DNS: Cómo Funciona el Sistema de Nombres de Dominio y Por qué Importa
Explicación técnica accesible del DNS. Qué son los registros A, CNAME, MX y TXT, cómo se propagan los cambios y cómo optimizar tu DNS para mejorar la velocidad de tu sitio.
El Sistema de Nombres de Dominio: la guía telefónica de Internet
El DNS (Domain Name System) es el sistema que traduce nombres de dominio legibles por humanos (vacaweb.com) en direcciones IP numéricas que entienden las computadoras (104.21.3.175). Sin DNS, tendrías que memorizar la dirección IP de cada sitio web que quisieras visitar. En términos técnicos, DNS es una base de datos distribuida jerárquica que opera en miles de servidores alrededor del mundo.
Para un administrador de hosting, entender DNS es fundamental: la mayoría de los problemas de "el sitio no carga" o "el correo no llega" tienen como causa raíz un error de configuración DNS.
El proceso de resolución DNS paso a paso
Cuando escribes www.miempresa.com.mx en tu navegador, ocurre esto en milisegundos:
- Caché local: el navegador revisa si ya tiene la IP guardada en caché
- Caché del SO: el sistema operativo revisa su caché DNS (
/etc/hostsen Linux/Mac) - Resolver recursivo: si no está en caché, el SO consulta al resolver de tu ISP (Telmex, Izzi, etc.)
- Servidor raíz: el resolver pregunta a uno de los 13 servidores raíz (Root Servers) quién maneja
.mx - Servidor TLD: el servidor de
.mxresponde: "los nameservers paramiempresa.com.mxsonns1.vacaweb.com" - Servidor autoritativo: el resolver pregunta a
ns1.vacaweb.comy obtiene la IP final - Respuesta al navegador: la IP es devuelta y el navegador se conecta al servidor
Tipos de registros DNS y para qué sirve cada uno
| Registro | Función | Ejemplo |
|---|---|---|
A | Mapea dominio a IPv4 | miempresa.com.mx → 192.168.1.1 |
AAAA | Mapea dominio a IPv6 | miempresa.com.mx → 2001:db8::1 |
CNAME | Alias de otro dominio | www → miempresa.com.mx |
MX | Servidor de correo del dominio | 10 mail.miempresa.com.mx |
TXT | Texto libre (SPF, DKIM, verificación) | "v=spf1 include:... ~all" |
NS | Nameservers autoritativos | ns1.vacaweb.com |
SRV | Localización de servicios | VoIP, Office 365, Teams |
CAA | Autoridades de certificación permitidas | 0 issue "letsencrypt.org" |
Comandos esenciales para diagnóstico DNS
# dig — herramienta profesional de consulta DNS
# Consultar registro A (IPv4)
dig A miempresa.com.mx +short
# Consultar registros MX (correo)
dig MX miempresa.com.mx +short
# Consultar nameservers
dig NS miempresa.com.mx +short
# Consultar registro TXT (SPF, DKIM)
dig TXT miempresa.com.mx +short
# Ver toda la zona DNS
dig ANY miempresa.com.mx
# nslookup — alternativa disponible en Windows
nslookup miempresa.com.mx
nslookup -type=MX miempresa.com.mx
nslookup -type=TXT miempresa.com.mx
# Verificar propagación DNS con un servidor específico
dig A miempresa.com.mx @8.8.8.8 # Consultar a Google DNS
dig A miempresa.com.mx @1.1.1.1 # Consultar a Cloudflare DNS
dig A miempresa.com.mx @208.67.222.222 # Consultar a OpenDNS
# Rastrear la cadena completa de resolución DNS
dig +trace miempresa.com.mxdig +trace mostrando la cadena completa de resolución: servidor raíz → TLD .com.mx → nameservers de VacaWeb → respuesta final con la IP del sitio.TTL y propagación DNS: por qué los cambios no son inmediatos
El TTL (Time To Live) es el tiempo en segundos que los resolvers DNS pueden guardar en caché una respuesta antes de volver a consultarla. Un TTL de 86400 significa que tu registro puede estar cacheado hasta 24 horas en servidores de todo el mundo.
# Ver el TTL actual de tus registros
dig A miempresa.com.mx
# En la respuesta, busca la sección ANSWER:
# miempresa.com.mx. 3600 IN A 192.168.1.1
# ^^^^ ← Este es el TTL en segundos (3600 = 1 hora)
# ANTES de cambiar tu hosting o DNS:
# 1. Reduce el TTL a 300 (5 minutos) con anticipación de 24–48 horas
# 2. Realiza el cambio
# 3. Espera la propagación (5–30 minutos con TTL bajo)
# 4. Verifica desde múltiples ubicaciones: whatsmydns.net
# Limpiar caché DNS local (Windows)
ipconfig /flushdns
# Limpiar caché DNS local (macOS)
sudo dscacheutil -flushcache; sudo killall -HUP mDNSResponder
# Limpiar caché DNS local (Linux)
sudo systemctl restart systemd-resolveddig A tudominio.com.mx @1.1.1.1. Una vez confirmado, vuelve el TTL a 3600 o 86400 para reducir carga en los nameservers.
Configurar DNS en cPanel (Zone Editor)
# Desde cPanel → Domains → Zone Editor
# También puedes editar la zona DNS directamente
# Ejemplo de zona DNS típica para un sitio con correo propio:
# Registro A principal
miempresa.com.mx. 3600 IN A 192.168.1.100
www.miempresa.com.mx. 3600 IN CNAME miempresa.com.mx.
# Correo
mail.miempresa.com.mx. 3600 IN A 192.168.1.100
miempresa.com.mx. 3600 IN MX 10 mail.miempresa.com.mx.
# SPF (anti-spam)
miempresa.com.mx. 3600 IN TXT "v=spf1 a mx include:miempresa.com.mx ~all"
# DMARC
_dmarc.miempresa.com.mx. 3600 IN TXT "v=DMARC1; p=quarantine; rua=mailto:admin@miempresa.com.mx"Si realizas cambios en los nameservers de tu dominio y algo no funciona como esperas, el equipo técnico de VacaWeb puede revisar tu zona DNS y diagnosticar el problema. Contacta nuestro soporte técnico en español disponible 24/7.
Escenarios Prácticos: DNS en la Operación Diaria
Escenario 1 — Desarrollador migrando un sitio y gestionando DNS precisamente: Control completo de la propagación DNS durante una migración crítica:
# Ver el TTL actual de los registros (para saber cuánto cachean los resolvers)
dig A tudominio.com.mx +ttl
# Output: tudominio.com.mx. 3600 IN A 192.168.1.100
# (3600 = TTL en segundos = 1 hora)
# Reducir TTL a 300s antes de la migración:
# Esto se hace en el panel DNS de tu registrador 24-48h antes
# Verificar qué IP devuelve un resolver específico:
dig A tudominio.com.mx @8.8.8.8 # Google
dig A tudominio.com.mx @1.1.1.1 # Cloudflare
dig A tudominio.com.mx @208.67.222.222 # OpenDNS
# Rastrear la ruta completa de resolución DNS:
dig +trace tudominio.com.mx
# Verificar registro MX (para correo):
dig MX tudominio.com.mx
# Verificar todos los registros:
dig ANY tudominio.com.mxEscenario 2 — Empresa detectando ataque DNS Hijacking: El DNS de la empresa fue comprometido y redirige el tráfico a un servidor falso. Detección: comparar la IP que devuelve el DNS autoritativo vs los resolvers públicos. Si difieren, hay hijacking activo.
Errores Comunes en Gestión de DNS
| Error | Síntoma | Causa | Solución |
|---|---|---|---|
| TTL muy alto antes de cambios | Propagación tarda 24-48h | TTL en 86400s sin bajar antes | Bajar TTL a 300s con 48h de anticipación |
| Registro MX apuntando a IP | Entrega de correo degradada | MX debe apuntar a hostname, no IP | MX apuntar a mail.tudominio.com.mx (A record) |
| Sin registro AAAA (IPv6) | Falla en redes solo-IPv6 | Solo configurar IPv4 | Agregar registro AAAA si el servidor soporta IPv6 |
| Wildcard DNS mal configurado | Subdominios inventados resuelven | Wildcard catch-all activo | Usar wildcards con precaución; preferir entradas específicas |
| Sin DNSSEC | Vulnerable a cache poisoning | DNSSEC no habilitado | Activar DNSSEC en el registrador (NIC.mx lo soporta) |
Preguntas Frecuentes sobre DNS
¿Por qué "limpio el DNS" en mi computadora y aun así ve la IP vieja?
Flushar el cache DNS local (ipconfig /flushdns en Windows,
sudo dscacheutil -flushcache en Mac) limpia el cache de tu computadora, pero no
el cache de tu ISP ni de resolvers intermedios. El ISP puede tener el registro
cacheado durante el TTL completo. Para verificar la IP "real" del dominio, usa un
resolver externo: dig A tudominio.com.mx @8.8.8.8 desde cualquier red.
¿Cuántos tipos de registros DNS existen y cuáles son los más importantes?
Los principales: A (IPv4 del servidor), AAAA (IPv6), CNAME (alias a otro hostname), MX (servidor de correo), TXT (verificación, SPF, DKIM, DMARC), NS (nameservers autoritativos), SRV (servicios específicos como SIP, XMPP), CAA (autoridades de certificación permitidas para SSL). Para operar un sitio web con correo, necesitas mínimo: A, MX, y TXT (para SPF/DKIM).
¿Qué es un nameserver autoritativo y cuántos necesito?
El nameserver autoritativo es el servidor que tiene la "última palabra" sobre los registros de tu dominio. ICANN e IANA exigen mínimo 2 nameservers distintos para redundancia (si uno falla, el otro responde). Tu registrador proporciona nameservers propios; si usas Cloudflare, sus NS son ns1.cloudflare.com y ns2.cloudflare.com. Nunca uses un solo nameserver en producción.
¿Qué es el DNS propagation y por qué tarda?
Cuando cambias un registro DNS, el cambio se aplica en tu nameserver autoritativo inmediatamente. Pero los resolvers recursivos (de tu ISP, Google, Cloudflare) tienen cacheado el valor anterior durante el TTL. Hasta que ese TTL expire, cada resolver seguirá respondiendo con el valor viejo. Por eso, con TTL de 3600s (1 hora), la propagación puede tardar hasta 1 hora en la mayoría de resolvers.
¿Puedo usar DNS de Cloudflare sin pasar tráfico por su proxy?
Sí. En Cloudflare, puedes poner cada registro en modo "DNS only" (ícono gris) en lugar de "Proxied" (ícono naranja). DNS only: solo gestión de DNS, sin proxy ni CDN. Proxied: el tráfico pasa por Cloudflare antes de llegar a tu servidor (con CDN, WAF y ocultando tu IP real). Para correo (MX, A de mail.dominio.com), usa siempre DNS only porque el tráfico SMTP no se puede proxiar con Cloudflare.
📚 Profundiza en estos temas
- Cloudflare como DNS proxy: ventajas técnicas para sitios mexicanos
- Registrar un dominio: qué son los nameservers y cómo configurarlos
- Migración sin downtime: TTL, propagación DNS y la estrategia de /etc/hosts
- DNS vs redirecciones .htaccess: cuándo usar cada uno
- Dominios .com.mx: NIC México y la administración del DNS nacional
Fundador de VacaWeb, con más de 15 años administrando infraestructura Linux en producción. Especialista en LiteSpeed, CloudLinux, cPanel/WHM y arquitectura de hosting de alto rendimiento para el mercado mexicano. Ha diseñado y migrado la infraestructura de más de 1,200 sitios web empresariales.