- Las investigaciones demuestran que el 72% de todo el tráfico entrante a un servidor raíz DNS es no deseado.
- Los grandes proveedores de servicios de Internet, los dispositivos heredados del Internet de las Cosas y las redes de bots son los principales culpables.
- Para mejorar la eficacia y resistencia del DNS, es necesario un esfuerzo coordinado y a varios niveles en el que participen resolutores, operadores raíz, desarrolladores de software y organismos de normalización para limpiar estas consultas.
Imagina que siete de cada diez correos electrónicos de tu bandeja de entrada fueran spam. Ahora imagina que eso ocurre cada segundo, en cada rincón de Internet, no sólo en tu bandeja de entrada, sino en la columna vertebral misma del funcionamiento de Internet. Esa es la realidad a la que se enfrentan los servidores raíz del Sistema de Nombres de Dominio (DNS) de Internet, que reciben una abrumadora mayoría del tráfico “basura”.
Investigaciones recientes muestran que más del 72% de las consultas a los servidores DNS raíz son no deseadas, la mayoría de ellas preguntando por dominios que ni siquiera existen. Aunque este tráfico pueda parecer ruido inofensivo, en realidad es un grave desafío para la estabilidad, la seguridad y el rendimiento de Internet.
Esta entrada de blog explica qué es este tráfico basura, por qué es importante y qué se puede hacer para reducir su impacto.
¿Qué son los servidores raíz y por qué son importantes?
El DNS es la guía telefónica de Internet. Traduce nombres comprensibles para el ser humano (como google.com) en direcciones IP legibles por la máquina (como 142.251.46.174). En la cima de este sistema están los servidores raíz, un conjunto distribuido globalmente de 13 servidores lógicos que gestionan la “zona raíz” del DNS, dirigiendo las consultas al dominio de nivel superior (TLD), como .com, .org, o códigos de país como .uk.
Cada vez que tecleas una dirección web, existe la posibilidad de que tu consulta interactúe, directa o indirectamente, con los servidores raíz. Son fundamentales para el buen funcionamiento de Internet, pero también están sometidos a una carga constante. Por desgracia, gran parte de esa carga procede de consultas que no tienen ninguna utilidad.
¿Cuál es el origen del tráfico DNS no deseado?
Nuestro análisis del tráfico al servidor b.root reveló que más del 72% de todas las consultas entrantes eran no deseadas. Destacaban dos grandes culpables:
- Consultas repetitivas
Se trata de solicitudes frecuentes de los mismos TLD en intervalos cortos, normalmente causadas por sistemas mal configurados o mecanismos de reintento demasiado agresivos. - Consultas de TLD inexistentes (NXDOMAIN)
Estos dominan el tráfico no deseado. A menudo proceden de:- Malware que genera nombres de dominio aleatorios.
- Errores tipográficos y software mal configurado.
- Dispositivos IoT heredados con configuraciones DNS obsoletas.
- Exploración o reconocimiento malicioso.
Como estos TLD no existen, los servidores raíz no pueden resolverlos. Aun así, deben procesarlos y responder, malgastando una valiosa potencia de cálculo y ancho de banda.
¿Por qué debería importarle a alguien?
Si la mayor parte de este tráfico basura no afecta a la carga de tu sitio web favorito, ¿por qué importa? La respuesta está en la resistencia y el rendimiento de Internet.
- Degradación del rendimiento
Las consultas basura consumen recursos, lo que puede añadir retrasos durante los picos de carga o los ataques. Incluso pequeñas cantidades de latencia añadida se propagan a millones de usuarios. - Resistencia reducida
Los servidores raíz tienen una capacidad finita. Cuanto más ancho de banda y procesamiento se desperdicien en basura, menos espacio queda para las consultas legítimas, sobre todo en momentos de estrés, como ciberataques o picos de tráfico. - Mayores costes y consumo de energía
Miles de millones de consultas inútiles significan miles de millones de ciclos de CPU desperdiciados. Esto se traduce en mayores costes operativos y mayor consumo de electricidad, lo que plantea problemas de sostenibilidad. - Riesgos de seguridad
El tráfico no deseado puede enmascarar o presagiar ciberamenazas. Los picos repentinos en ciertos patrones, por ejemplo, pueden indicar nuevas campañas de malware o actividad de botnets.
¿Quién envía toda esta basura?
Es difícil señalar cada fuente, pero los datos apuntan a varios infractores recurrentes:
- Grandes proveedores de servicios de Internet con routers o dispositivos de cliente mal configurados.
- Dispositivos heredados del Internet de las Cosas que siguen ejecutando firmware obsoleto.
- Botnets que generan enormes cantidades de solicitudes de dominios falsos.
Cuando se relacionan con los datos a nivel de red (Sistemas Autónomos o ASN), algunos proveedores destacan como responsables de volúmenes desproporcionadamente grandes de tráfico NXDOMAIN. Esto crea oportunidades para la divulgación y la corrección específicas.
De la basura al conocimiento
Irónicamente, aunque el tráfico no deseado es una carga, también proporciona información valiosa. Estudiando los patrones de las consultas basura, los investigadores pueden detectar nuevas amenazas, identificar sistemas mal configurados en la naturaleza y orientar las mejoras de los protocolos DNS.
De este modo, el tráfico basura no es sólo ruido. También es una herramienta de diagnóstico de la salud de Internet. Pero para que eso funcione, necesitamos una vigilancia continua, colaboración y medidas proactivas para reducir la carga de los servidores raíz.
Hora de limpiar el DNS
Los servidores raíz no son el único sistema necesario para limpiar el DNS. Es necesario un esfuerzo coordinado y a varios niveles en el que participen resolutores, operadores raíz, desarrolladores de software y organismos de normalización.
He aquí algunos pasos concretos:
Para resolvedores DNS
- Valida los TLD localmente: Utiliza listas actualizadas de TLD válidos para que los resolutores puedan bloquear las consultas no válidas antes de que lleguen a la raíz.
- Implementar Zonas de Política de Respuesta (RPZ): Define respuestas personalizadas para consultas claramente inválidas, como devolver 0.0.0.0.
- Almacena en caché y limita la velocidad de las respuestas NXDOMAIN: Así se evitan inundaciones repetitivas de las mismas peticiones no válidas.
Para operadores de servidores raíz
- Detecta y mitiga los patrones abusivos: Los grandes volúmenes de consultas procedentes de una única subred pueden marcarse y limitarse su velocidad.
- Mejora el almacenamiento en caché y el filtrado: Un software más inteligente puede reducir los gastos generales y mejorar la eficacia.
Para organismos de normalización y planificadores de infraestructuras
- Mejorar los protocolos DNS: La información sobre el tráfico no deseado puede orientar nuevas normas en el IETF para hacer que el DNS sea más resistente.
- Amplía los despliegues de anycast: Más instancias de servidor raíz en regiones desatendidas ayudan a repartir la carga y a reducir el riesgo de sobrecarga localizada.
El hecho de que más del 70% de las consultas raíz DNS sean basura es asombroso e insostenible. Si no se controla, erosiona el rendimiento, la resistencia y la confianza en uno de los sistemas más críticos de Internet.
La buena noticia es que existen soluciones. Validando las consultas localmente, filtrando las solicitudes no válidas, mejorando las operaciones de los servidores raíz e impulsando normas más inteligentes, podemos hacer que el ecosistema DNS sea más eficiente y seguro. Mi
La próxima vez que tu navegador cargue un sitio web en milisegundos, recuerda que una vasta infraestructura invisible lo hizo posible, y gran parte de esa infraestructura está actualmente empantanada con basura digital. Es hora de limpiarla para conseguir una Internet más rápida, segura y resistente.
Dipsy Desai es Doctora en Filosofía. Estudiante de la Universidad del Sur de California y becaria de investigación 2025 Pulse.
Las opiniones expresadas por los autores de este blog son suyas y no reflejan necesariamente los puntos de vista de la Internet Society.
Foto de Claudio Schwarz en Unsplash