¿Qué es el filtrado de DNS?
El filtrado de DNS es la capa de seguridad que actúa en el momento en que un dispositivo intenta descubrir la dirección de un sitio, el paso de DNS que antecede a toda conexión. Si el dominio solicitado es malicioso, conocido por alojar phishing, distribuir malware o controlar un ataque, la respuesta se bloquea, y la conexión nunca llega a hacerse. Es la defensa que detiene el ataque antes del primer contacto.
Cómo funciona el filtrado de DNS
Cada vez que alguien escribe una dirección o hace clic en un enlace, el dispositivo primero le pregunta al DNS cuál es el número (la dirección IP) de ese dominio. El filtrado de DNS entra exactamente en ese instante: evalúa el dominio solicitado contra inteligencia de amenazas y políticas antes de devolver la respuesta.
Intercepta la pregunta de DNS
Antes de cualquier conexión, el dispositivo consulta el DNS para resolver el dominio. El filtrado evalúa ese pedido en lugar de responderlo a ciegas.
Consulta inteligencia de amenazas
Compara el dominio con listas de reputación y categorías de riesgo actualizadas: sitios de phishing, distribución de malware, control de ataques y contenido indebido.
Permite, bloquea o redirige
Si el dominio es seguro, devuelve la dirección normalmente; si es malicioso, devuelve una respuesta de bloqueo y la conexión nunca ocurre.
Registra cada consulta
El historial de las consultas de DNS se vuelve evidencia para investigar un incidente y para la caza de amenazas, mostrando qué se intentó y desde dónde.
Fuente: orientación conjunta de la NSA y la CISA sobre DNS de protección (Protective DNS, 2025) y la Cyber Encyclopedia de N-able (filtrado de DNS y su distinción del gateway web seguro).
Por qué bloquear dominios no basta por sí solo
- El filtrado de DNS actúa sobre el nombre, no sobre el contenido. Impide el acceso al dominio malicioso, pero no inspecciona lo que circula dentro de una conexión ya autorizada; para eso sirven otras capas.
- Un dominio recién creado puede no estar todavía en ninguna lista. La inteligencia de amenazas es rápida, pero el atacante cambia de dominio todo el tiempo, y la ventana entre el registro y el bloqueo existe.
- Fuera de la red de la empresa, el dispositivo puede usar otro DNS. Sin una política que acompañe al equipo donde esté, el empleado remoto queda fuera de la protección.
- Es una capa de prevención, no de respuesta. Reduce el número de ataques que llegan a empezar, pero lo que pasa aún exige defensa de endpoint, de correo y monitoreo.
Qué bloquea el filtrado de DNS
- Phishing Detiene el acceso a los dominios que imitan bancos, sistemas y marcas para robar contraseñas, aun cuando el enlace llega por un correo que pasó los otros filtros.
- Malware y descargas maliciosas Impide que el dispositivo alcance los dominios que distribuyen programas maliciosos, cortando la infección antes de la descarga.
- Control de ataques Cuando un dispositivo ya infectado intenta 'llamar a casa' para recibir órdenes, el filtrado derriba esa llamada y traba el avance del ataque, incluido el ransomware.
- Contenido y productividad Además de la seguridad, aplica políticas de navegación por categoría y horario, manteniendo el uso de la internet alineado con el trabajo.
Por qué la capa de DNS es la defensa más barata
Casi todo ataque necesita, en algún momento, resolver un dominio: para llevar a la víctima al sitio falso, para descargar el programa malicioso o para que el dispositivo infectado reciba órdenes. Por eso la NSA y la CISA recomiendan el DNS de protección como una defensa preventiva de primera línea: corta el ataque en el punto más barato, antes del primer contacto. El peso de esto aparece en los números: el ransomware ya está en el 44% de las brechas, frente al 32% del año anterior (Verizon DBIR 2025), y depende de comunicación de control que el filtrado de DNS derriba; el phishing inicia cerca del 14% de las brechas (Verizon DBIR 2025), y un dominio falso bloqueado es un golpe que no ocurre. Bloquear un dominio malicioso cuesta una fracción de contener una filtración, que sale, en promedio, por $ 4,44 millones (IBM, 2025).
Cómo aplicar el filtrado de DNS con eficacia
El filtrado de DNS entrega el máximo cuando cubre a todos, en cualquier lugar, y alimenta la investigación:
- Cubra todos los dispositivosLa protección solo vale si está en toda la red y en cada equipo. Un solo dispositivo fuera de la política es la brecha por donde entra el ataque.
- Acompañe al usuario remotoEl trabajo salió de la oficina. La política tiene que seguir al equipo a la casa y al viaje, no quedar atada a la red de la empresa.
- Mantenga la inteligencia actualizadaLos dominios maliciosos nacen y mueren en horas. El valor está en la inteligencia de amenazas que se actualiza de forma continua, no en una lista estática.
- Use los registros para investigarEl historial de consultas de DNS muestra qué se intentó y desde dónde, materia prima para responder a un incidente y cazar amenazas.
- Combine con las otras capasEl filtrado de DNS reduce el volumen de ataques que llegan a empezar, pero trabaja junto con la defensa de correo, de endpoint y el monitoreo, nunca solo.
En la práctica
El ataque más barato de detener es el que muere antes de nacer: un clic en un dominio malicioso que simplemente no resuelve. La defensa que actúa en el primer paso evita el costo de todos los pasos siguientes.
Cómo protege Zamak la navegación
Zamak Technologies opera el filtrado de DNS como parte de la protección web gestionada: inteligencia de amenazas siempre actualizada, una política que acompaña al dispositivo dentro y fuera de la oficina y el registro de las consultas alimentando la investigación, junto a su equipo y no en su lugar. Un diagnóstico de ciberseguridad muestra por dónde la navegación aún expone a la empresa. Esta protección es parte de la Ciberseguridad gestionada del Método Zamak.