IT Experts de México
Centro de Operaciones Consultoría y Soporte Hardware y Licenciamiento Cloud Operations Ciberseguridad Herramientas Blog Contáctanos
Networking

DNS bien explicado: el sistema del que todo depende y casi nadie entiende

14/07/2026 4 min de lectura Rubén Espinoza

Hay un chiste viejo entre administradores de sistemas: pase lo que pase, "siempre es DNS". Se ríen porque es cierto una cantidad sospechosa de veces. Y es cierto, en parte, porque casi nadie entiende DNS de fondo: se sabe que "traduce nombres a direcciones" y ahí termina la comprensión. El problema es que ese resumen esconde justo las piezas —la caché, el TTL, la jerarquía— donde vive el 90% de las fallas.

Qué es (más allá de "la guía telefónica")

La analogía de la guía telefónica sirve para arrancar: DNS traduce ejemplo.com a una dirección IP, porque la red mueve paquetes por números, no por nombres. Pero DNS es más que un directorio: es un sistema jerárquico y distribuido, sin un dueño central, donde la responsabilidad de cada nombre está delegada. Nadie tiene "la lista completa de internet"; cada quien es autoridad de su pedazo.

Cómo se resuelve un nombre, paso a paso

Cuando tu equipo necesita ejemplo.com y no lo tiene en caché, ocurre una cadena:

  • Tu equipo pregunta a un resolver recursivo (el de tu ISP, o uno público como 8.8.8.8). Ese resolver hace el trabajo sucio por ti.
  • El resolver pregunta a un servidor raíz: "¿quién sabe de .com?".
  • La raíz lo manda al servidor TLD de .com: "¿quién es autoridad de ejemplo.com?".
  • El TLD lo manda al servidor autoritativo del dominio, que por fin responde con la IP.

Toda esa carrera pasa en milisegundos, y casi siempre se salta pasos gracias a la caché. Entender la cadena importa porque cuando algo "resuelve raro", el problema está en uno de esos escalones —y saber cuál te ahorra horas—.

Los registros que sí debes conocer

Una zona DNS es una colección de registros. Los que aparecen todo el tiempo:

  • A y AAAA: el nombre a una IPv4 y a una IPv6, respectivamente.
  • CNAME: un alias, un nombre que apunta a otro nombre.
  • MX: a dónde entregar el correo del dominio.
  • TXT: texto libre, y aquí viven piezas críticas de seguridad de correo —SPF, DKIM y DMARC—. Un TXT mal puesto es por qué tu correo legítimo cae en spam.
  • NS y PTR: quién es autoritativo, y la resolución inversa (IP a nombre).

TTL y caché: por qué un cambio "no se ve"

Cada registro trae un TTL (time to live): cuántos segundos puede guardarse en caché antes de volver a preguntar. Aquí está el malentendido más caro de DNS. Cuando cambias un registro y "tarda en propagarse", nada está viajando: lo que ocurre es que las cachés de medio mundo siguen sirviendo el valor viejo hasta que su TTL expira. La "propagación" es, en realidad, caché venciéndose. Por eso el truco de oficio es bajar el TTL días antes de una migración, no el mismo día —para ese momento la caché ya se agarró del valor largo y llegas tarde—.

Por qué "siempre es DNS"

Porque falla de maneras silenciosas: una caché vieja que sirve una IP muerta, un registro que apunta a un servidor dado de baja, un TTL de un día que congela un error, o un DNS interno que resuelve distinto al externo (split-horizon) y hace que "en la oficina sí, desde casa no". Ninguna de esas se ve en un ping; todas se ven si entiendes la cadena y la caché.

Dos cosas más que conviene conocer: DNSSEC y DNS cifrado

DNS nació sin seguridad: las respuestas viajaban en claro y sin forma de verificar que fueran auténticas, lo que abre la puerta a que alguien te conteste una dirección falsa (envenenamiento de caché). Dos mecanismos lo atienden, y conviene saber qué hace cada uno sin sobrevenderlos. DNSSEC firma las respuestas para que puedas verificar que no fueron alteradas —protege la integridad, no la privacidad, y su despliegue completo sigue siendo parcial en internet—. El DNS cifrado (DoH/DoT) esconde tus consultas de quien va en el camino —protege la privacidad, no la autenticidad—. No son intercambiables ni resuelven lo mismo, y ninguno es todavía universal. Mencionarlos aquí es para que, cuando aparezcan en una discusión de seguridad, sepas qué problema ataca cada uno y no los confundas.

La idea que se queda

DNS no es un directorio estático, es un sistema vivo con memoria (caché) y jerarquía (delegación). Cuando algo "a veces sí, a veces no", tu primer sospechoso razonable es la caché y su TTL. Deja de ser un chiste y se vuelve un diagnóstico. Es la tercera parada del recorrido completo de una red.

#dns #ttl #resolucion de nombres #registros dns #redes #fundamentos

Preguntas frecuentes

¿Qué es el TTL y por qué un cambio de DNS "tarda en propagarse"?

El TTL (time to live) es cuántos segundos puede guardarse un registro en caché antes de volver a consultarse. Cuando cambias un registro y "tarda en propagarse", nada está viajando: las cachés de medio mundo siguen sirviendo el valor viejo hasta que su TTL expira. Por eso el truco de oficio es bajar el TTL días antes de una migración, no el mismo día, porque para entonces la caché ya se agarró del valor largo y llegas tarde.

¿Qué registros DNS debería conocer?

Los que aparecen todo el tiempo: A y AAAA (nombre a una IPv4 y a una IPv6), CNAME (un alias que apunta a otro nombre), MX (a dónde entregar el correo del dominio), TXT (texto libre donde viven piezas críticas de seguridad de correo como SPF, DKIM y DMARC) y NS/PTR (quién es autoritativo y la resolución inversa de IP a nombre).

¿Por qué se dice que "siempre es DNS" cuando algo falla?

Porque DNS falla de maneras silenciosas que no se ven en un ping: una caché vieja que sirve una IP muerta, un registro que apunta a un servidor dado de baja, un TTL largo que congela un error, o un DNS interno que resuelve distinto al externo (split-horizon) y hace que "en la oficina sí y desde casa no". Todas se diagnostican si entiendes la cadena de resolución y la caché.

¿Necesitas ayuda con este tema?

El equipo de IT Experts puede evaluar tu infraestructura sin costo.

Hablar con un especialista

Más de Networking

MIMO, MU-MIMO y spatial streams en cristiano
WiFi empresarial: por qué el estándar nuevo no arregla un mal diseño
WiFi 6, 6E y 7: qué cambia de verdad (y qué es marketing)