Escribes “google.com” en tu navegador y, sin darte cuenta, se carga la página. Pero el ordenador no entiende nombres, solo números (direcciones IP). Alguien tiene que traducir “google.com” a “142.250.185.46”. Ese trabajo lo hace el Sistema de Nombres de Dominio (DNS), una base de datos distribuida a nivel mundial, jerárquica y redundante. Un dominio no es más que un nombre legible que apunta (a través de registros DNS) a recursos como servidores web, correo, o subdominios. Te explico cómo se registra un dominio, qué es un registrador, la estructura jerárquica (TLD, dominio de segundo nivel, subdominio), y los tipos de registros DNS más importantes (A, CNAME, MX, TXT).
Estructura de un dominio: TLD, dominio de segundo nivel, subdominio
Un nombre de dominio completo (FQDN, Fully Qualified Domain Name) se lee de derecha a izquierda, de lo más general a lo más específico. Por ejemplo: mail.todoplantas.net:
- TLD (Top-Level Domain): la última parte (
.net). Hay varios tipos: TLD genéricos (gTLD) como .com, .org, .net; TLD patrocinados (.gov, .edu); TLD territoriales (ccTLD) como .es, .fr, .de, .uk; y nuevos gTLD como .blog, .tech, .online, .store. - Dominio de segundo nivel (SLD):
todoplantas. Es la parte que registra el dueño. No puede coincidir con otro bajo el mismo TLD. - Subdominio (opcional):
mail. Cualquier etiqueta a la izquierda del SLD. Puede tener múltiples niveles (ej.sub.domain.todoplantas.net).
Los dominios se registran bajo un TLD; no puedes registrar directamente “mail.todoplantas.net” sin tener primero “todoplantas.net”.
Lista completa de TLD
ICANN (Internet Corporation for Assigned Names and Numbers) es la entidad que gestiona el sistema de dominios. Hay más de 1.500 TLD. Los más populares: .com (~160 millones), .cn (China, ~20M), .de (Alemania, ~17M), .net (~13M), .uk (~10M).
El sistema DNS: resolutores, servidores raíz, TLD y autoritativos
DNS es una arquitectura distribuida en cuatro niveles jerárquicos:
- Resolutores (recursivos): los servidores de tu ISP o de terceros (Google 8.8.8.8, Cloudflare 1.1.1.1). Reciben la consulta del usuario y se encargan de hacer las preguntas a los servidores jerárquicos hasta obtener la respuesta. Cachean los resultados para acelerar futuras consultas.
- Servidores raíz (root): hay 13 direcciones IP distintas de servidores raíz (nombradas letra A a M), operados por distintas organizaciones. Responden con la lista de servidores autoritativos para cada TLD (.com, .es, etc.). No conocen la IP final, solo señalan el camino.
- Servidores TLD (Top-Level Domain): administran cada extensión (ej. .net, .es). Conocen qué servidores autoritativos son los responsables de cada dominio de segundo nivel dentro de esa TLD.
- Servidores autoritativos (o DNS primarios/secundarios): son los servidores que el propietario del dominio configura en su registrador. Contienen los registros DNS definitivos (direcciones IP, registros MX, etc.). Contestan de manera definitiva.
Registro de un dominio: registradores acreditados (ICANN), plazos y renovación
Para tener un dominio, debes alquilarlo (no comprarlo) a un registrador acreditado por ICANN. El registro es por un período renovable (1 a 10 años). Al registrarlo, nadie más puede usarlo mientras lo renueves. El proceso es:
- Escribes el nombre deseado en el buscador del registrador (por ejemplo, Namecheap, GoDaddy, DonDominio, OVH, Cloudflare Registrar).
- El registrador consulta si el dominio está libre mediante la WHOIS (base de datos pública de dominios registrados).
- Si está libre, pagas la cuota anual (entre 5 € y 30 € para .com/.es, más para TLD premium).
- Proporcionas datos de titular (nombre, dirección, email, teléfono) – estos son públicos en WHOIS a menos que contrates la privacidad WHOIS (redactada por el registrador).
- El registrador envía la solicitud al registro central del TLD (ej. Verisign para .com). Una vez aceptado, te conviertes en “registrante”.
- Puedes asignar los servidores DNS autoritativos (normalmente los del propio registrador o externos como Cloudflare DNS).
Los dominios se renuevan antes de expirar (normalmente con avisos por email). Si no renuevas, el dominio entra en período de gracia (30 días), luego “redemption period” (~30 días más caro), y finalmente es liberado para que cualquiera lo registre. Es importante activar el auto-renovación.
Algunos registradores ofrecen transferencia de dominio entre cuentas (código EPP).
Registros DNS: A (IPv4), AAAA (IPv6), CNAME (alias), MX (correo), TXT (verificaciones), NS, SOA
Una vez registrado el dominio, debes configurar sus registros DNS en la zona DNS (archivo de zona). Los más importantes:
| Tipo de registro | Significado | Ejemplo | Uso típico |
|---|---|---|---|
| A | Dirección IPv4 | @ 3600 IN A 192.0.2.1 | Apuntar el dominio a un servidor web específico. |
| AAAA | |||
| Dirección IPv6 (2001:db8::1). Cada vez más usado. | |||
| CNAME | |||
Alias de un nombre a otro nombre (no puede coexistir con otros registros en el mismo nombre). Ejemplo: www IN CNAME todoplantas.net. | |||
| MX (Mail eXchange) | |||
Define servidores de correo electrónico para el dominio. Incluye prioridad. Ejemplo: @ MX 10 mail.todoplantas.net. | |||
| TXT | |||
Texto arbitrario. Usado para verificar propiedad (Google Search Console, SPF, DKIM, DMARC para correo). Ejemplo: @ TXT "v=spf1 include:_spf.google.com ~all" | |||
| NS (Name Server) | |||
| Especifica qué servidores son autoritativos para este dominio. Lo asigna el registrador. | |||
| SOA (Start of Authority) | |||
| Información administrativa de la zona (email del administrador, número de serie, tiempos de refresco). | |||
| SRV | |||
| Localiza servicios específicos (ej. SIP, XMPP). | |||
Nota: el símbolo @ en un registro DNS significa “el dominio en sí” (ejemplo, todoplantas.net). El punto final en los valores (ej. mail.todoplantas.net.) es importante porque indica un nombre absoluto (FQDN).
Resolución DNS paso a paso: desde el navegador hasta la IP final
Cuando escribes www.todoplantas.net en el navegador, ocurre lo siguiente:
- El sistema operativo (o el navegador) consulta su caché DNS local (donde guarda resoluciones recientes). Si está, devuelve la IP.
- Si no, pregunta al resolver DNS configurado (p.ej. 8.8.8.8 de Google).
- El resolver recursivo verifica su propia caché; si no tiene, empieza desde los servidores raíz:
- Pregunta a un servidor raíz: “¿Quién maneja .net?”. El raíz responde con las direcciones de los servidores autoritativos para TLD .net.
- Pregunta a uno de esos servidores TLD .net: “¿Quién es el servidor autoritativo para todoplantas.net?”. El TLD responde con los servidores NS que el registrador configuró.
- Pregunta al servidor autoritativo: “¿Cuál es la IPv4 de www.todoplantas.net?”. El servidor autoritativo devuelve el registro A correspondiente (si existe).
- El resolver recibe la respuesta, la guarda en caché (por el TTL que indique el registro) y la envía al sistema operativo, que la pasa al navegador.
- El navegador ahora tiene la IP y puede iniciar una conexión TCP para pedir la página web.
Todo este proceso ocurre en decenas de milisegundos, gracias a la jerarquía y al caché.
Propagación de cambios y TTL (Time To Live): por qué a veces tarda horas
Cuando modificas un registro DNS (por ejemplo, cambias la IP de tu web), el cambio no es instantáneo porque los resolutores cachean las respuestas durante un tiempo llamado TTL (Time To Live). El TTL se define en la zona DNS (normalmente en segundos: 300 = 5 minutos, 3600 = 1 hora, 86400 = 1 día). Mientras el TTL no expire, el resolver seguirá usando el valor antiguo en su caché.
Por eso cuando migras un sitio web se recomienda bajar el TTL varias horas (a 300 segundos) antes del cambio, esperar a que expire, luego hacer el cambio, y después subir el TTL de nuevo. Así la propagación es casi inmediata. Si hay TTL altos, los cambios pueden tardar hasta 72 horas en verse globalmente.
La propagación también depende de la caché de cada ISP, navegador y sistema operativo. Puedes consultar el estado con herramientas como dig o nslookup controlando el servidor DNS consultado.
Herramientas para diagnosticar DNS
dig dominio.com (Linux/macOS) o nslookup (Windows).
dig +trace dominio.com para seguir toda la resolución recursiva.
dig dominio.com @8.8.8.8 para consultar un resolver específico.
Web: dnschecker.org, whatsmydns.net, para ver propagación global.
Protección de dominios: DNSSEC, privacidad WHOIS, bloqueo de transferencia
Aspectos de seguridad importantes:
- DNSSEC (Domain Name System Security Extensions): añade firmas criptográficas a las respuestas DNS, evitando que un atacante manipule (envenenamiento) las respuestas. Especialmente útil para prevenir ataques man-in-the-middle. Debe estar soportado por el registrador y el resolver.
- Privacidad WHOIS: por el GDPR (Reglamento General de Protección de Datos), los datos personales del registrante están ocultos en la mayoría de los TLD .com/.net/.es, pero es posible que algunos registradores ofrezcan redacción privada gratuita. Antes del GDPR, cualquiera podía ver nombre, dirección, email, teléfono. Ahora se muestra una dirección de email proxy y datos redactados.
- Bloqueo de transferencia (Registrar Lock): impide que alguien transfiera el dominio a otro registrador sin tu autorización explícita (por correo electrónico o código EPP). Actívalo siempre.
- Autenticación de dos factores (2FA) en la cuenta del registrador: evita que accedan a tu cuenta y roben el dominio.
- Dominios de alto riesgo: los dueños de dominios valiosos pueden pagar servicios de “Domain Name Vault” o “Moniker Security Shield”.