Si llevas webs o infraestructura para clientes, el DNS lo tratas como algo que “ya está resuelto”: el registrador te da un panel, a veces pagas un extra por “DNS premium” y en el día a día no lo miras. Este marzo vuelve a quedar claro que no es un detalle menor: el NIST ha actualizado por primera vez en más de diez años su guía sobre DNS y seguridad, y en paralelo los grandes proveedores siguen empaquetando resolución avanzada como servicio gestionado. Te cuento cómo leo la foto sin marearte.
Qué cambia con el NIST y por qué te interesa aunque no seas un banco
La guía SP 800-81 en su revisión reciente (SP 800-81r3) insiste en el papel del DNS como pieza de ciberresiliencia, no solo como directorio de nombres. Habla de modelos que combinan servicios de DNS “protector” en la nube con piezas en tu perímetro, y actualiza recomendaciones sobre cifrado: DNS over TLS (DoT), DNS over HTTPS (DoH) y también DNS over QUIC (DoQ). No hace falta que implementes todo mañana: sí que tengas claro si tu proveedor te ofrece visibilidad sobre consultas bloqueadas, políticas coherentes con el resto del IDS y una forma de auditar quién cambia los registros. En proyectos pequeños es donde más duele descubrir que nadie sabe quién tocó el registro MX.
La noticia está bien resumida en medios especializados; en España por ejemplo Ciberseguridadtic recoge el alcance del documento para quien prefieres leerlo en castellano antes de enfrentarte al PDF del NIST.
Resolutores globales en cloud: de la noticia al presupuesto
En el otro lado de la mesa están los hiperescala: Amazon ha anunciado la disponibilidad general de Route 53 Global Resolver, un resolutor anycast accesible desde un buen número de regiones, orientado a clientes que necesitan resolver dominios públicos y privados (hosted zones privadas) con políticas y autenticación pensadas para entornos híbridos. Incluye filtrado frente a dominios maliciosos, protección frente a amenazas como túnel DNS y DGA, soporte para DoH y DoT, registro centralizado de consultas y prueba gratuita limitada para quien quiera medir coste antes de comprometerse.
Eso no significa que “toca mudarse a AWS sí o sí”. Sí que confirma una tendencia: la resolución DNS deja de ser solo una IP que apuntas en el router y pasa a ser un servicio con SLAs, facturación por consulta o por endpoints y equipos de seguridad detrás. Si tu competidor vende “DNS premium” sobre esa base y tú solo vendes “replicación más rápida entre nodos”, conviene alinear el discurso con lo que realmente ofreces.
¿Pagar más por DNS “premium” en el día a día de una pyme?
Yo suelo mirar tres cosas antes de recomendar subir de tier:
- Disponibilidad y delegación: ¿Anycast, cuántos puntos de presencia y qué pasa si se cae un POP?
- Seguridad y cumplimiento: filtrado de malicia, logs exportables, DNSSEC si lo necesitas y compatibilidad con DoH/DoT donde los clientes son remotos.
- Operación: API limpia, historial de cambios, MFA en la cuenta y alertas cuando alguien crea un registro wildcard vago.
Si el “premium” solo te quita límites de registros pero no mejora ninguna de esas tres palancas puede que bastes con un buen plan estándar más un monitoreo externo. Si estás en sector regulado o gestionas identidad para muchos teletrabajadores, la suma NIST-cloud sí empuja a invertir en capas que antes parecían overkill.
Si mañana tu cliente te pidiera justificar el coste del DNS con una sola captura de panel, ¿sabrías en qué diapositiva encajar la parte de seguridad sin repetir el folleto del proveedor?
Fuentes
- NIST updates its DNS security guidance for the first time in over a decade (Help Net Security)
- NIST actualiza sus recomendaciones de seguridad DNS (Ciberseguridadtic)
- Amazon Route 53 Global Resolver is now generally available (AWS What’s New)
- AWS Weekly Roundup incluyendo Route 53 Global Resolver GA (AWS News Blog)