12 errores críticos de DNS que pueden dañar su sitio web (+ soluciones rápidas)

Los errores de DNS pueden desconectar su sitio web en segundos. Las estadísticas son alarmantes: el 72% de las organizaciones enfrentaron un ataque de DNS en 2024, y casi la mitad involucró el secuestro de DNS. Los atacantes manipulan las consultas DNS para redirigir a los usuarios a servidores maliciosos, creando importantes vulnerabilidades.

Cuando DNS funciona correctamente, todo, desde la entrega de correo electrónico hasta la navegación web, funciona sin problemas. Pero los problemas de DNS pueden provocar tiempo de inactividad, rendimiento lento, conexiones fallidas e incluso filtraciones de datos. Estos problemas suelen deberse a simples errores de configuración, que dan a los atacantes exactamente lo que quieren.

En esta guía, analizaremos 12 de los más problemas comunes de DNSexplicar ¿Qué causa los errores de DNS?y compartir consejos sobre cómo corregir errores de DNS rápidamente. Ya sea que esté lidiando con mensajes crípticos o interrupciones inexplicables, esta referencia de solución de problemas de DNS le ayudará a mantener su sitio funcionando sin problemas.

Este error significa que una búsqueda de DNS falló por completo: el sistema no pudo encontrar ninguna dirección IP para el dominio solicitado.

La etiqueta “NXDOMAIN” significa “Dominio inexistente”. Eso podría significar:

• Un error tipográfico en el nombre del dominio.
• Un dominio no registrado o caducado
• Caché de DNS local corrupto
• Configuración incorrecta del servidor DNS
• Reglas de VPN, antivirus o firewall en conflicto
• Un archivo de hosts mal configurado
• Banderas específicas de Chrome que interfieren con DNS

Esto resulta en una total inaccesibilidad. Chrome muestra “No se puede acceder a este sitio”, mientras que Firefox muestra “Tenemos problemas para encontrar ese sitio”.

• Vuelva a verificar el nombre de dominio
• Vaciar la caché de DNS (ipconfig /flushdns en Windows, comandos de Terminal para macOS)
• Renueva tu dirección IP
• Cambiar a DNS público (p. ej., 8.8.8.8 o 1.1.1.1)
• Verifique su archivo de hosts
• Desactivar temporalmente VPN/firewall
• Confirme que los registros A estén presentes y apunten a un servidor válido

A diferencia de NXDOMAIN, SERVFAIL ocurre cuando el servidor DNS no puede completar una búsqueda válida, aunque el dominio exista.

• Fallos de validación de DNSSEC (claves caducadas o no coincidentes)
• Configuraciones erróneas del archivo de zona
• Faltan registros de pegamento
• Servidores de nombres autorizados sobrecargados o fuera de línea
• Cadenas CNAME excesivas (profundidad recursiva excedida)
• Problemas de firewall o enrutamiento

Los usuarios y los bots no pueden acceder a su sitio ni enviar correos electrónicos. SERVFAIL también perjudica el SEO ya que los motores de búsqueda no pueden rastrear su dominio de manera consistente.

• Validar firmas DNSSEC
• Revisar y corregir la sintaxis del archivo de zona.
• Verifique los registros de pegamento y la delegación del servidor de nombres
• Supervise las cargas del servidor y garantice la redundancia
• Mantenga las cadenas CNAME con menos de ocho entradas

Un error RECHAZADO significa que el servidor DNS rechazó deliberadamente su consulta.

• Restricciones de acceso o políticas de seguridad
• Filtrado de IP o bloqueos basados ​​en países
• Solicitudes no autorizadas (p. ej., transferencias de zona)
• Discrepancias de protocolo (por ejemplo, conexiones TCP bloqueadas)
• Reglas de firewall o configuraciones erróneas del servidor DNS

Estos problemas de DNS provocar inaccesibilidad al sitio web e interrupciones del servicio. Los usuarios pueden ver “ERR_CONNECTION_REFUSED” y las aplicaciones que dependen de DNS dejan de funcionar.

• Limpia tu DNS local
• Cambiar a configuración DNS automática o pública
• Pruebe con Google (8.8.8.8) o Cloudflare (1.1.1.1)
• Verifique las reglas del firewall y del puerto (UDP/TCP en el puerto 53)
• Verifique que su registrador y proveedor de alojamiento tengan servidores de nombres coincidentes

Esto sucede cuando la consulta de DNS se agota antes de obtener una respuesta, a menudo sin un código de error visible.

• Servidores DNS lentos o sobrecargados
• Malas rutas de enrutamiento o alta latencia
• Servidores DNS ubicados demasiado lejos geográficamente
• Tráfico DNS bloqueado o filtrado en su red
• Resolvedores de DNS escasos de recursos

Los tiempos de espera de DNS a menudo pasan desapercibidos en los registros, pero provocan ralentizaciones significativas. Google informa que las tasas de rebote aumentan drásticamente cuando los tiempos de carga de la página superan los 3 a 5 segundos.

• Utilice varios servidores DNS para la conmutación por error
• Elija servicios DNS optimizados y de baja latencia
• Supervise el tiempo de respuesta de DNS utilizando herramientas como DNSPerf
• Reduzca los TTL para minimizar los tiempos de espera
• Considere usar una CDN para resolución distribuida geográficamente

Si sus registros MX están mal configurados, el correo electrónico de su organización puede dejar de funcionar por completo.

• Registros MX que apuntan a CNAME (que no son válidos)
• Errores de sintaxis o puntos faltantes en los nombres de host
• Registros duplicados o valores de prioridad incorrectos
• Registros que apuntan a servidores fuera de servicio
• No verificar la propiedad del dominio

Devoluciones de correo electrónico, indicadores de spam y fallas en la entrega, especialmente con proveedores como Gmail u Outlook que dependen de una estricta validación de DNS.

• Apunte registros MX a registros A (no CNAME)
• Utilice los valores de prioridad correctamente (más bajo = servidor principal)
• Confirmar la propiedad a través de registros DNS TXT
• Limpiar entradas obsoletas o duplicadas
• Configuraciones de prueba con MXToolbox

Las búsquedas inversas (rDNS) asignan direcciones IP a nombres de dominio. Son esenciales para la confianza y la autenticación del correo electrónico.

• Faltan registros PTR
• Registros directos (A) e inversos (PTR) no coincidentes
• IP dinámicas sin configuración PTR
• Proveedores de alojamiento que no admiten rDNS personalizado
• IP en la lista negra

• Pídale a su ISP o host que le asigne un PTR válido
• Utilice IP estáticas para el correo electrónico saliente
• Haga coincidir exactamente las entradas A y PTR
• Configure SPF, DKIM y DMARC para mayor confianza

Los cambios de DNS no se aplican instantáneamente: tardan un tiempo en propagarse por todo el mundo.

• Valores altos de TTL (tiempo de vida)
• Almacenamiento en caché a nivel de ISP fuera de su control
• Retrasos en los servidores raíz DNS globales
• Infraestructura regional lenta

Los usuarios pueden ver contenido desactualizado o recibir correos electrónicos devueltos. También puede confundir a los motores de búsqueda durante las migraciones de sitios.

• Reduzca el TTL a 300-600 segundos antes de los cambios planificados
• Supervise el progreso utilizando DNSChecker o WhatsMyDNS
• Borrar cachés DNS locales y del navegador
• Considere los servicios CDN para acelerar la resolución

Esta amplia categoría incluye todos los pequeños errores que silenciosamente dañan el DNS detrás de escena.

• Errores tipográficos en las direcciones IP
• Múltiples CNAME asignados a un nombre
• Desajustes hacia adelante y hacia atrás
• Los registros aún apuntan a una infraestructura heredada

estos silenciosos problemas de DNS puede provocar ataques de intermediario, tiempo de inactividad o errores de redireccionamiento.

• Audite su DNS periódicamente
• Utilice un proveedor de DNS que rastree los cambios y el historial
• Utilice dig o nslookup para validar registros manualmente
• Implementar conmutación por error de DNS para servicios clave

La configuración de TTL controla durante cuánto tiempo los solucionadores almacenan en caché los registros. Los valores más largos reducen la carga pero ralentizan las actualizaciones.

• Dejando el TTL predeterminado en 86.400 segundos (24 horas)
• No reducir el TTL antes de cambios importantes
• Intentando reducir el volumen de consultas

Un TTL alto significa un rendimiento rápido y un costo de consulta bajo, pero los cambios de DNS pueden tardar días en propagarse.

Utilice TTL de 1800 a 3600 para registros dinámicos y bájelo a 300 antes de las migraciones.

Los resolutores abiertos responden a las consultas de cualquier persona. Eso los hace vulnerables a la amplificación de DNS y a ataques de suplantación de identidad.

• Enrutadores o firewalls mal configurados
• Servidores DNS que permiten recursividad sin restricciones
• No existen ACL (listas de control de acceso)

Podría participar sin saberlo en ataques DDoS o exponer su infraestructura a un envenenamiento.

• Deshabilitar la recursividad en servidores públicos
• Aplicar restricciones basadas en IP
• Utilice limitación de tasa de respuesta (RRL)
• Siga BCP 38 para evitar tráfico falsificado

Los registros DNS antiguos que apuntan a servidores o servicios inactivos pueden provocar silenciosamente fallos de resolución o riesgos de seguridad.

• Mala higiene del DNS
• No hay limpieza después del desmantelamiento del servidor
• Falta de gestión de cambios durante las actualizaciones de infraestructura.

Los registros obsoletos pueden explotarse en adquisiciones de subdominios o provocar que el tráfico se dirija a destinos no deseados.

• Auditorías de DNS programadas
• Herramientas de eliminación de DNS
• Revisión manual de entradas críticas.
• Flujos de trabajo de desmantelamiento vinculados a actualizaciones de DNS

Sus servidores de nombres autorizados son la fuente final de la verdad. Si se dejan abiertos, corre el riesgo de comprometer totalmente el dominio.

• Permitir la recursividad en servidores autorizados
• Sin firewall ni ACL en transferencias de zona
• Sin firma DNSSEC

Desde envenenamiento de caché hasta ataques DDoS, los servidores de nombres no seguros abren la puerta a abusos generalizados.

• Desactivar la recursividad
• Restricción de transferencias de zona con TSIG
• Uso de DNSSEC para verificar la integridad de los datos
• Colocar los primarios detrás de firewalls o como maestros ocultos

Los errores de DNS pueden parecer una caja negra, hasta que desconectan su sitio o interrumpen su sistema de correo electrónico. pero la mayoría errores de DNS se pueden prevenir con la configuración adecuada y el mantenimiento regular.

Al comprender las causas de los errores de DNS, realizar una resolución de problemas de DNS consistente y saber cómo corregir los errores de DNS cuando aparecen, obtendrá control sobre una de las capas más críticas de su infraestructura digital.

Desde búsquedas lentas hasta registros secuestrados, estos problemas comunes de DNS No es necesario que te pille desprevenido. Agregue esta guía a sus favoritos, audite sus registros y anticipe los problemas de DNS antes de que afecten su negocio.