¿Qué es el DNS (sistema de nombres de dominio)?

El DNS (sistema de nombres de dominio, Domain Name System) es el directorio de internet. Traduce los nombres legibles que escribes — como example.com — a las direcciones IP numéricas que las máquinas usan de verdad para conectarse. Es uno de los sistemas más silenciosos y esenciales de internet: casi toda conexión que haces empieza con una búsqueda DNS, y nunca notas que ocurre.

Por qué existe el DNS

Las personas recuerdan nombres; los ordenadores enrutan hacia números. Quieres escribir wikipedia.org, no 185.15.59.224 — y desde luego no una dirección IPv6 de 39 cifras. El DNS es la capa que permite a ambos lados tener lo que necesitan: nombres memorables para las personas, direcciones numéricas para las máquinas. Sin él, la web como lugar usable y legible no existiría.

La vieja analogía es una guía telefónica — buscas un nombre, obtienes un número. Es un buen punto de partida, pero el DNS es más interesante. Una guía es una sola lista estática; el DNS es una base de datos distribuida, jerárquica y viva repartida por miles de servidores en todo el mundo, actualizada continuamente, que responde a cientos de miles de millones de consultas al día. Ninguna máquina la contiene entera.

Cómo funciona realmente una búsqueda

Cuando abres un sitio, una breve carrera de relevos ocurre en milisegundos:

1. Tu dispositivo pregunta a un resolutor — normalmente el de tu ISP, o uno público — por la dirección del nombre.
2. Si el resolutor tiene la respuesta en caché de una búsqueda reciente, la devuelve de inmediato. Si no, recorre la jerarquía.
3. Pregunta a un servidor raíz qué servidores manejan el dominio de nivel superior (.org, .com, un código de país, etc.).
4. Pregunta a esos servidores de TLD qué servidores son autoritativos para el dominio concreto.
5. Pregunta a los servidores autoritativos del dominio por el registro real.
6. Almacena la respuesta durante un tiempo determinado y la devuelve a tu dispositivo, que se conecta entonces a la dirección.

Toda esa cadena suele completarse más rápido de lo que puedes percibir, y la caché hace que la mayoría de las búsquedas nunca recorran la distancia completa.

La jerarquía

El DNS se organiza como un árbol invertido, leído de derecha a izquierda.

• En la cima está la raíz (el punto implícito al final de cada nombre), servida por un pequeño conjunto de identidades de servidores raíz desplegadas por el mundo mediante anycast.
• Bajo la raíz están los dominios de nivel superior (TLD): genéricos como .com, .org, .net, y de código de país como .eg, .fr, .jp.
• Bajo cada TLD están los dominios de segundo nivel que la gente registra — example en example.com.
• El dueño del dominio opera (o delega) los servidores autoritativos que guardan sus registros.

Esta delegación es lo que permite al sistema escalar: nadie tiene que saberlo todo, solo a quién preguntar después.

Tipos de registro

El DNS de un dominio contiene varios tipos de registro, cada uno con una función:

• A — asocia un nombre a una dirección IPv4.
• AAAA — asocia un nombre a una dirección IPv6.
• CNAME — crea un alias de un nombre a otro (www apuntando al dominio desnudo, por ejemplo).
• MX — dirige el correo del dominio a sus servidores de correo.
• NS — lista los servidores autoritativos del dominio.
• TXT — contiene texto libre, muy usado para verificación de propiedad y políticas de autenticación de correo como SPF y DKIM.

Los resolutores, y por qué la gente los cambia

El resolutor es la parte del DNS más cercana a ti. Por defecto es el de tu ISP, pero puedes apuntar cualquier dispositivo o router a un resolutor público — entre los más conocidos, 1.1.1.1 de Cloudflare, 8.8.8.8 de Google y 9.9.9.9 de Quad9. La gente los cambia por velocidad, fiabilidad, filtrado de contenido o privacidad.

Ese resolutor 1.1.1.1, por ejemplo, lo opera la red de abajo — un operador real que se resuelve desde una sola dirección. La tarjeta en vivo al final de este artículo muestra el perfil de esa red desde el índice de ipdex, con un enlace a sus datos en vivo. Si una dirección no está en el índice, la búsqueda devuelve un honesto «no encontrado» en vez de adivinar.

DNS y privacidad

El DNS clásico tiene una debilidad de privacidad: las consultas viajan tradicionalmente en texto claro, así que cualquier red entre tú y tu resolutor puede leer los nombres que buscas — incluso cuando los sitios usan HTTPS. Dos normas más nuevas lo corrigen: DNS sobre HTTPS (DoH) y DNS sobre TLS (DoT) cifran tus consultas, ocultándolas a la red intermedia.

Pero el cifrado cambia quién ve tus búsquedas, no si alguien las ve. Cualquiera que sea el resolutor que elijas, ve cada nombre que pides. Por eso elegir el resolutor es una verdadera decisión de privacidad — y por eso un índice de infraestructura como ipdex tiene cuidado de mapear redes, nunca las búsquedas ni la actividad de un visitante.

Seguridad del DNS

Como tanto depende del DNS, es un blanco. Los atacantes intentan el envenenamiento de caché (engañar a un resolutor para que almacene una respuesta falsa) y la suplantación (falsificar respuestas). DNSSEC lo aborda firmando criptográficamente los registros DNS, para que un resolutor validador pueda confirmar que una respuesta vino realmente del dueño del dominio y no se alteró en tránsito. No cifra nada — esa es la tarea de DoH/DoT — pero garantiza la autenticidad.

Desmontando mitos

Mito: «El DNS es solo una guía telefónica.» Una guía es una sola lista estática. El DNS es una base de datos viva, distribuida y jerárquica sobre miles de servidores, con caché y delegación integradas. La analogía transmite la idea pero subestima la ingeniería.

Mito: «Cambiar mi DNS me hace anónimo.» Cambiar de resolutor cambia quién ve tus búsquedas y puede mejorar la privacidad, pero tu ISP sigue viendo las direcciones a las que te conectas, y el rastreo se apoya en muchas otras señales. Es una opción útil, no una capa de invisibilidad.

Mito: «Un cambio de DNS surte efecto al instante en todas partes.» La caché y los TTL hacen que las respuestas antiguas perduren hasta que expiran sus temporizadores. Por eso una actualización parece «propagarse» a lo largo de minutos u horas en vez de cambiar de golpe.

Mito: «El DNS y mi registrador de dominios son lo mismo.» El registrador es donde compras y posees un nombre. El DNS es el sistema que asocia el nombre a direcciones una vez lo tienes. Papeles distintos, a menudo a cargo de empresas distintas.

Puntos clave

• El DNS traduce los nombres legibles a las direcciones IP a las que se conectan las máquinas.
• Es una base de datos distribuida, jerárquica y en caché — resolutor → raíz → TLD → servidores autoritativos.
• Los registros (A, AAAA, CNAME, MX, NS, TXT) sirven cada uno a un propósito concreto.
• El DNS clásico es texto claro; DoH y DoT cifran tus consultas, y DNSSEC autentica las respuestas.
• Cualquier resolutor que uses ve tus búsquedas — por eso importa la elección del resolutor, y por eso ipdex mapea la infraestructura, no a las personas.