necesitan resolver nombres de dominio en direcciones IP. Muchas amenazas utilizan DNS como mecanismo de entrega.

Así, si el uso de DNS dentro de una organización está centralizado, obtenemos dos beneficios clave:

• Registro de consultas DNS proporciona registros de resolución de DNS muy valiosos para la investigación forense digital y la respuesta a incidentes, lo cual es fundamental tanto para una mejor seguridad como para cumplir requerimientos regulatorios. El monitoreo de patrones de uso de DNS también es útil para detectar exfiltración de datos y en general reaccionar ante amenazas en tiempo real.
• Filtrado de resolución de nombres actúa como un firewall de cliente muy útil con varios fines. Primero, asegura que las políticas de contenidos de la empresa se apliquen de forma uniforme. Segundo, y más importante, protege a los usuarios de amenazas como el phishing y el malware. El concepto central utilizado aquí es lo que a veces se denomina Protective DNS.

Una vez que integras DNS en tu infraestructura de seguridad, el siguiente paso es proteger la resolución DNS en todo tu entorno. Aquí es donde se complica, porque necesitas asegurarte de que todos los dispositivos de la organización cumplan las políticas. Esto requiere dos pasos:

• Proporcionar un servicio recursivo oficial para uso interno. Centralizar el servicio te permitirá aprovechar las decisiones de la arquitectura de seguridad, como vimos en la sección anterior. Para mejores resultados, este servicio recursivo debería estar cifrado, para proteger el tráfico DNS potencialmente sensible de actores maliciosos en tus redes internas.
• Restringir el acceso a servicios DNS públicos para garantizar que sólo se utilice el servicio oficial. Normalmente se gestiona desde una plataforma MDM (Mobile Device Management), que permite controlar configuraciones clave del sistema operativo y aplicaciones. Bloquear algunos puertos de DNS es sencillo: el puerto 53 se usa para DNS en texto plano y el 853 para DNS-over-TCP (DoT) y DNS-over-QUIC (DoQ). Bloquear DNS-over-HTTPS (DoH) es mucho más difícil, porque utiliza el puerto 443, igual que el resto de la Web. Aunque no es fácil, normalmente las organizaciones recurren a sus proveedores para una solución.

Tu servicio recursivo podría filtrar información en el tráfico que sale a internet. Funcionalidades como el cifrado del tráfico DNS saliente y la minimización de QNAME deben utilizarse para mejorar la privacidad. La validación de DNSSEC sirve para asegurar que la información recibida no ha sido manipulada.

Tus servidores recursivos pueden ser atacados, como cualquier otra parte de tu infraestructura. Los ataques de envenenamiento de la caché DNS han resurgido en 2025 y 2026, y siguen siendo un vector de ataque relevante.

El paso final para una buena salud del DNS es proteger tus servidores autoritativos. Nos fijamos en cinco áreas bien definidas:

• Proteger las interfaces de gestión. Tus servidores autoritativos deben estar en internet pública para ser útiles, pero sus interfaces de gestión deben permanecer protegidas. Algunas funciones como las transferencias de zona y actualizaciones dinámicas no deberían exponerse al público para minimizar la superficie de ataque. Si tienes tu DNS externalizado a un proveedor gestionado, ellos se ocuparán de la seguridad. Si mantienes tu servidor primario, es mejor que esté totalmente oculto y accesible sólo para los secundarios. Si lo haces, será menos probable ser víctima de un ataque DoS.
• Minimizar la fuga de información. Por definición, DNS comunica información al público, pero las zonas DNS suelen incluir información innecesaria que puede ser aprovechada por actores maliciosos. Revisa periódicamente lo que tienes publicado y elimina lo que no sea vital para tus servicios. Por servicios como monitoreo pasivo de DNS y Certificate Transparency, tus subdominios son más visibles de lo que imaginas. Siempre que sea posible, separa los dominios públicos de los internos y mantén estos últimos privados.
• Mantener la higiene del DNS. Como mínimo, asegúrate de que tu DNS es operativo. Puede funcionar pero contener información obsoleta, un problema muy habitual. Por ejemplo, registros NS caducados pueden ser usados para secuestrar el dominio completo. Registros CNAME obsoletos permiten secuestrar servicios individuales. Hay muchas formas de que el sistema falle, incluido errores de configuración o desincronización de zonas, cuando los secundarios no siguen al primario.
• Monitorizar dominios similares. Una técnica común en el cibercrimen es registrar dominios parecidos al tuyo para atacar a empleados, clientes, proveedores y socios. Monitorizar estos nombres y actuar rápido para eliminarlos es clave para la seguridad.
• Usar DNSSEC para garantizar la integridad. El DNS, por sí solo, no es seguro. Los paquetes pueden ser interceptados y modificados durante su tránsito por la red. Ataques como el envenenamiento de caché pueden inyectar datos inválidos en los servidores recursivos. Como ya vimos, para cifrar el tráfico DNS necesitas protocolos como DoT, DoH y DoQ. Para una verdadera integridad respaldada por criptografía, necesitas DNSSEC.

En Red Sift, nuestro enfoque se centra en la defensa de la ciberseguridad, y DNS es una parte fundamental. Proporcionamos descubrimiento y monitoreo continuo de infraestructura en nuestro producto Attack Surface Management, que ofrece funcionalidades para monitoreo de la higiene DNS (o DNS Posture Management, si lo prefieres). Nuestra solución Brand Trust ofrece monitoreo integral de dominios similares. Contáctanos para ver cómo podemos ayudarte a mejorar tu postura de seguridad.

1. Trata DNS como parte de la arquitectura de seguridad

• Mantén un registro de auditoría DNS para forenses y detección de amenazas
• Crea una capa protectora con filtrado de resolución de nombres

2. Protege los servidores recursivos

• Proporciona un servicio recursivo interno
• Cifra el tráfico DNS saliente
• Usa minimización de QNAME
• Valida DNSSEC
• Evita el acceso a servicios DNS públicos

3. Protege los servidores autoritativos

• Protege las interfaces de gestión
• Oculta tus servidores primarios
• Minimiza la fuga de información
• Mantén la higiene del DNS
• Monitoriza dominios similares
• Usa DNSSEC para garantizar la integridad