Ir al contenido
Red y Acceso

¿Qué es el filtrado de DNS?

El filtrado de DNS es la capa de seguridad que actúa en el momento en que un dispositivo intenta descubrir la dirección de un sitio, el paso de DNS que antecede a toda conexión. Si el dominio solicitado es malicioso, conocido por alojar phishing, distribuir malware o controlar un ataque, la respuesta se bloquea, y la conexión nunca llega a hacerse. Es la defensa que detiene el ataque antes del primer contacto.

Zamak TechnologiesActualizado el 12 de julio de 2026

Cómo funciona el filtrado de DNS

Cada vez que alguien escribe una dirección o hace clic en un enlace, el dispositivo primero le pregunta al DNS cuál es el número (la dirección IP) de ese dominio. El filtrado de DNS entra exactamente en ese instante: evalúa el dominio solicitado contra inteligencia de amenazas y políticas antes de devolver la respuesta.

1

Intercepta la pregunta de DNS

Antes de cualquier conexión, el dispositivo consulta el DNS para resolver el dominio. El filtrado evalúa ese pedido en lugar de responderlo a ciegas.

2

Consulta inteligencia de amenazas

Compara el dominio con listas de reputación y categorías de riesgo actualizadas: sitios de phishing, distribución de malware, control de ataques y contenido indebido.

3

Permite, bloquea o redirige

Si el dominio es seguro, devuelve la dirección normalmente; si es malicioso, devuelve una respuesta de bloqueo y la conexión nunca ocurre.

4

Registra cada consulta

El historial de las consultas de DNS se vuelve evidencia para investigar un incidente y para la caza de amenazas, mostrando qué se intentó y desde dónde.

Fuente: orientación conjunta de la NSA y la CISA sobre DNS de protección (Protective DNS, 2025) y la Cyber Encyclopedia de N-able (filtrado de DNS y su distinción del gateway web seguro).

Por qué bloquear dominios no basta por sí solo

  • El filtrado de DNS actúa sobre el nombre, no sobre el contenido. Impide el acceso al dominio malicioso, pero no inspecciona lo que circula dentro de una conexión ya autorizada; para eso sirven otras capas.
  • Un dominio recién creado puede no estar todavía en ninguna lista. La inteligencia de amenazas es rápida, pero el atacante cambia de dominio todo el tiempo, y la ventana entre el registro y el bloqueo existe.
  • Fuera de la red de la empresa, el dispositivo puede usar otro DNS. Sin una política que acompañe al equipo donde esté, el empleado remoto queda fuera de la protección.
  • Es una capa de prevención, no de respuesta. Reduce el número de ataques que llegan a empezar, pero lo que pasa aún exige defensa de endpoint, de correo y monitoreo.

Qué bloquea el filtrado de DNS

  • Phishing Detiene el acceso a los dominios que imitan bancos, sistemas y marcas para robar contraseñas, aun cuando el enlace llega por un correo que pasó los otros filtros.
  • Malware y descargas maliciosas Impide que el dispositivo alcance los dominios que distribuyen programas maliciosos, cortando la infección antes de la descarga.
  • Control de ataques Cuando un dispositivo ya infectado intenta 'llamar a casa' para recibir órdenes, el filtrado derriba esa llamada y traba el avance del ataque, incluido el ransomware.
  • Contenido y productividad Además de la seguridad, aplica políticas de navegación por categoría y horario, manteniendo el uso de la internet alineado con el trabajo.

Por qué la capa de DNS es la defensa más barata

44%
de las brechas involucran ransomware, frente al 32% del año anterior, y el filtrado de DNS derriba la comunicación de control de esos ataques (Verizon DBIR 2025)
14%
de las brechas empiezan por phishing, el vector que el filtrado de DNS bloquea en el clic (Verizon DBIR 2025)
$ 4,44 mi
es el costo promedio global de una filtración de datos (IBM, 2025)

Casi todo ataque necesita, en algún momento, resolver un dominio: para llevar a la víctima al sitio falso, para descargar el programa malicioso o para que el dispositivo infectado reciba órdenes. Por eso la NSA y la CISA recomiendan el DNS de protección como una defensa preventiva de primera línea: corta el ataque en el punto más barato, antes del primer contacto. El peso de esto aparece en los números: el ransomware ya está en el 44% de las brechas, frente al 32% del año anterior (Verizon DBIR 2025), y depende de comunicación de control que el filtrado de DNS derriba; el phishing inicia cerca del 14% de las brechas (Verizon DBIR 2025), y un dominio falso bloqueado es un golpe que no ocurre. Bloquear un dominio malicioso cuesta una fracción de contener una filtración, que sale, en promedio, por $ 4,44 millones (IBM, 2025).

Cómo aplicar el filtrado de DNS con eficacia

El filtrado de DNS entrega el máximo cuando cubre a todos, en cualquier lugar, y alimenta la investigación:

  1. Cubra todos los dispositivosLa protección solo vale si está en toda la red y en cada equipo. Un solo dispositivo fuera de la política es la brecha por donde entra el ataque.
  2. Acompañe al usuario remotoEl trabajo salió de la oficina. La política tiene que seguir al equipo a la casa y al viaje, no quedar atada a la red de la empresa.
  3. Mantenga la inteligencia actualizadaLos dominios maliciosos nacen y mueren en horas. El valor está en la inteligencia de amenazas que se actualiza de forma continua, no en una lista estática.
  4. Use los registros para investigarEl historial de consultas de DNS muestra qué se intentó y desde dónde, materia prima para responder a un incidente y cazar amenazas.
  5. Combine con las otras capasEl filtrado de DNS reduce el volumen de ataques que llegan a empezar, pero trabaja junto con la defensa de correo, de endpoint y el monitoreo, nunca solo.

En la práctica

El ataque más barato de detener es el que muere antes de nacer: un clic en un dominio malicioso que simplemente no resuelve. La defensa que actúa en el primer paso evita el costo de todos los pasos siguientes.

Cómo protege Zamak la navegación

Zamak Technologies opera el filtrado de DNS como parte de la protección web gestionada: inteligencia de amenazas siempre actualizada, una política que acompaña al dispositivo dentro y fuera de la oficina y el registro de las consultas alimentando la investigación, junto a su equipo y no en su lugar. Un diagnóstico de ciberseguridad muestra por dónde la navegación aún expone a la empresa. Esta protección es parte de la Ciberseguridad gestionada del Método Zamak.

Preguntas frecuentes sobre filtrado de DNS

¿El filtrado de DNS es lo mismo que un firewall o un antivirus?
No, es una capa diferente y complementaria. El firewall controla las conexiones de red; el antivirus y la defensa de endpoint vigilan el archivo y el dispositivo; el filtrado de DNS actúa antes de todo eso, en el momento en que el dominio se resuelve, impidiendo que la conexión maliciosa llegue a hacerse.
¿El filtrado de DNS detiene el ransomware?
Ayuda de forma directa. Muchos ataques de ransomware dependen de comunicación de control y de dominios maliciosos para descargar el código y recibir órdenes; el filtrado de DNS derriba esas conexiones y puede interrumpir el ataque antes de que avance. No es la única defensa, pero es una de las más baratas y eficaces.
¿Funciona para quien trabaja fuera de la oficina?
Sí, siempre que la política acompañe al dispositivo. La protección moderna sigue al equipo a la casa y al viaje, y no queda atada a la red de la empresa, lo que es esencial cuando buena parte del trabajo ocurre fuera de la oficina.
¿Qué es el DNS de protección (Protective DNS)?
Es el nombre que la NSA y la CISA le dan al filtrado de DNS usado como defensa de seguridad: un resolvedor que evalúa cada consulta contra inteligencia de amenazas y bloquea los dominios maliciosos. Las dos agencias lo recomiendan como una capa preventiva de primera línea.
¿El filtrado de DNS ve lo que circula en los sitios?
No, y esa es la diferencia con un gateway web seguro. El filtrado de DNS decide a nivel del dominio, si puede o no accederse, sin inspeccionar el contenido de la página. Es más liviano y rápido, y por eso funciona como una primera capa amplia.
¿Sirve también para controlar el uso de la internet?
Sí. Además de la seguridad, el filtrado de DNS aplica políticas de navegación por categoría y por horario, lo que ayuda a mantener el uso de la internet alineado con el trabajo, con reporte de lo que se accedió y se bloqueó.