¿Qué registros DNS monitoriza el monitor?

Por defecto A, AAAA, MX, NS, TXT y CNAME. El monitor toma un snapshot de los valores resueltos en cada comprobación y alerta si alguno cambia — añadido, eliminado o modificado.

¿Por qué monitorizar DNS — no es mi proveedor DNS fiable?

La fiabilidad no es el problema — los cambios sí. Secuestros de DNS, actualizaciones accidentales al migrar, CDNs externos rotando IPs y hackeos de cuentas de registradores — todo se manifiesta como cambios en los registros. El monitoreo DNS lo detecta en minutos en vez de días.

¿Cómo maneja el monitor el almacenamiento en caché TTL?

Las consultas se hacen contra los nameservers autoritativos (no tu resolvedor local), así que el almacenamiento en caché TTL no oculta los cambios. Cada comprobación hace una consulta autoritativa fresca — si el registro fuente ha cambiado, el monitor lo verá en la siguiente comprobación.

¿Puedo monitorizar el estado de validación DNSSEC?

Sí. El monitor registra el estado DNSSEC (firmado / no firmado) en cada comprobación y alerta cuando hay cambios. Un dominio que ayer estaba firmado DNSSEC y hoy aparece como no firmado es un incidente de seguridad que merece investigación inmediata.

¿Recibiré falsos positivos por balanceo de carga DNS?

Si tu registro A devuelve muchas IPs rotando, el monitor verá un "cambio" en cada comprobación. Para evitarlo, configura los valores esperados para incluir todas las IP posibles, o desactiva el monitoreo del registro A en ese dominio y confía solo en la comprobación HTTP para disponibilidad.

Supervisión de DNS — detecte cambios de registros y secuestros

Los registros DNS que cambian sin su conocimiento son una mala configuración o un secuestro. Ambos son perjudiciales. Vigílelos.

DNS es la base: la cosa más fácil de estropear

El DNS está bajo todo lo demás: cada petición web, cada correo electrónico, cada llamada API comienza con una consulta DNS. Por eso, los cambios silenciosos en los registros DNS son uno de los ataques más frecuentes —y uno de los errores más fáciles de cometer por un miembro descuidado del equipo. Un cambio en el DNS puede redirigir tu dominio a una copia phishing de tu web, enrutar el correo a través del servidor de un atacante, sacarte de los resultados de búsqueda, o romper toda la pila por una simple errata. La mayoría de las veces, el daño DNS ni siquiera es malicioso; es un cambio rutinario de operaciones que alguien ha hecho sin avisar, pero que ha roto todo lo que dependía a continuación.

El monitoreo de DNS detecta esos cambios tomando un snapshot de tus registros en cada comprobación y comparándolo con el anterior. Si algo monitorizado ha sido añadido o eliminado desde la última vez, recibes una alerta. Sea un cambio programado que olvidaste comunicar, un error de configuración o un secuestro real, lo sabrás en cuestión de horas.

Qué registros se monitorizan

Para cada monitor de tipo HTTP, una comprobación profunda diaria recopila estos tipos de registros:

A y AAAA: direcciones IPv4 e IPv6 a las que resuelve el hostname. Si cambian, el tráfico va a otro lugar, ya sea a propósito o porque alguien ha tomado el control de tu registrador.
MX: mail exchangers. Un nuevo registro MX (o peor, uno que falte) significa que el correo ha empezado a enrutar de forma diferente. La pérdida silenciosa de emails es uno de los peores escenarios posibles para un negocio.
NS: servidores de nombres. Si cambian, alguien ha transferido tu zona DNS a otro proveedor — el mayor cambio que se puede hacer sobre un dominio. Los cambios de NS son casi siempre una migración programada o un ataque exitoso al registrador.
TXT: cualquier registro de texto, frecuentemente usado para la verificación de dominio (Google, Microsoft, Stripe, etc.) y para SPF/DKIM/DMARC.
SPF, DMARC, CAA: registros específicos de seguridad de correo electrónico y emisión de certificados. Un cambio en CAA, en particular, puede permitir a un atacante obtener un certificado TLS para tu dominio.

El panel muestra todos los registros actuales en la vista expandida del monitor, así verás de un vistazo qué está publicado en ese momento.

Detección de cambios

El monitor mantiene un snapshot de los registros A, AAAA, MX y NS por cada monitor. En cada comprobación profunda, los registros actuales se comparan con el snapshot. Los registros que han desaparecido se marcan como "eliminados", los nuevos como "añadidos". Ambas listas se incluyen en el informe de cambios.

Si cualquier conjunto monitorizado de registros cambia, se envía una alerta por los canales activados. La notificación indica qué tipo de registro ha cambiado y detalla qué se ha añadido y qué se ha eliminado. En lugar de "DNS cambiado para example.com", recibes "MX para example.com: eliminado mail.oldhost.com, añadido mail-1.attacker.com" — lo que permite entender la situación al instante.

Puedes desactivar alertas de cambios en DNS independientemente de otras notificaciones, útil si tienes una migración planificada que genera mucho ruido. Desactívalas, haz la migración y vuelve a activarlas una vez que todo esté estable.

Por qué esto detecta cosas que otras herramientas pasan por alto

La mayoría de las herramientas de uptime tratan el DNS como la instalación inicial —lo usan para resolver la URL y luego lo olvidan. Pero en el momento en que un competidor (o atacante, o el despliegue caótico de los viernes) cambia tu DNS, la resolución empieza a apuntar a otra IP, y un monitor HTTP sigue informando todo en verde porque la nueva IP también devuelve 200. Sin monitoreo a nivel de DNS, el cambio es invisible hasta que alguien lo revisa manualmente. Para entonces, pueden haberse perdido días de correos o semanas de posiciones en buscadores.

El monitoreo DNS también detecta problemas propios del proveedor. Algunos proveedores ocasionalmente pierden o mueven registros al actualizar zonas; otros sufren caídas regionales en las que las consultas desde una ubicación devuelven resultados diferentes a otra. La comparación de snapshots revela estas inestabilidades.

Configuración

El monitoreo DNS es automático para cada monitor HTTP/keyword/API. La primera comprobación profunda (dentro de las 24 horas tras añadir el monitor) guarda el snapshot base — no se envía alerta la primera vez, solo si las comprobaciones posteriores difieren. Para activar/desactivar alertas de cambios DNS, usa "Notificar sobre cambios DNS" en la sección Preferencias de Notificaciones. La vista expandida de cualquier monitor siempre muestra el estado DNS completo, incluidos SPF, DMARC y CAA, que no se monitorizan por cambios, pero son útiles para una revisión periódica.

Preguntas frecuentes

¿Qué registros DNS monitoriza el monitor?
Por defecto A, AAAA, MX, NS, TXT y CNAME. El monitor toma un snapshot de los valores resueltos en cada comprobación y alerta si alguno cambia — añadido, eliminado o modificado.
¿Por qué monitorizar DNS — no es mi proveedor DNS fiable?
La fiabilidad no es el problema — los cambios sí. Secuestros de DNS, actualizaciones accidentales al migrar, CDNs externos rotando IPs y hackeos de cuentas de registradores — todo se manifiesta como cambios en los registros. El monitoreo DNS lo detecta en minutos en vez de días.
¿Cómo maneja el monitor el almacenamiento en caché TTL?
Las consultas se hacen contra los nameservers autoritativos (no tu resolvedor local), así que el almacenamiento en caché TTL no oculta los cambios. Cada comprobación hace una consulta autoritativa fresca — si el registro fuente ha cambiado, el monitor lo verá en la siguiente comprobación.
¿Puedo monitorizar el estado de validación DNSSEC?
Sí. El monitor registra el estado DNSSEC (firmado / no firmado) en cada comprobación y alerta cuando hay cambios. Un dominio que ayer estaba firmado DNSSEC y hoy aparece como no firmado es un incidente de seguridad que merece investigación inmediata.
¿Recibiré falsos positivos por balanceo de carga DNS?
Si tu registro A devuelve muchas IPs rotando, el monitor verá un "cambio" en cada comprobación. Para evitarlo, configura los valores esperados para incluir todas las IP posibles, o desactiva el monitoreo del registro A en ese dominio y confía solo en la comprobación HTTP para disponibilidad.

Supervisión de DNS