El Instituto Nacional de Estándares y Tecnología de Estados Unidos (NIST) ha publicado una nueva versión de su guía de seguridad para el sistema de nombres de dominio (DNS), un componente crítico en cualquier infraestructura digital que durante años ha pasado desapercibido dentro de las estrategias de ciberseguridad.
La actualización —SP 800-81r3— supone la primera revisión relevante en más de una década y refleja un cambio de enfoque: el DNS deja de ser solo un servicio operativo para convertirse en un elemento clave en la detección y protección frente a amenazas .
Uno de los principales cambios es el papel del DNS como mecanismo activo de seguridad. Más allá de traducir dominios, la guía introduce el concepto de “DNS protector”, capaz de analizar consultas, bloquear accesos a dominios maliciosos y generar información útil para la respuesta ante incidentes. Este enfoque se alinea con modelos como Zero Trust, donde el DNS actúa como punto de verificación y fuente de contexto para las decisiones de acceso.
La adopción de protocolos como DoH, DoT o DoQ mejora la confidencialidad de las consultas, pero también introduce nuevos retos. El NIST advierte de que el servidor DNS pasa a ser un punto crítico de control, lo que obliga a evitar que aplicaciones o navegadores eludan los mecanismos corporativos. Por ello, recomienda bloquear tráfico cifrado no autorizado y garantizar la visibilidad para los equipos de seguridad.
La guía actualiza también las prácticas en torno a DNSSEC, priorizando algoritmos más eficientes como ECDSA o EdDSA frente a RSA, y reforzando la protección de claves mediante hardware.
Aunque menciona la criptografía post-cuántica, reconoce que aún no existen estándares aplicables en DNS, por lo que aconseja prepararse para su futura adopción.
El documento pone el foco en problemas habituales como registros obsoletos o delegaciones incorrectas, que pueden facilitar el secuestro de dominios. También recomienda monitorizar dominios similares para prevenir ataques de suplantación.
En cuanto a infraestructura, el NIST insiste en separar funciones DNS, desplegar múltiples servidores y distribuirlos geográficamente para reducir el impacto de posibles ataques.
La actualización llega en un momento en el que el DNS gana protagonismo tanto en la regulación —como NIS2— como en las estrategias de seguridad. Los atacantes siguen utilizándolo como vector clave, lo que refuerza la necesidad de gestionarlo de forma activa.
