DNSSEC CADENA DE CONFIANZA

Martes 3 Diciembre 2025

Equipo 2

  • Alberto Boughton Reyes A01178500
  • Valeria García Hernández A01742811
  • Facundo Bautista Barbera A01066843
  • Emiliano Ruiz López A01659693
  • Daniel Garnelo Martínez A00573086

Aplicación de Criptografía y Seguridad

DNS

DNS traduce nombres de dominio a direcciones IP mediante consultas recursivas

Registro Función
SOA Autoridad de la zona, servidor primario
A / AAAA Direcciones IPv4 e IPv6
NS Servidores de nombres autoritativos
MX Servidores de correo del dominio
CNAME Alias hacia otro dominio
TXT Metadatos (SPF, DKIM, verificación)
. (Root)
.mx (TLD)
gob.mx
sat.gob.mx

DISEÑO ORIGINAL SIN SEGURIDAD

DNS nació en 1987 optimizado para operación (RFCs 1034/1035)

Limitaciones históricas:

  • Mensajes cortos (512 bytes)
  • Uso de UDP
  • Foco en eficiencia

Consecuencias: vectores de suplantación

1997 Kashpurref
2008 Kaminsky

¿QUÉ ES DNSSEC?

Añade firmas digitales a respuestas DNS para validar origen e integridad

Basado en criptografía de clave pública:

RRSIG Firmas digitales
DS Registros de delegado
NSEC/NSEC3 Pruebas de no-existencia

Objetivo: construir cadena de confianza desde la raíz hasta el registro final

HISTORIA

1997-1999

RFC 2065 y 2535

Primeras versiones obsoletas

2005

DNSSEC-bis

RFC 4033/4034/4035

Estándar operativo

2023

RFC 9364

Actualización reciente

DOMINIO .MX

  • .mx está firmado a nivel de TLD (permite validación desde la raíz)
  • Sin embargo, la adopción a nivel de registrante es voluntaria: no todos los dominios .mx están firmados
  • Oportunidad: medir adopción, detectar configuraciones débiles o errores operativos
🦅

METODOLOGÍA

Fuente: lecturas públicas (OSINT) realizadas desde un servidor recursivo — no se requiere autorización

¿Qué medimos por dominio?

  1. ¿Está firmado? ¿Valida end-to-end?
  2. Algoritmos y tamaños de clave (RSA / ECDSA / ED25519)
  3. Tipo de prueba de no-existencia: NSEC vs NSEC3
  4. Problemas comunes: firmas vencidas, DS desalineado, TTL anómalos

DOMINIOS SAMPLE

Click en un dominio para analizar en vivo

MÉTRICAS

Chain Complete

Yes: 3 (6.25%) No: 45 (93.75%)

DNSSEC Enabled

Yes: 6 (12.5%) No: 42 (87.5%)

Hallazgo común: Firmas expiradas o caducidades mal gestionadas

RECOMENDACIONES

  1. Implementar DNSSEC con algoritmos modernos (preferir ECDSA/ED25519 cuando sea posible)
  2. Mantener políticas de rotación de claves y monitorización de caducidades
  3. Verificar alineamiento DS al publicar cambios en registrar/host
  4. Evitar TTL excesivos para RR de firma; usar valores coherentes con operaciones
  5. Validaciones periódicas (auditorías OSINT desde servidores recursivos)

PLAN DE DEMO

CONCLUSIÓN

  • DNSSEC protege contra la suplantación end-to-end
  • Aunque .MX ya está firmado, la adopción entre registrantes sigue siendo irregular
  • Para fortalecer el ecosistema, se requieren políticas claras, auditorías constantes y capacitación técnica
  • Este reto ofrece una forma práctica y ética de medir y mejorar la salud criptográfica del .MX
🛡️

¡GRACIAS!

Thank you!

🙏

¿Preguntas? / Questions?

1 / 13