Cada vez que abres el sitio de tu banco escribes un nombre —banco.com—,
nunca una fila de números. Pero las máquinas no se conectan por nombre; se conectan por
dirección IP. En algún punto entre tu teclado y el servidor, alguien traduce ese nombre
a la dirección correcta. Ese traductor es el DNS, y es tan invisible
que solo lo notas cuando falla —o cuando te da la dirección equivocada—.
Qué es DNS
DNS resuelve un problema humano antes que técnico: recordar nombres es fácil, recordar
direcciones numéricas no. Sin él, para entrar a tu banco tendrías que memorizar algo como
203.0.113.42 en lugar de banco.com.
DNS (Domain Name System) es el sistema que traduce nombres legibles por humanos —banco.com— a las direcciones IP numéricas que las máquinas usan para conectarse. Es, literalmente, la libreta de direcciones de internet.
Nadie escribe la IP: escribes el nombre y DNS hace la traducción por debajo. Y no es un único servidor gigante, sino un sistema jerárquico y distribuido repartido por todo el mundo.
Cómo se resuelve un nombre
Cuando escribes un nombre, la traducción no la hace tu navegador solo: delega en una cadena de servidores que se van pasando la pregunta hasta encontrar la respuesta autoritativa.
- Tu navegador le pregunta a un resolver —el de tu proveedor de internet, o uno público como
8.8.8.8—: "¿cuál es la IP debanco.com?". - El resolver consulta la jerarquía: primero los servidores raíz, que lo mandan a los servidores del TLD (los de
.com), y estos al servidor autoritativo del dominio. - El servidor autoritativo —el que manda sobre
banco.com— devuelve la IP definitiva. - El resolver le entrega esa IP a tu navegador y, de paso, la guarda en caché para no repetir todo el recorrido la próxima vez.
Lo importante: DNS es jerárquico y distribuido. Ningún servidor conoce todo internet; cada nivel solo sabe a quién preguntar en el siguiente. Así el sistema escala a miles de millones de nombres sin un punto central que lo sepa todo.
Caché y TTL
Repetir ese recorrido completo en cada visita sería lento y caro. Por eso cada respuesta DNS trae un TTL (Time To Live, tiempo de vida): un número de segundos durante los cuales la respuesta se considera válida y se puede reutilizar.
Ese valor se cachea en varias capas a la vez: en el resolver, en el sistema operativo de tu equipo y en el navegador. Mientras el TTL no expire, todas esas capas responden con el valor guardado sin volver a preguntar.
Por eso un cambio de DNS "tarda en propagarse". En realidad no se propaga nada: lo que ocurre es que la caché existente tiene que expirar antes de que se consulte el valor nuevo. Un TTL corto acelera los cambios; uno largo aligera la carga pero prolonga la espera.
Tipos de registro
Un dominio no guarda una sola cosa: guarda distintos registros, cada uno con un propósito. Los que más vas a ver:
- A / AAAA — asocian un nombre a una dirección IP.
Aapunta a una IPv4;AAAA, a una IPv6. Son la traducción básica nombre → dirección. - CNAME — un alias: dice "este nombre en realidad es otro nombre". Útil para que
www.banco.comapunte abanco.comsin repetir la IP. - MX — indica a dónde va el correo del dominio: qué servidores reciben los mensajes dirigidos a
@banco.com. - TXT — texto libre usado para verificaciones y políticas de correo como SPF y DKIM, que ayudan a evitar la suplantación de remitente.
Errores comunes y cuándo DNS "miente"
Casi todos los problemas de DNS no son fallas del sistema, sino malentendidos sobre cómo funciona la caché o sobre lo que el DNS no protege.
"Cambié el DNS y todavía no se ve, está roto." Casi nunca está roto. Lo que ves es la caché respondiendo con el valor viejo hasta que expire su TTL. No hay nada que reparar: hay que esperar a que la caché caduque (o purgarla donde puedas).
Más allá de la caché, hay dos verdades incómodas sobre el DNS que conviene tener claras:
- El DNS tradicional viaja sin cifrar. Quien esté en tu red —un Wi-Fi público, un router intervenido— puede ver qué dominios consultas e incluso alterar la respuesta. DoH (DNS sobre HTTPS) y DoT (DNS sobre TLS) cifran esas consultas para cerrar esa ventana.
- DNS es un punto único de fallo. "Los servidores están vivos pero el sitio no carga" muchas veces es DNS caído: si nadie puede resolver el nombre, da igual que el servicio detrás esté perfectamente sano. Nadie llega a él.
Y aquí está el "miente" del título: si un atacante logra colar una respuesta falsa —envenenamiento de caché—, el DNS te entregará la dirección de su servidor creyendo que es el de tu banco. Contra eso existe DNSSEC, que veremos enseguida.
El ángulo banca
En banca, la resolución de nombres deja de ser un detalle de infraestructura y pasa a ser un servicio crítico. Tres piezas explican por qué:
- DNS interno / split-horizon. Muchos nombres solo resuelven dentro de la red corporativa: sistemas de core, consolas de administración, servicios internos que no deben existir para el mundo exterior. El mismo nombre puede devolver una IP interna a un empleado y nada a alguien de afuera.
- Resolución confiable como servicio crítico. Si el DNS cae, cae todo —aunque cada sistema esté sano—, porque nada logra encontrar a nada. Por eso el DNS corporativo se diseña con redundancia y monitoreo, igual que la base de datos o la red.
- DNSSEC. Firma criptográficamente las respuestas para que el cliente verifique que vienen del servidor autoritativo real y no fueron alteradas. Es la defensa directa contra el envenenamiento de caché y la suplantación de un dominio bancario.
DNS es invisible hasta que falla: nadie piensa en la libreta de direcciones hasta que devuelve la dirección equivocada o deja de responder. Por eso, en entornos serios, no se trata como un servicio menor: se diseña con redundancia, se cifra y se firma. La traducción tiene que estar siempre, y tiene que ser la correcta.