Billete abierto 
+373 79 600002 
Chat en directo de Telegram 
F.A.Q 
Español
English 
Русский 
Română 
Deutsch 
Français 
Türkçe 
Português 
Українська 
български 
Polski 
Indonesia 
中文 (中国) 
DNS 
Nombres de DominioDelegación de Dominios Explicada: Una Guía Completa sobre Autoridad DNS y Gestión de Subdominios
Ya sea que esté lanzando un nuevo sitio web, escalando una infraestructura compleja o simplemente intentando entender cómo el internet resuelve nombres de dominio, la delegación de dominio es un concepto que no puede permitirse pasar por alto. Se encuentra en el corazón mismo del Sistema de Nombres de Dominio (DNS) y determina cómo se distribuye la autoridad sobre los nombres de dominio en todo el internet.
Esta guía desglosa todo lo que necesita saber sobre delegación de dominio — qué es, cómo funciona, sus componentes clave y las mejores prácticas que mantienen su infraestructura DNS confiable y de alto rendimiento.
¿Qué es la Delegación de Dominio?
La delegación de dominio es el proceso de transferir el control autoritativo sobre un dominio específico o subdominio a un conjunto designado de servidores de nombres. En términos prácticos, significa decirle al internet: *”Para preguntas sobre este dominio o subdominio, pregunta a estos servidores de nombres — ellos están a cargo.”*
Cuando se realiza una consulta DNS para un dominio, los resolutores siguen una cadena de autoridad. La delegación de dominio define esa cadena. Sin ella, el sistema DNS — que maneja miles de millones de consultas cada día — no tendría una forma estructurada de distribuir la responsabilidad entre millones de dominios.
La delegación de dominio no es solo una formalidad técnica. Afecta directamente a:
- Disponibilidad del sitio web — la delegación incorrecta conduce a fallos de resolución DNS
- Entregabilidad de correo electrónico — los registros MX deben ser accesibles a través de servidores de nombres delegados correctamente
- Seguridad — la delegación mal configurada puede exponer dominios al secuestro o suplantación
- Rendimiento — la delegación bien estructurada reduce la latencia de búsqueda DNS
Si está registrando un nuevo dominio y necesita una base confiable para construir, el Registro de Dominio con AlexHost le proporciona control total sobre su configuración DNS desde el primer día.
Componentes Clave de la Delegación de Dominio
Entender la delegación de dominio requiere familiaridad con sus bloques de construcción principales. Cada componente juega un papel específico en la jerarquía DNS.
1. El Dominio Padre
El dominio padre es el dominio que se encuentra arriba del dominio delegado en la jerarquía DNS. Contiene los registros NS (Servidor de Nombres) que apuntan a los resolutores hacia los servidores de nombres autoritativos para el dominio hijo.
Ejemplo: Si está delegando sub.example.com, el dominio padre es example.com. La zona DNS para example.com contiene los registros NS que delegan la autoridad para sub.example.com a un conjunto diferente de servidores de nombres.
En la parte superior de la jerarquía se encuentran los servidores de nombres raíz, que delegan la autoridad a los registros de Dominio de Nivel Superior (TLD) (como .com, .net o .org). Esos registros TLD, a su vez, delegan la autoridad a los servidores de nombres de su registrador de dominios.
2. El Dominio Hijo
El dominio hijo es el dominio o subdominio que está siendo delegado — la entidad que recibe la autoridad. En el ejemplo anterior, sub.example.com es el dominio hijo.
Los dominios hijo pueden ser:
- Subdominios (p. ej.,
api.example.com,mail.example.com,shop.example.com) - Dominios de segundo nivel completos (p. ej.,
example.comdelegado desde el registro TLD.com)
3. Registros NS (Registros de Servidor de Nombres)
Los registros NS son el mecanismo fundamental de la delegación. Especifican qué servidores de nombres son autoritativos para un dominio o subdominio dado. Cuando un resolutor DNS encuentra un registro NS durante una búsqueda, sabe que debe consultar esos servidores de nombres para obtener más información.
; NS records in the example.com zone delegating sub.example.com
sub.example.com. IN NS ns1.childnameserver.com.
sub.example.com. IN NS ns2.childnameserver.com.La mejor práctica dicta tener al menos dos registros NS (primario y secundario) para garantizar redundancia. Si un servidor de nombres no está disponible, el otro continúa sirviendo respuestas DNS.
4. Registros de Pegamento (Glue Records)
Los registros de pegamento son un tipo especial de registro DNS que resuelve un problema de dependencia circular común. Considere este escenario:
- Desea delegar
sub.example.comans1.sub.example.com - Pero para encontrar
ns1.sub.example.com, un resolutor debe consultar primerosub.example.com - Esto crea un bucle infinito
Los registros de pegamento resuelven esto incluyendo la dirección IP del servidor de nombres directamente en la zona padre, evitando la búsqueda circular.
; Glue records in the example.com zone
ns1.sub.example.com. IN A 203.0.113.10
ns2.sub.example.com. IN A 203.0.113.11Los registros de pegamento son obligatorios cuando los servidores de nombres para un dominio hijo son ellos mismos subdominios de ese dominio hijo. Se almacenan a nivel de registrador de dominios y son servidos por el registro TLD.
5. Registro SOA (Inicio de Autoridad)
Cada zona delegada debe tener un registro SOA que defina información administrativa sobre la zona, incluyendo:
- El servidor de nombres primario
- La dirección de correo electrónico de la parte responsable
- Número de serie (utilizado para el control de versiones de transferencia de zona)
- Valores de actualización, reintento, expiración y TTL mínimo
El registro SOA señala que una zona está configurada correctamente y es autoritativa.
Cómo Funciona la Delegación de Dominio: Resolución DNS Paso a Paso
Cuando un usuario escribe sub.example.com en su navegador, un sofisticado proceso de resolución se desarrolla detrás de escenas. Esto es exactamente lo que sucede:
Paso 1: Consulta del Resolutor Recursivo
El dispositivo del usuario envía una consulta DNS a un resolutor recursivo — típicamente operado por su ISP o un proveedor DNS público como Google (8.8.8.8) o Cloudflare (1.1.1.1). El trabajo del resolutor es encontrar la respuesta consultando la jerarquía DNS.
Paso 2: Búsqueda del Servidor de Nombres Raíz
Si el resolutor no tiene la respuesta en caché, consulta uno de los 13 clústeres de servidores de nombres raíz. Los servidores raíz no conocen la dirección IP de sub.example.com, pero saben qué servidores de nombres son autoritativos para el TLD .com.
Root Server Response:
.com is handled by:
a.gtld-servers.net.
b.gtld-servers.net.
[...etc]Paso 3: Búsqueda del Servidor de Nombres TLD
El resolutor consulta los servidores de nombres TLD .com. Estos servidores saben qué servidores de nombres son autoritativos para example.com (como se registró a través de su registrador de dominios).
TLD Server Response:
example.com is handled by:
ns1.registrar.com.
ns2.registrar.com.Paso 4: Búsqueda del Servidor de Nombres del Dominio Padre
El resolutor consulta ns1.registrar.com (el servidor de nombres autoritativo para example.com). Este servidor contiene los registros NS para la delegación de sub.example.com.
Parent Domain Response:
sub.example.com is delegated to:
ns1.childnameserver.com.
ns2.childnameserver.com.Paso 5: Búsqueda del Servidor de Nombres del Dominio Hijo
El resolutor ahora consulta ns1.childnameserver.com — el servidor de nombres autoritativo para sub.example.com. Este servidor devuelve los registros DNS reales solicitados, como un registro A (dirección IP) o un registro MX (servidor de correo).
Child Name Server Response:
sub.example.com. IN A 198.51.100.42Paso 6: Respuesta Entregada
El resolutor recursivo devuelve la dirección IP al navegador del usuario, que luego establece una conexión con el servidor web en esa dirección. Todo el proceso típicamente se completa en milisegundos.
Cada paso en esta cadena representa una delegación de autoridad — desde la raíz al TLD al registrador a los servidores de nombres de su proveedor de alojamiento.
Cómo Delegar un Dominio o Subdominio: Pasos Prácticos
Ya sea que esté delegando un dominio completo a un nuevo proveedor de alojamiento o dividiendo un subdominio en una zona DNS separada, el proceso sigue un patrón consistente.
Paso 1: Identificar los Servidores de Nombres Objetivo
Determine qué servidores de nombres serán autoritativos para el dominio hijo. Esto típicamente es proporcionado por:
- Su proveedor de alojamiento (p. ej.,
ns1.alexhost.com,ns2.alexhost.com) - Un servicio de gestión DNS dedicado
- Su propia infraestructura DNS auto-hospedada
Si está ejecutando sus propios servidores y necesita control total sobre su entorno DNS, el Alojamiento VPS de AlexHost proporciona el acceso raíz y la confiabilidad de red requeridos para operar servidores de nombres autoritativos.
Paso 2: Agregar Registros NS en la Zona Padre
Inicie sesión en el panel de control de su registrador de dominios y navegue a la sección de gestión DNS para el dominio padre. Agregue registros NS que apunten a los servidores de nombres delegados.
Ejemplo — Delegando shop.example.com a un entorno de alojamiento separado:
shop.example.com. 3600 IN NS ns1.shophosting.com.
shop.example.com. 3600 IN NS ns2.shophosting.com.Importante: Establezca un TTL razonable (Tiempo de Vida). Un TTL de 3600 segundos (1 hora) es común. Los TTL más bajos permiten una propagación más rápida de cambios pero aumentan la carga de consultas DNS.
Paso 3: Agregar Registros de Pegamento Si es Necesario
Si los servidores de nombres de su dominio hijo son subdominios del dominio hijo en sí, contacte a su registrador para agregar registros de pegamento. Esto se hace a nivel de registrador, no en su archivo de zona DNS.
Paso 4: Configurar la Zona Hijo
En los servidores de nombres delegados, cree la zona DNS para el dominio hijo y agregue todos los registros necesarios:
; Zone file for shop.example.com
$ORIGIN shop.example.com.
$TTL 3600
@ IN SOA ns1.shophosting.com. admin.example.com. (
2024010101 ; Serial
3600 ; Refresh
900 ; Retry
604800 ; Expire
300 ) ; Minimum TTL
@ IN NS ns1.shophosting.com.
@ IN NS ns2.shophosting.com.
@ IN A 198.51.100.42
www IN A 198.51.100.42
@ IN MX 10 mail.shophosting.com.Paso 5: Verificar la Propagación
Los cambios DNS pueden tardar desde unos pocos minutos hasta 48 horas en propagarse globalmente, dependiendo de los valores de TTL y el comportamiento de almacenamiento en caché. Use herramientas como:
dig(Linux/macOS):dig NS shop.example.com @8.8.8.8nslookup(Windows):nslookup -type=NS shop.example.com- Herramientas en línea: dnschecker.org o whatsmydns.net
Delegación de Dominio vs. Alojamiento DNS: Entender la Diferencia
Estos dos conceptos están estrechamente relacionados pero son distintos:
| Concepto | Definición |
|---|---|
| Registro de Dominio | Reservar un nombre de dominio a través de un registrador |
| Alojamiento DNS | Proporcionar los servidores de nombres que responden consultas DNS |
| Delegación de Dominio | Apuntar un dominio o subdominio a servidores de nombres específicos |
Puede registrar un dominio con un proveedor y delegarlo a servidores de nombres operados por un proveedor completamente diferente. Esto es extremadamente común — por ejemplo, registrar un dominio con un registrador económico pero alojar DNS con un proveedor que ofrece rendimiento superior o características avanzadas.
Para empresas que necesitan correo electrónico profesional junto con su presencia web, el Alojamiento de Correo Electrónico de AlexHost se integra perfectamente con su configuración DNS, garantizando la configuración correcta de registros MX y entrega de correo confiable.
Escenarios Comunes de Delegación de Dominio
Escenario 1: Mover un Dominio a un Nuevo Proveedor de Alojamiento
Al migrar de un host a otro, actualiza los registros NS en su registrador para apuntar a los servidores de nombres del nuevo proveedor. Los servidores DNS del nuevo proveedor se convierten en autoritativos para su dominio.
Consejo clave: Configure todos los registros DNS en los nuevos servidores de nombres *antes* de cambiar los registros NS en el registrador. Esto minimiza el tiempo de inactividad durante la transición.
Escenario 2: Delegar un Subdominio a una Plataforma SaaS
Muchas plataformas SaaS (p. ej., plataformas de comercio electrónico, proveedores de CDN) requieren que delegue un subdominio a sus servidores de nombres. Por ejemplo, delegar shop.yourdomain.com a una plataforma de comercio electrónico hospedada mientras mantiene www.yourdomain.com en su alojamiento principal.
Escenario 3: Dividir Infraestructura Entre Múltiples Proveedores
Las grandes organizaciones a menudo delegan diferentes subdominios a diferentes proveedores de infraestructura:
api.example.com→ Proveedor de nube Acdn.example.com→ Proveedor de CDN Bmail.example.com→ Infraestructura de correo dedicada
Esta arquitectura requiere una gestión DNS cuidadosa pero permite opciones de infraestructura de mejor en su clase. Un Servidor Dedicado puede servir como un ancla confiable para su zona DNS primaria mientras los subdominios se delegan a proveedores especializados.
Escenario 4: Delegación DNS Interna
En entornos empresariales, los dominios internos (p. ej., corp.internal) a menudo se delegan a servidores DNS internos que no son accesibles públicamente. Esto permite a las organizaciones gestionar recursos internos (sitios de intranet, APIs internas, impresoras) a través de la misma infraestructura DNS que sus dominios públicos.
Consideraciones de Seguridad en la Delegación de Dominio
La delegación de dominio introduce varios riesgos de seguridad que los administradores deben mitigar activamente.
DNSSEC (Extensiones de Seguridad DNS)
DNSSEC agrega firmas criptográficas a los registros DNS, permitiendo a los resolutores verificar que las respuestas son auténticas y no han sido alteradas. Al delegar un dominio, DNSSEC requiere:
- Firmar la zona hijo con una Clave de Firma de Zona (ZSK) y una Clave de Firma de Clave (KSK)
- Agregar registros DS (Delegación de Firmante) a la zona padre
- Establecer una cadena de confianza desde la raíz hasta su zona
DNSSEC es fuertemente recomendado para cualquier dominio que maneje datos sensibles o transacciones financieras. Combine DNSSEC con un Certificado SSL para proporcionar seguridad tanto a nivel DNS como a nivel de transporte para su dominio.
Toma de Control de Subdominio
La toma de control de subdominio ocurre cuando los registros DNS de un subdominio apuntan a un recurso (p. ej., un servicio en la nube, un punto final de CDN) que ya no existe, permitiendo a un atacante reclamar ese recurso y servir contenido malicioso bajo su dominio.
Prevención:
- Audite los registros DNS regularmente y elimine delegaciones obsoletas
- Monitoree recursos no reclamados asociados con sus subdominios
- Use herramientas de monitoreo DNS que alerten sobre cambios inesperados
Seguridad de la Cuenta del Registrador
Dado que la delegación de dominio se controla a nivel del registrador, su cuenta de registrador es un objetivo de alto valor. Protéjala con:
- Contraseñas fuertes y únicas
- Autenticación de dos factores (2FA)
- Bloqueo de registrador (también llamado bloqueo de dominio o bloqueo de transferencia) para prevenir transferencias no autorizadas
Envenenamiento de Caché DNS
Los ataques de envenenamiento de caché intentan inyectar registros DNS fraudulentos en los cachés de los resolutores, redirigiendo a los usuarios a sitios maliciosos. DNSSEC es la defensa principal contra este vector de ataque.
Mejores Prácticas para la Delegación de Dominio
Aplicar estas mejores prácticas mantendrá su infraestructura DNS segura, confiable y mantenible.
✅ Usar Múltiples Servidores de Nombres
Siempre configure al menos dos servidores de nombres para redundancia. Idealmente, deben estar distribuidos geográficamente y operados en infraestructura de red separada para eliminar puntos únicos de fallo.
✅ Establecer Valores de TTL Apropiados
- TTL Alto (86400 segundos / 24 horas): Reduce la carga de consultas DNS y mejora el rendimiento. Use para registros estables.
- TTL Bajo (300–900 segundos): Permite una propagación más rápida de cambios. Use temporalmente antes de migraciones planeadas.
✅ Documentar Todos los Cambios DNS
Mantenga un registro de cambios para cada modificación DNS, incluyendo:
- Qué fue cambiado
- Por qué fue cambiado
- Cuándo fue cambiado
- Quién hizo el cambio
Esta documentación es invaluable durante la respuesta a incidentes y auditorías.
✅ Monitorear Continuamente la Salud DNS
Implemente monitoreo que alerte sobre:
- Cambios inesperados en registros NS
- Fallos de resolución DNS
- Patrones de consulta inusuales (posible DDoS o reconocimiento)
- Expiración de certificados (relevante para DNSSEC y SSL)
✅ Probar Antes de la Propagación
Use dig o nslookup para consultar directamente sus nuevos servidores de nombres antes de actualizar los registros NS en el registrador. Esto confirma que la zona está configurada correctamente antes de que la delegación se active.
# Query the new name server directly before delegation
dig A sub.example.com @ns1.childnameserver.com✅ Implementar DNSSEC
Habilite DNSSEC en todos los dominios públicos, especialmente aquellos que manejan autenticación, pagos o datos sensibles del usuario.
✅ Auditar Delegaciones Periódicamente
Revise todas las delegaciones NS trimestralmente. Elimine delegaciones para subdominios desmantelados y verifique que las delegaciones activas aún apunten a los servidores de nombres correctos y operacionales.
Solución de Problemas Comunes de Delegación de Dominio
Problema: DNS No Resuelve Después del Cambio de Delegación
Causa: Los valores de TTL antiguos causan que las respuestas en caché persistan.
Solución: Espere a que expire el TTL anterior. En el futuro, reduzca los valores de TTL antes de hacer cambios.
Problema: Dependencia Circular / Registro de Pegamento Faltante
Causa: Los servidores de nombres son subdominios del dominio delegado, pero los registros de pegamento no fueron agregados.
Solución: Contacte a su registrador y solicite registros de pegamento para las direcciones IP del servidor de nombres.
Problema: Resolución Parcial (Funciona en Algunos Lugares, No en Otros)
Causa: La propagación DNS aún está en progreso, o algunos resolutores están almacenando en caché registros antiguos.
Solución: Espere a la propagación completa (hasta 48 horas). Use dnschecker.org para monitorear el estado de propagación global.
Problema: El Correo Electrónico Deja de Funcionar Después de la Delegación
Causa: Los registros MX no están configurados en la nueva zona, o los nuevos servidores de nombres aún no son autoritativos.
Solución: Verifique que los registros MX estén presentes en la zona hijo. Confirme que la delegación NS está completa antes de desmantelar el DNS antiguo.
Problema: Fallos de Validación DNSSEC
Causa: Los registros DS en la zona padre no coinciden con los registros DNSKEY en la zona hijo, o las claves han sido rotadas