Protección DNS: la capa que muchos pasan por alto

7 min de lectura

Antes de que un malware alcance su servidor de control, realiza una consulta DNS. Antes de que un empleado caiga en una página de inicio de sesión falsa, su equipo resuelve el dominio de esta. Casi cada ataque se detiene en un punto que muchas empresas nunca filtran: el DNS. Protective DNS cubre exactamente esta brecha y es una de las capas de seguridad más económicas.

Lo más importante en resumen

El DNS es el denominador común: El control de malware, el phishing y la fuga de datos casi siempre comienzan con una resolución de nombres. Quien no filtra el DNS, deja sin aprovechar el primer nivel de detección.
Protective DNS bloquea en la raíz: Un resolver endurecido contrasta cada consulta con bases de datos de amenazas y detiene servidores de control conocidos, dominios recién registrados y páginas de phishing antes de que la conexión se establezca.
El DNS cifrado es el talón de Aquiles: DNS over HTTPS elude el resolver corporativo y, por tanto, el filtro. Quien no controla este canal, anula su propia capa de protección.

Relacionado:ITDR junto a SIEM y EDR: Arquitectura de detección 2026 / Dispositivo Edge como puerta de entrada del ransomware: por qué el MFA en la VPN no basta

Por qué los atacantes utilizan el DNS

El DNS es el directorio de Internet. Cada conexión comienza con la traducción de un nombre a una dirección. Esto se aplica tanto a la visita de un sitio web como a un malware que, tras la infección, contacta con su servidor de control. Por eso, el DNS es el punto por el que pasa casi toda cadena de ataque, ya sea en el phishing, en la descarga posterior de código malicioso o en la fuga silenciosa de datos.

La mayoría de las medidas de protección actúan más tarde. El antivirus analiza el archivo, el firewall inspecciona el tráfico y el EDR monitoriza el comportamiento en el extremo. La consulta DNS previa circula sin filtrar en muchas redes, a menudo directamente hacia un resolver público. Con ello, se desaprovecha la oportunidad de detener un ataque antes de que siquiera establezca una conexión.

Este nivel de detección no solo es temprano, sino también económico. Quien ya opera un DNS, y eso lo hace toda empresa, suele poder añadir esta protección con la infraestructura existente. Esto convierte a Protective DNS en una de las pocas capas de seguridad con una buena relación entre esfuerzo y eficacia.

¿Qué es Protective DNS? Protective DNS es un resolver DNS que contrasta cada resolución de nombres con bases de datos de amenazas y bloquea o redirige las consultas a dominios maliciosos conocidos. En lugar de devolver una dirección peligrosa, responde con una página de bloqueo. Organismos como el BSI y servicios de seguridad en varios países recomiendan expresamente este enfoque.

Lo que bloquea un resolver endurecido

Un servicio de DNS protegido trabaja con listas de bloqueo alimentadas por datos de amenazas actualizados constantemente. Técnicamente, lo implementa a menudo mediante Zonas de Política de Respuesta, es decir, reglas que no resuelven en absoluto dominios definidos. El beneficio práctico radica en las categorías que cubre y en los puntos ciegos que deja deliberadamente abiertos.

Lo que hace el DNS protegido

Bloquea servidores de impuestos conocidos de software malicioso
Detiene dominios de phishing y typosquatting
Interviene temprano en dominios recientemente registrados
Proporciona registros valiosos para la detección de hosts comprometidos

Dónde están los límites

Dominios desconocidos y completamente nuevos pasan desapercibidos
Las conexiones directas mediante dirección IP evitan el DNS
El DNS cifrado anula el filtro
No es un sustituto de EDR, parcheo ni segmentación

Por tanto, el DNS protegido no es una solución universal, sino una capa dentro del pila. Asume una gran carga desde temprano y de forma económica, pero no la reemplaza. Exactamente esta valoración decide si su implementación se considera un avance en seguridad o simplemente una tranquilidad engañosa.

La brecha que crea el DNS cifrado

El mayor obstáculo práctico tiene un nombre poco llamativo: DNS over HTTPS. Los navegadores modernos y muchas aplicaciones pueden enviar sus solicitudes DNS cifradas y directamente a un proveedor externo, sin pasar por el resolver empresarial. Desde la perspectiva de la privacidad, esto es deseable. Desde la perspectiva de la defensa, es una brecha, ya que el propio filtro de DNS protegido nunca ve estas solicitudes.

También el software malicioso utiliza cada vez más este camino, especialmente para evitar filtros. Quien introduce DNS protegido sin controlar el DNS cifrado cierra la puerta principal pero deja la ventana abierta. Es precisamente en este punto donde he visto configuraciones que parecían limpias en el papel, pero no ofrecían protección alguna en la práctica.

Las contramedidas son conocidas, pero requieren disciplina: obligar al propio resolver como único camino permitido para DNS, bloquear en la firewall el DNS cifrado externo y conceder excepciones de forma consciente y documentada. Sin este paso, el mejor filtro sigue siendo ineficaz.

Cómo introducir Protective DNS

La introducción es sencilla si se respeta el orden. Quien comienza bloqueando antes de conocer qué es normal en su red, genera principalmente interrupciones y una aceptación quemada.

Introducción en cuatro pasos

Paso 1

Comenzar observando. Dejar primero solo registrar las solicitudes del resolver endurecido, sin bloquear. Así verá qué dominios realmente solicita la red y evitará sorpresas desagradables.

Paso 2

Bloquear progresivamente. Primero bloquear claramente categorías maliciosas, luego afinar. Una lista breve de excepciones para casos legítimos debe incluirse desde el principio.

Paso 3

Cerrar el DNS cifrado. Bloquear el DNS over HTTPS externo en la firewall y forzar al propio resolver como único camino. Sin este paso, el filtro puede ser contornado.

Paso 4

Obtener los logs para la detección. Inyectar los registros de solicitudes en el SIEM. Un host que repite solicitudes a dominios bloqueados es una señal temprana fiable de compromiso.

Preguntas frecuentes

¿Reemplaza Protective DNS mi firewall o mi EDR?

No. Protective DNS es una capa temprana y económica que detiene muchos ataques antes de establecer la conexión. La firewall, el EDR, las actualizaciones y la segmentación siguen siendo necesarios. Protective DNS reduce la carga en estas capas desde etapas tempranas, antes incluso de que la conexión se establezca.

¿En qué se diferencia Protective DNS de un resolutor DNS normal?

Un resolutor DNS normal resuelve cada consulta, incluso a dominios maliciosos. Un resolutor DNS Protective compara cada consulta contra datos de amenazas y rechaza la resolución de direcciones peligrosas, a menudo mediante Zonas de Política de Respuesta.

¿Por qué es un problema el DNS cifrado?

DNS over HTTPS envía las consultas directamente a proveedores externos, bypassando el resolutor corporativo. Con esto, el propio filtro no ve esas consultas. Sin control sobre este canal, Protective DNS puede ser contornado tanto por usuarios como por malware.

¿Es adecuado Protective DNS también para empresas pequeñas?

Justamente allí. El esfuerzo es bajo, a menudo basta con la infraestructura existente o un servicio alojado. Para equipos sin un gran SOC, es una de las pocas medidas con efecto inmediato y bajo mantenimiento.

¿Cómo evitar que servicios legítimos sean bloqueados?

Al comenzar la introducción en modo de observación puro y avanzar gradualmente al bloqueo. Una lista de excepciones bien mantenida y un camino claro para alertas falsas mantienen alta la aceptación en el entorno operativo.