LACNIC Blog > DNS > Preservar la confiabilidad del DNS: en qué consiste el traspaso de la KSK
Preservar la confiabilidad del DNS: en qué consiste el traspaso de la KSK
11/05/2026
Imagen asistida/creada por IA
Por Kim Davies, VP, IANA Services & President, PTI
Este artículo se publicó originalmente en el blog de ICANN
El Sistema de Nombres de Dominio (DNS) se basa en una premisa sencilla: cuando se busca un nombre de dominio, se obtiene la respuesta correcta. Parte de garantizar que así sea consiste en aplicar una serie de medidas de seguridad que permiten al software validar los datos del DNS mediante protecciones de seguridad conocidas como Extensiones de Seguridad del DNS (DNSSEC). Estas medidas de seguridad garantizan que todos los componentes de un nombre de dominio sean verificables criptográficamente a través de una cadena de firmas, cada una de las cuales puede validarse mediante una cadena que comienza con la clave para la firma de la zona raíz (KSK). Nosotros gestionamos esta clave criptográfica a través de las funciones de la IANA que administramos.
Al igual que con todos los sistemas de seguridad, de vez en cuando es necesario sustituir las claves. Cuando es necesario cambiar la clave situada en la parte superior de la jerarquía del DNS, conocida como “anclaje de confianza”, se lleva a cabo un proceso denominado traspaso de la KSK de la zona raíz. Este cambio debe coordinarse cuidadosamente para preservar la seguridad y estabilidad del DNS, así como su funcionamiento unificado y continuo.
A diferencia de lo que sucede en numerosas actualizaciones de la infraestructura de Internet, un traspaso de la KSK no añade nuevas funcionalidades. En cambio, mantiene una pieza fundamental del sistema actualizada con las mejores prácticas criptográficas. Las claves criptográficas que permanecen en uso durante demasiado tiempo pueden convertirse en un riesgo. La actualización de la KSK contribuye a garantizar que la zona raíz continúe siendo respaldada por material criptográfico sólido; una forma de adelantarse a ese riesgo consiste en cambiar periódicamente las claves, en lugar de reaccionar ante la noticia de que una clave se ha vuelto demasiado débil para seguir utilizándola.
Una característica singular de este traspaso no es el hecho de generar una nueva clave, sino la forma en que se la introduce. El DNS es un sistema global y altamente distribuido, con resolutores de validación que son operados por una amplia gama de organizaciones.
Dado que la KSK actúa como anclaje de confianza para la validación de las DNSSEC, cuando el software de resolución del DNS necesita comprobar si los datos del DNS son auténticos, debe compararlos con esta clave específica. Debido a esta función primordial, cualquier cambio debe introducirse con cautela. Un cambio repentino implicaría el riesgo de interrumpir la validación en los sistemas que no estén preparados para reconocer el nuevo anclaje de confianza, ya que los resolutores que no se hayan actualizado no pasarían la instancia de validación. Para evitar esta situación, el traspaso se realiza de manera coordinada a lo largo de un periodo prolongado con el fin de garantizar su implementación a gran escala.
A diferencia de lo que sucede en numerosas actualizaciones de la infraestructura de Internet, un traspaso de la KSK no añade nuevas funcionalidades. En cambio, mantiene una pieza fundamental del sistema actualizada con las mejores prácticas criptográficas. Las claves criptográficas que permanecen en uso durante demasiado tiempo pueden convertirse en un riesgo. La actualización de la KSK contribuye a garantizar que la zona raíz continúe siendo respaldada por material criptográfico sólido; una forma de adelantarse a ese riesgo consiste en cambiar periódicamente las claves, en lugar de reaccionar ante la noticia de que una clave se ha vuelto demasiado débil para seguir utilizándola.
Una característica singular de este traspaso no es el hecho de generar una nueva clave, sino la forma en que se la introduce. El DNS es un sistema global y altamente distribuido, con resolutores de validación que son operados por una amplia gama de organizaciones.
Dado que la KSK actúa como anclaje de confianza para la validación de las DNSSEC, cuando el software de resolución del DNS necesita comprobar si los datos del DNS son auténticos, debe compararlos con esta clave específica. Debido a esta función primordial, cualquier cambio debe introducirse con cautela. Un cambio repentino implicaría el riesgo de interrumpir la validación en los sistemas que no estén preparados para reconocer el nuevo anclaje de confianza, ya que los resolutores que no se hayan actualizado no pasarían la instancia de validación. Para evitar esta situación, el traspaso se realiza de manera coordinada a lo largo de un periodo prolongado con el fin de garantizar su implementación a gran escala.
La nueva KSK se genera y publica con bastante antelación a su puesta en uso. De esta manera, los operadores tienen tiempo de actualizar sus sistemas. Durante la transición, tanto la clave actual como la nueva se consideran confiables, lo cual permite un cambio gradual en lugar de una transición brusca. Solo cuando se tiene la certeza de que la nueva clave fue ampliamente aceptada, el sistema completa la transición y retira la clave anterior.
Esta secuencia tiene un sentido. Incluso un pequeño número de resolutores obsoletos puede tener efectos desproporcionados, sobre todo si se encuentran dentro de grandes redes. En esos casos, los usuarios pueden encontrarse con fallas en la resolución a pesar de que el DNS funcione con normalidad. Evitar esta consecuencia depende más de la coordinación en todo el ecosistema que de los aspectos técnicos del traspaso.
Ahí es donde entra en juego la ICANN. A través de las funciones de la IANA, la ICANN gestiona la raíz del DNS y el anclaje de confianza correspondiente. El traspaso de la KSK forma parte de este trabajo continuo. Combina una minuciosa planificación operativa con actividades de difusión para garantizar que quienes operan resolutores de validación estén al tanto del cambio y dispongan del tiempo para prepararse.
Las ceremonias de la KSK son una pieza de este gran engranaje. Ofrecen un entorno controlado para generar y proteger el material criptográfico utilizado en el traspaso. Aunque estas ceremonias suelen acaparar la atención, el trabajo más importante se lleva a cabo durante el largo periodo de transición, a medida que la nueva clave se va introduciendo en el DNS global.
Si todo sale según lo previsto, los usuarios de Internet no notarán el cambio. No debería haber ningún cambio visible, ninguna interrupción ni ningún motivo para pensar en este cambio.
Para los operadores de infraestructuras directamente relacionadas con el funcionamiento de las DNSSEC, el traspaso es un momento para estar atentos y supervisar los sistemas, así como para asegurarse de que los mecanismos de actualización, en gran parte automatizados, funcionan según lo previsto. Si dedican un poco de su tiempo a estar preparados, evitarán posibles impactos en su infraestructura si resulta que su software o configuración están desactualizados cuando el traspaso se concrete.
Puede que el traspaso de la KSK no sea un acontecimiento espectacular, pero es extremadamente importante. Refleja el trabajo ininterrumpido y necesario para preservar la confiabilidad del DNS mediante una planificación cuidadosa, disciplina técnica y coordinación en toda la comunidad de Internet.
Las opiniones expresadas por los autores de este blog son propias y no necesariamente reflejan las opiniones de LACNIC.
