La Corporación para la Asignación de Nombres y Números en Internet (ICANN) prevé cambiar el anclaje de confianza del Sistema de Nombres de Dominio (DNS) el 11 de octubre de 2026, una actualización vinculada con la seguridad, estabilidad y flexibilidad a largo plazo del sistema. El cambio impacta en la validación de respuestas del DNS y requiere preparación técnica por parte de operadores de infraestructura.
El anclaje de confianza se denomina oficialmente clave para la firma de la llave de la zona raíz (KSK) de las Extensiones de Seguridad del Sistema de Nombres de Dominio (DNSSEC). La KSK es una clave criptográfica que constituye el núcleo del anclaje de confianza de DNSSEC y se utiliza para verificar que las respuestas del DNS sean legítimas y no hayan sido modificadas durante el tránsito.
Las DNSSEC contribuyen a garantizar que los usuarios de Internet reciban datos auténticos del DNS cuando acceden a sitios web y servicios en línea. En este marco, el proceso de traspaso sustituye la KSK actual por una nueva, con el fin de mantener medidas de seguridad criptográfica en todo el sistema del DNS a nivel global.
“El traspaso del anclaje de confianza es un proceso minuciosamente coordinado que contribuye a proteger la integridad del DNS”, afirmó Kim Davies, vicepresidente de Servicios de la IANA y presidente de la entidad PTI (Identificadores Técnicos Públicos). “Si bien la mayoría de los usuarios de Internet no notarán ningún cambio, los operadores de software del DNS deberían asegurarse de que sus sistemas estén correctamente configurados para confiar en la nueva clave antes de que se produzca el traspaso”.
A través de sus funciones de la IANA, la Icann gestiona la zona raíz del DNS y coordina el traspaso en colaboración con socios de toda la comunidad global de Internet. Para minimizar el riesgo de interrupciones, la entidad publica la nueva KSK con suficiente antelación, para que los operadores afectados dispongan de tiempo para actualizar sus sistemas y comprobar que los mecanismos automáticos de actualización del anclaje de confianza funcionan correctamente.
El proceso sigue un calendario de implementación por etapas que comenzó en 2024 y concluirá en 2027. Durante este período, tanto la KSK actual como la nueva seguirán siendo válidas, lo que busca dar margen a los resolutores recursivos —sistemas gestionados por proveedores de servicios de Internet, empresas y otros organismos que consultan y verifican la información del DNS en nombre de los usuarios— para adoptar el nuevo anclaje.
La nueva KSK comenzará a firmar la zona raíz en octubre de 2026 y la clave antigua se retirará en enero de 2027. La recomendación se dirige especialmente a operadores que utilicen resolutores recursivos de validación con anclajes de confianza configurados manualmente o con software obsoleto: si no se actualizan los sistemas, podrían producirse fallos en la resolución del DNS después de la fecha de traspaso.
