Cómo detectar si tu navegador está siendo manipulado a nivel de DNS

¿Cómo detectar si tu navegador está siendo manipulado a nivel de DNS? En los últimos años se han disparado los avisos de usuarios que sospechan que su navegador está siendo manipulado a nivel de DNS, muchas veces señalando directamente al router del proveedor de Internet o a alguna supuesta infección de malware. A veces se trata de un ataque real, otras de simples fallos de configuración, pero el resultado es el mismo: desconfianza, miedo a estar siendo espiado y un buen lío para entender qué está pasando.

En este artículo vamos a desgranar, con calma y sin tecnicismos innecesarios, cómo funciona un secuestro de DNS, cómo se detecta y qué hacer para proteger tu red. Verás ejemplos concretos, herramientas prácticas y trucos que usan tanto expertos en ciberseguridad como administradores de sistemas, pero explicados en castellano llano para que puedas aplicarlos en casa sin volverte loco.

Qué es el DNS y por qué es tan importante para tu navegador

Para entender si tu navegador está siendo manipulado, lo primero es tener clara la función del DNS: el Sistema de Nombres de Dominio es la “guía telefónica” de Internet. Traduce nombres fáciles de recordar (como kaspersky.com o redeszone.net) en direcciones IP numéricas que los ordenadores sí entienden.

Cada vez que escribes una dirección web o haces clic en un enlace, tu navegador lanza una consulta DNS a un servidor para preguntar: “¿qué IP tiene este dominio?”. Ese servidor responde con una dirección IP, y el navegador se conecta allí. Todo este proceso suele ser invisible para el usuario, pero es crítico: si alguien consigue alterar esa respuesta, te puede mandar a donde quiera.

Cuando registras un dominio en un registrador, se crea un registro DNS que enlaza ese nombre con una IP concreta. Si un atacante logra acceso a la configuración DNS (ya sea en tu equipo, en tu router, en tu ISP o en el propio registrador), puede cambiar esa IP por la de un servidor que controle él. Desde ese momento, al escribir tu-dominio.com, los usuarios acaban en la web falsa en lugar de en la legítima.

Esta manipulación del proceso de resolución de nombres es lo que se conoce como secuestro de DNS o DNS hijacking: la consulta es aparentemente normal, pero la respuesta ha sido manipulada para redirigirte a un destino fraudulento, con fines que van desde el robo de credenciales hasta la instalación de malware o la simple inyección de publicidad.

Incluso algunos ISP y gobiernos recurren a técnicas de manipulación de DNS para censurar, filtrar contenido o mostrar páginas propias cuando introduces dominios que no existen. Aunque en estos casos no siempre se considera “ataque” en sentido estricto, desde el punto de vista técnico el mecanismo es el mismo: tu consulta no se resuelve como debería según el DNS original.

Qué es el DNS Hijacking y qué persiguen los atacantes

Cuando hablamos de DNS Hijacking nos referimos a un tipo de ataque en el que se altera la resolución de nombres de dominio. El atacante modifica la configuración de los servidores DNS o intercepta las comunicaciones para que las consultas se respondan con direcciones IP falsas.

En la práctica, esto significa que al pedir “ejemplo.com”, en lugar de recibir la IP legítima recibes la de un servidor controlado por el ciberdelincuente. Tu navegador cree estar yendo a la web correcta, pero en realidad se dirige a una copia maliciosa que puede robarte credenciales, datos bancarios o instalarte software no deseado.

Este tipo de técnica se utiliza tanto para phishing clásico (páginas falsas de bancos, tiendas, correo, etc.) como para campañas masivas de publicidad intrusiva o adware que llenan tus sesiones de navegación de ventanas emergentes, redirecciones raras y banners agresivos. En entornos empresariales también se puede usar para espiar tráfico, escanear redes internas o pivotar hacia otros sistemas.

Además del secuestro directo, en los últimos años ha cobrado relevancia otra técnica basada en DNS: la tunelización DNS. Consiste en esconder datos dentro de las propias consultas y respuestas DNS, de manera que una petición aparentemente inocente lleva codificada información secreta (por ejemplo, qué correo de phishing has abierto o desde qué IP y ubicación te conectas).

Investigaciones recientes, como las de la Unidad 42 de Palo Alto Networks, han documentado campañas activas de tunelización DNS, con infraestructuras como “TrkCdn” (para rastrear aperturas de más de 27.000 correos de phishing) o “SecShow” (para escanear más de 1.500 redes corporativas en busca de vulnerabilidades). La conclusión es clara: el canal DNS es un objetivo real y muy atractivo para los atacantes porque suele pasar desapercibido.

Tipos de ataques que manipulan el DNS

El secuestro o manipulación de DNS puede realizarse de distintas maneras, según el punto de la cadena en el que el atacante consiga meter mano. No es lo mismo comprometer tu ordenador, que tu router, que un servidor del ISP o el propio canal de comunicación. Vamos a ver los escenarios más habituales.

1. Secuestro DNS local

En este caso el atacante consigue infectar tu dispositivo con un troyano u otro tipo de malware y modifica la configuración DNS local del sistema operativo. Muchas veces cambia los servidores DNS que usas por defecto para que apunten a resolvers controlados por él.

Desde ese momento, cada vez que tu navegador pregunta “¿dónde está este dominio?”, la consulta va a un servidor falso que puede responder con la IP que le interese. También puede envenenar la caché DNS local para que ciertas direcciones se resuelvan siempre de forma incorrecta sin necesidad de nuevas consultas externas.

2. Secuestro DNS del router

Aquí el objetivo del atacante es tu router, no tu PC. Muchos equipos domésticos se entregan con contraseñas por defecto muy fáciles de adivinar o firmwares con vulnerabilidades conocidas. Si nadie cambia esas credenciales ni actualiza el firmware, el router se convierte en una puerta abierta.

Una vez dentro, el atacante modifica los servidores DNS que el router entrega por DHCP a todos los dispositivos de la red. De esta forma, no solo manipula la navegación de un ordenador, sino la de todos los que se conectan al WiFi o por cable a ese router: móviles, tablets, Smart TV, consolas, portátiles, etc.

Este escenario es especialmente peligroso porque el usuario suele ver como DNS la IP del propio router (algo aparentemente normal), pero por detrás el router está reenviando las consultas a servidores maliciosos sin que nadie lo note a simple vista.

3. Secuestro DNS a nivel de ISP

En los casos más graves, el ataque se produce contra los propios servidores DNS de un proveedor de acceso a Internet. Si un ciberdelincuente consigue comprometer esos servidores, cualquier usuario que los utilice será redirigido a donde ellos quieran cada vez que intente acceder a un dominio concreto.

Este tipo de ataque es más complejo de ejecutar y hoy en día muchos operadores han reforzado bastante sus medidas de seguridad, por lo que es menos frecuente. Pero cuando ocurre, la cantidad de usuarios afectados puede ser masiva, ya que todos los que confían en ese DNS quedan a merced de los registros manipulados.

4. Ataques man-in-the-middle (MitM) sobre DNS

En un ataque de tipo MitM DNS el ciberdelincuente intercepta la comunicación entre tu dispositivo y el servidor DNS legítimo. Aprovecha que muchas consultas DNS clásicas viajan sin cifrar para inyectar respuestas falsas antes de que llegue la respuesta auténtica del servidor.

Esto puede hacerse en redes WiFi abiertas, en infraestructuras comprometidas o mediante herramientas especializadas de interceptación. El resultado es que tu navegador recibe una dirección IP de destino distinta a la verdadera, por lo que el tráfico acaba en un servidor malicioso sin que tú veas ningún aviso raro en la barra de direcciones, más allá de pequeños detalles en el certificado o cambios sutiles en la web.

5. Manipulaciones “legales” de DNS por parte de ISP o gobiernos

Un caso algo distinto, pero que conviene mencionar, es el de modificaciones de DNS hechas por el propio proveedor o por orden de autoridades. Algunos ISP redirigen dominios no existentes a páginas con publicidad propia en lugar de devolver un error, y ciertos gobiernos obligan a resolver determinados dominios hacia páginas de bloqueo o información oficial.

Aunque técnicamente no se trata de un ataque criminal, el efecto práctico es el mismo: tu consulta no se resuelve de acuerdo al DNS original, sino según la política del operador. Esto puede generar confusión cuando intentas diagnosticar anomalías de navegación o errores extraños.

Cómo detectar si tu navegador está siendo manipulado a nivel de DNS

Llegados a este punto, la gran pregunta es: ¿cómo puedo saber si las consultas DNS de mi navegador están siendo alteradas? No siempre es evidente, pero hay una combinación de señales y pruebas que te dan una buena pista.

En primer lugar, hay síntomas generales: páginas habituales que se ven diferentes, exceso de anuncios emergentes, redirecciones inesperadas o webs que cargan extrañamente lentas cuando el resto de tu conexión parece ir bien. Son indicios de que algo podría estar desviando tu tráfico.

Sin embargo, para tener algo más sólido conviene comprobar tres cosas: qué DNS tienes configurado localmente, qué servidores están respondiendo realmente a tus consultas y cómo se están comportando esas consultas en la red. Vamos por partes.

Revisar la configuración DNS local y del router

El primer nivel de comprobación consiste en mirar qué DNS dice usar tu equipo. En Windows, por ejemplo, puedes ejecutar ipconfig /all en la consola y revisar el apartado de “Servidores DNS”. En macOS y Linux, puedes hacerlo desde la configuración de red o con herramientas como nmcli, networksetup o resolvectl, según el caso.

Es importante no confundir el sufijo DNS (un dominio que se añade a nombres cortos dentro de redes internas) con los servidores DNS que realmente resuelven tus consultas. Muchos de los malentendidos de usuarios vienen precisamente de interpretar mal ese dato: que aparezca un sufijo inesperado no significa necesariamente que haya un ataque, puede ser simplemente una configuración heredada del ISP o de tu propia red.

En la mayoría de conexiones domésticas, el servidor DNS que aparece es la dirección IP privada del propio router (por ejemplo, 192.168.1.1). Esto no te dice qué resolvers públicos se usan por detrás; solo que tu router hace de intermediario. Por eso, aunque revises la configuración local, muchas veces no verás de forma directa si hay un secuestro a nivel de router o más allá.

Para ir un paso más allá, conviene entrar a la interfaz de administración del router (normalmente desde el navegador, poniendo la IP del router en la barra de direcciones) y mirar el apartado de configuración WAN o Internet. Allí deberías poder ver qué servidores DNS ha configurado el proveedor, y en algunos casos cambiarlos por DNS de confianza como los de Google (8.8.8.8, 8.8.4.4) o Cloudflare (1.1.1.1, 1.0.0.1).

Si ves direcciones DNS muy raras, o de un proveedor que no reconoces, puede que alguien haya modificado esos valores. En ese caso, es fundamental cambiar contraseñas del router, desactivar la administración remota si está activa, actualizar el firmware y, si la cosa huele muy mal, ponerte en contacto con tu ISP.

Usar servicios online para saber qué servidores responden a tus consultas

Como desde el equipo no siempre se ve el resolver real que está contestando, una forma sencilla de comprobarlo es recurrir a servicios web especializados en mostrar tu DNS público. Funcionan de forma parecida a las páginas que te muestran tu IP externa, pero centrados en el canal DNS.

Entre las herramientas más conocidas tienes, por ejemplo, DNS Leak Test. Esta web te permite hacer una prueba rápida o una prueba extendida, donde se lanzan múltiples consultas para descubrir todos los servidores DNS que están interviniendo. Si aparecen servidores que no reconoces o que están etiquetados como sospechosos, algo no encaja.

Otra opción simple es What’s my DNS Server, que con un solo clic te indica qué servidor está resolviendo tus peticiones y si se trata de un DNS legítimo o denunciado como fraudulento. Es especialmente útil para detectar fugas de DNS cuando usas VPN o para comprobar si tu ISP está forzando resolvers propios.

Servicios como Whoismydns o WholsMyDNS hacen algo similar: analizan qué servidores DNS estás usando y la empresa a la que pertenecen. En general, deberías ver DNS asociados a tu proveedor, a un servicio reputado como Google, Cloudflare o Quad9, o a un resolutor que tú mismo hayas configurado. Si te sale el nombre de una empresa que no te suena de nada, hay que investigar.

Estas pruebas online son especialmente útiles cuando sospechas de secuestro del router o del ISP, ya que te muestran la realidad del tráfico más allá de tu configuración local.

Análisis de tráfico DNS con herramientas como Wireshark

Si quieres ir un poco más al detalle o sospechas de técnicas avanzadas como la tunelización DNS, una opción muy potente es capturar y revisar el tráfico DNS directamente. No hace falta ser un hacker para esto, solo un poco de paciencia y curiosidad.

Con herramientas como Wireshark, disponible para Windows, macOS y Linux, puedes seleccionar tu interfaz de red (Wi-Fi o Ethernet), empezar una captura y filtrar por “dns” en la barra de búsqueda. De este modo, verás en tiempo real todas las consultas que salen de tu equipo y las respuestas que vuelven.

Al observar durante unos minutos, deberías reconocer peticiones a dominios normales (páginas que estás abriendo, servicios en segundo plano, etc.). Lo que debe ponerte en alerta son patrones como consultas extremadamente largas con subdominios llenos de letras y números aparentemente aleatorios, peticiones muy frecuentes a un mismo dominio raro, o tráfico DNS continuo cuando no estás haciendo nada.

En campañas de tunelización DNS o de control remoto, es relativamente común ver dominios con cadenas codificadas en la parte izquierda (por ejemplo, “as8df7as9f8asd.maliciosodominio.com”), repetidos constantemente. Esto puede indicar que algún software dentro de tu red está usando el DNS como canal encubierto para exfiltrar información o recibir órdenes.

Si detectas algo así, conviene complementar el análisis con un buen escaneo antivirus y antimalware, y si estás en una red corporativa, activar sistemas de detección de anomalías o hablar directamente con el equipo de seguridad para que investiguen más a fondo.

Pruebas prácticas para saber si tu DNS ha sido secuestrado

Más allá del análisis visual y de las herramientas gráficas, hay pequeños trucos muy sencillos que te permiten comprobar si tu sistema está resolviendo dominios de manera correcta.

Uno de los más conocidos es el comando ping sobre un dominio que no debería existir. Por ejemplo, desde macOS puedes abrir Terminal y escribir:

ping kaspersky123456.com

En Windows, harías lo mismo desde el Símbolo del sistema:

ping kaspersky123456.com

En ambos casos, si tu DNS está funcionando correctamente, la respuesta debería indicar que no puede resolver ese nombre, algo tipo “cannot resolve” o mensaje similar según el idioma del sistema. Si en cambio obtienes respuesta de alguna IP, muy probablemente haya algún mecanismo que está redirigiendo dominios inexistentes a un servidor propio, lo cual puede deberse a tu ISP o a un secuestro malicioso.

Otra comprobación útil es visitar directamente la página de administración de tu router o utilizar un “comprobador de enrutador” online, que verifica si estás usando un DNS autorizado. Hay servicios que comparan el resolver que ve tu conexión con listas de DNS legítimos y te avisan si algo huele a servidor controlado por atacantes.

Por último, herramientas como nslookup o dig (disponibles en la mayoría de sistemas) te permiten consultar manualmente registros DNS desde tu línea de comandos y ver, por ejemplo, si un dominio se resuelve igual cuando preguntas a tu DNS por defecto o cuando fuerzas un DNS público alternativo. Si obtienes respuestas diferentes para el mismo dominio según el servidor al que preguntas, conviene revisar qué está pasando.

Cómo protegerte frente a la manipulación de DNS

Detectar que algo va mal es solo la mitad del trabajo; lo verdaderamente importante es reducir al mínimo las posibilidades de que secuestren tu DNS, tanto en el uso diario de tu navegador como en la administración de tus propias webs, si es que las tienes.

El primer paso, básico pero muy efectivo, es asegurar tu router doméstico. Esto implica cambiar cuanto antes el usuario y contraseña por defecto, desactivar la gestión remota si no la necesitas, y mantener el firmware actualizado a la última versión que ofrezca el fabricante o el proveedor de Internet.

Si tienes un router del ISP que no te permite tocar demasiados ajustes, lo ideal es pedir al proveedor que lo ponga en modo bridge (puente). De esta forma, simplemente actúa como módem y cede la IP pública a tu propio router, en el que sí podrás configurar los DNS que quieras, la red WiFi, las reglas de cortafuegos, etc.

Cuando no sea posible el modo bridge, otra opción es conectar tu router a la red LAN del equipo del ISP y crear una nueva red privada sobre ella. En este escenario, tu router tendrá una IP privada en la interfaz WAN (hablando con el router del proveedor) y otra IP privada para tu LAN, gestionando él mismo el DHCP y los DNS para tus dispositivos. Es importante desactivar el WiFi del router del ISP para que nadie se conecte por ahí y evitar así vías no controladas.

En cualquier caso, conviene que en tu router definas servidores DNS de confianza, ya sea de tu operador (si confías en él) o de proveedores reputados como Google, Cloudflare o Quad9. Muchos usuarios también optan por integrar soluciones de filtrado de contenidos o seguridad DNS adicionales, como servicios que bloquean dominios asociados a malware o phishing.

Buenas prácticas de navegación y medidas adicionales

La seguridad DNS no depende solo del hardware; tu comportamiento al navegar también marca la diferencia. Muchos secuestros locales empiezan con un simple clic en un enlace que no debías haber abierto.

Como norma general, evita hacer clic en enlaces sospechosos o acortados que te lleguen por correo, SMS o redes sociales, especialmente si prometen ofertas increíbles o intentan meterte prisa. Siempre que puedas, escribe tú mismo la dirección en la barra del navegador o utiliza marcadores de confianza.

Resulta esencial contar con un software antivirus y antimalware de confianza, bien actualizado. Estas soluciones no solo detectan troyanos que puedan haber modificado tu configuración DNS local, sino que a menudo incluyen módulos de protección de navegación que bloquean directamente conexiones a sitios conocidos por practicar phishing o distribuir malware.

El uso de una VPN (red privada virtual) de calidad también ayuda, especialmente frente a ataques de tipo man-in-the-middle en redes públicas. Las mejores VPN utilizan sus propios servidores DNS privados y cifran todo el tráfico, lo que dificulta muchísimo la interceptación o manipulación de las consultas por parte de terceros en el camino.

Por último, mantén una actitud crítica cuando navegues: si una web que conoces aparece diferente, te lanza ventanas emergentes extrañas o te pide datos que nunca te había pedido, no sigas adelante. Cerrar la pestaña a tiempo sigue siendo una de las mejores defensas frente a muchas trampas en línea.

Medidas específicas si gestionas dominios y servidores

Si además de navegar eres responsable de una página web o de infraestructura propia, tienes un frente añadido: proteger la configuración DNS de tu dominio para que nadie la pueda manipular en origen.

Lo primero es limitar el acceso a tu panel de DNS del registrador únicamente a las personas que realmente lo necesitan, y siempre protegidas con autenticación de dos factores. Cuantas menos cuentas tengan acceso, menos probabilidades hay de que una credencial robada acabe en un desastre.

Si tu registrador lo ofrece, activa el llamado “bloqueo de cliente” (client lock), que impide cambios en los registros DNS sin una verificación adicional o una solicitud formal. Es una capa de seguridad extra que frena modificaciones accidentales o maliciosas.

Merece la pena apostar por registradores y proveedores que soporten DNSSEC (Domain Name System Security Extensions). DNSSEC añade firmas criptográficas a las respuestas DNS para que el cliente pueda verificar que la información procede realmente del servidor autorizado y no ha sido alterada por el camino, reduciendo así el riesgo de ataques de suplantación.

Por último, monitoriza de forma periódica que los registros de tu dominio (A, AAAA, MX, NS, etc.) siguen apuntando a donde deben, y configura alertas si cambian sin que tú lo hayas ordenado. Un cambio inesperado en estos registros puede ser la primera señal de un compromiso de tu cuenta o de tu infraestructura.

Si reúnes todas estas piezas —entender qué es el DNS, saber cómo se puede manipular, usar herramientas para verificar quién resuelve tus consultas, asegurar tu router y tu software, y aplicar buenas prácticas tanto al navegar como al gestionar dominios— tendrás muchas más papeletas de detectar a tiempo si tu navegador está siendo manipulado a nivel de DNS y de cortar el problema antes de que se convierta en algo serio.