{"id":7675,"date":"2026-01-20T12:27:41","date_gmt":"2026-01-20T11:27:41","guid":{"rendered":"https:\/\/www.hostingtg.com\/blog\/?p=7675"},"modified":"2026-01-20T12:27:44","modified_gmt":"2026-01-20T11:27:44","slug":"dnssec-guia","status":"publish","type":"post","link":"https:\/\/www.hostingtg.com\/blog\/dnssec-guia\/","title":{"rendered":"DNSSEC: gu\u00eda para activar y por qu\u00e9 ya no es opcional"},"content":{"rendered":"\n<h2 class=\"wp-block-heading\">Qu\u00e9 es DNSSEC<\/h2>\n\n\n\n<p>DNSSEC son las <strong>Extensiones de Seguridad del DNS<\/strong> que a\u00f1aden <strong>autenticidad e integridad<\/strong> a las respuestas del sistema de nombres de dominio. Lo hace mediante <strong>firmas digitales<\/strong> (RRSIG) publicadas junto a los registros, y <strong>claves p\u00fablicas<\/strong> (DNSKEY) que permiten a los resolutores validar esas firmas. Si la firma no cuadra, la respuesta se descarta. As\u00ed de simple y as\u00ed de potente.<\/p>\n\n\n\n<p>Lo primero que despejo: <strong>DNSSEC no cifra el tr\u00e1fico<\/strong>. No es un sustituto de TLS\/<a href=\"https:\/\/www.hostingtg.com\/blog\/https\/\">HTTPS<\/a> ni de mecanismos como DoH\/DoT. Su prop\u00f3sito es otro: que la respuesta DNS que recibes sea <strong>exactamente la que public\u00f3<\/strong> la zona autoritativa, sin manipulaciones en el camino. En mi caso, siempre lo he visto como un <strong>sello de autenticidad<\/strong> en el primer paso de cualquier conexi\u00f3n.<\/p>\n\n\n\n<p>\u00bfPor qu\u00e9 importa? Porque el <a href=\"https:\/\/www.hostingtg.com\/blog\/que-es-un-servidor-dns-y-como-funciona\/\">DNS cl\u00e1sico<\/a> naci\u00f3 sin seguridad: ataques de <strong>suplantaci\u00f3n<\/strong>, <strong>envenenamiento de cach\u00e9<\/strong> y <strong>redirecciones<\/strong> maliciosas explotan esa debilidad. Con DNSSEC encima de la mesa, un atacante podr\u00eda seguir intentando enga\u00f1arte, pero el validador tendr\u00e1 una forma criptogr\u00e1fica de decir \u201cesto es leg\u00edtimo\u201d o \u201cesto no lo firm\u00f3 nadie autorizado\u201d.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">C\u00f3mo funciona por dentro: firmas, KSK\/ZSK y el registro DS<\/h2>\n\n\n\n<p>Para entender DNSSEC hay que distinguir tres pilares:<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">RRset y RRSIG: qu\u00e9 se firma realmente<\/h3>\n\n\n\n<p>En DNSSEC, no se firma cada registro suelto, se firma el <strong>conjunto de registros del mismo tipo y nombre<\/strong> (RRset). La zona publica un <strong>RRSIG<\/strong> por cada RRset. El resolutor, cuando verifica, comprueba que el RRSIG encaja con el contenido de ese RRset y con la clave p\u00fablica correspondiente.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">KSK vs ZSK: roles y rotaci\u00f3n<\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>ZSK (Zone Signing Key)<\/strong>: firma el contenido diario de la zona (los RRset).<\/li>\n\n\n\n<li><strong>KSK (Key Signing Key)<\/strong>: firma el conjunto de claves DNSKEY de la zona.<br>Separarlas permite rotar ZSK con m\u00e1s frecuencia (operativo) y KSK con m\u00e1s cautela (ancla de confianza). En mi experiencia, donde m\u00e1s se l\u00eda la gente es en las <strong>rotaciones<\/strong>: si no documentas bien los tiempos y TTL, puedes provocar ventanas en las que las validaciones fallen.<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\">Cadena de confianza hasta la ra\u00edz (y el registro DS)<\/h3>\n\n\n\n<p>La <strong>cadena<\/strong> se construye as\u00ed: tu zona publica sus <strong>DNSKEY<\/strong>. La KSK firma esas <a href=\"https:\/\/www.cloudflare.com\/es-es\/learning\/dns\/dns-records\/dnskey-ds-records\/\" target=\"_blank\" rel=\"noopener\">DNSKEY<\/a>. En el <strong>registro padre<\/strong> (por ejemplo, <code>.com<\/code>, <code>.es<\/code>) se publica un <strong>DS<\/strong> que referencia tu KSK (huella). El resolutor conf\u00eda en la <strong>ra\u00edz<\/strong>, que conf\u00eda en el <strong>TLD<\/strong>, que conf\u00eda en el <strong>DS<\/strong> de tu dominio, que a su vez permite validar tus <strong>DNSKEY<\/strong> y, por extensi\u00f3n, tus <strong>RRSIG<\/strong>. Si el <strong>DS no coincide<\/strong> con tu KSK real, la validaci\u00f3n falla y tu dominio \u201cdesaparece\u201d para validadores.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Beneficios reales: integridad, anti-suplantaci\u00f3n y cadena de confianza<\/h2>\n\n\n\n<p>DNSSEC <strong>reduce a insignificante<\/strong> la superficie de ataques basados en manipular respuestas DNS. \u00bfEjemplos de impacto?<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Cache poisoning<\/strong>: el atacante \u201cinyecta\u201d una respuesta falsa con un ID de transacci\u00f3n \u201cadivinado\u201d; con DNSSEC, el validador la rechaza si no viene con firma v\u00e1lida.<\/li>\n\n\n\n<li><strong>Ataques de <em>man-in-the-middle<\/em><\/strong>: aunque puedan ver\/modificar paquetes, sin la firma adecuada no pasa la validaci\u00f3n.<\/li>\n\n\n\n<li><strong>Respuestas inexistentes probadas<\/strong>: con <strong>NSEC\/NSEC3<\/strong>, la zona demuestra criptogr\u00e1ficamente que \u201cese nombre no existe\u201d, evitando enumeraciones triviales y enga\u00f1os con NXDOMAIN.<\/li>\n<\/ul>\n\n\n\n<p>Cuando lo miras con calma \u2014y aqu\u00ed coincido contigo\u2014 es una medida <strong>limpia y elegante<\/strong>: no cambia el contenido de tus registros, solo a\u00f1ade <strong>pruebas criptogr\u00e1ficas<\/strong> de que son aut\u00e9nticos. Yo lo sintetizo as\u00ed: si hoy tuviera que priorizar una capa de higiene b\u00e1sica, <strong>asegurar\u00eda el DNS<\/strong> con DNSSEC y luego construir\u00eda el resto encima.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Obst\u00e1culos de adopci\u00f3n y c\u00f3mo evitarlos (sin sustos de resoluci\u00f3n)<\/h2>\n\n\n\n<p>Las razones t\u00edpicas para no activarlo:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Complejidad percibida<\/strong>: conceptos nuevos (KSK\/ZSK, DS, RRSIG).<\/li>\n\n\n\n<li><strong>Miedo a \u201cromper\u201d<\/strong> resoluciones durante la activaci\u00f3n o una rotaci\u00f3n.<\/li>\n\n\n\n<li><strong>Dejadez operativa<\/strong>: \u201csi ahora funciona, no toques\u201d.<\/li>\n<\/ul>\n\n\n\n<p>Lo que m\u00e1s he visto romper adopciones es el <strong>miedo a fallos<\/strong> y la falta de <strong>procedimiento<\/strong>. La cura es proceso y chequeo:<\/p>\n\n\n\n<p><strong>Ant\u00eddotos pr\u00e1cticos<\/strong><\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>Due\u00f1o claro<\/strong>: qui\u00e9n genera y gestiona claves; qui\u00e9n sube el DS al registrador.<\/li>\n\n\n\n<li><strong>Ambiente de prueba<\/strong>: valida en un <strong>subdominio de ensayo<\/strong> antes del dominio principal.<\/li>\n\n\n\n<li><strong>TTLs razonables<\/strong>: reduce TTLs temporalmente antes de cambios cr\u00edticos.<\/li>\n\n\n\n<li><strong>Ventanas de cambio<\/strong>: programa activaci\u00f3n\/rotaci\u00f3n fuera de horas pico.<\/li>\n\n\n\n<li><strong>Monitoreo<\/strong>: activa alertas en tu <em>resolver<\/em> y usa validadores externos tras cada cambio.<\/li>\n\n\n\n<li><strong>Documentaci\u00f3n viva<\/strong>: deja por escrito versiones de algoritmos, tama\u00f1os de clave y fechas de rotaci\u00f3n.<\/li>\n<\/ol>\n\n\n\n<h2 class=\"wp-block-heading\">Activaci\u00f3n paso a paso (multi-proveedor): preparar claves, publicar DS y validar<\/h2>\n\n\n\n<p>Cada proveedor lo presenta distinto, pero el guion universal es este:<\/p>\n\n\n\n<p><strong>Activaci\u00f3n segura<\/strong><\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>Habilita DNSSEC en tu zona<\/strong> (en el DNS autoritativo donde gestionas los registros).\n<ul class=\"wp-block-list\">\n<li>Genera <strong>ZSK y KSK<\/strong> (si tu proveedor lo hace autom\u00e1tico, mejor).<\/li>\n\n\n\n<li>Publica <strong>DNSKEY<\/strong> y <strong>RRSIG<\/strong> se generar\u00e1n solos si el sistema firma en l\u00ednea.<\/li>\n<\/ul>\n<\/li>\n\n\n\n<li><strong>Obt\u00e9n el registro DS<\/strong> desde el panel del DNS autoritativo.\n<ul class=\"wp-block-list\">\n<li>Apunta <strong>algoritmo, digest type y digest<\/strong>.<\/li>\n<\/ul>\n<\/li>\n\n\n\n<li><strong>Publica el DS en el registrador<\/strong> del dominio.\n<ul class=\"wp-block-list\">\n<li>Este paso conecta tu zona con el <strong>padre<\/strong> (TLD).<\/li>\n\n\n\n<li>Ojo con dominios delegados en proveedores distintos: confirma que el DS que subes pertenece a la <strong>KSK vigente<\/strong> de la zona real.<\/li>\n<\/ul>\n<\/li>\n\n\n\n<li><strong>Valida externamente<\/strong>.\n<ul class=\"wp-block-list\">\n<li>Herramientas: validadores online, <code>dig +dnssec<\/code>, <code>delv<\/code> y resolutores con validaci\u00f3n (Unbound, Bind) para comprobar <strong>AD flag<\/strong>.<\/li>\n<\/ul>\n<\/li>\n\n\n\n<li><strong>Observa propagaci\u00f3n<\/strong> (no es \u201c<a href=\"https:\/\/www.hostingtg.com\/blog\/propagacion-dns\/\">propagaci\u00f3n DNS<\/a>\u201d cl\u00e1sica, pero s\u00ed hay caches\/TTLs que afectan visibilidad de cambios).\n<ul class=\"wp-block-list\">\n<li>Mant\u00e9n reducidos TTLs en ventanas de cambio, luego vuelve a valores estables.<\/li>\n<\/ul>\n<\/li>\n<\/ol>\n\n\n\n<p>En mi experiencia, el mayor susto aparece cuando se <strong>publica un DS incorrecto<\/strong> o se <strong>rota la KSK sin coordinar<\/strong> con el registrador. Prevenci\u00f3n: haz un <strong>ensayo de rotaci\u00f3n<\/strong> en un subdominio, cronometra y documenta.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Diagn\u00f3stico y verificaci\u00f3n: herramientas y pruebas (RRSIG\/DNSKEY\/DS)<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong><code>dig +dnssec ejemplo.com A<\/code><\/strong> \u2192 comprueba que llega <strong>RRSIG<\/strong>; mira el <strong>AD flag<\/strong> si tu <em>resolver<\/em> valida.<\/li>\n\n\n\n<li><strong><code>delv ejemplo.com A<\/code><\/strong> (BIND) \u2192 explica la cadena de validaci\u00f3n.<\/li>\n\n\n\n<li><strong>Validadores online<\/strong> (p. ej., de operadores de DNS o TLDs) \u2192 \u00fatiles para ver <strong>DS, DNSKEY y estado de firma<\/strong>.<\/li>\n\n\n\n<li><strong>Logs del resolutor<\/strong> (Unbound\/Bind) \u2192 si algo falla, suele aparecer \u201c<strong>validation failure<\/strong>\u201d con causa (firma expirada, <em>mismatch<\/em> de DS, reloj).<\/li>\n\n\n\n<li><strong>Fecha\/hora<\/strong>: relojes desfasados rompen firmas por caducidad\/apertura de ventanas (<strong>firme bien, pero en el tiempo correcto<\/strong>).<\/li>\n<\/ul>\n\n\n\n<p><strong>Patrones de fallo comunes<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>DS de otra KSK<\/strong> (copiado antiguo o de otro entorno).<\/li>\n\n\n\n<li><strong>Firma expirada<\/strong> por falta de <em>re-signing<\/em>.<\/li>\n\n\n\n<li><strong>Cambio de proveedor<\/strong> sin mover claves\/DS coordinadamente.<\/li>\n\n\n\n<li><strong>Algoritmo no soportado<\/strong> por alg\u00fan validador muy antiguo (raro, pero documenta tu <em>baseline<\/em>).<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">Buenas pr\u00e1cticas: rotaci\u00f3n de claves, NSEC vs NSEC3, tama\u00f1os y rendimiento<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Rotaci\u00f3n<\/strong>: ZSK con m\u00e1s frecuencia (operativa), KSK con menos (ancla). Define <strong>calendario<\/strong> y ensaya.<\/li>\n\n\n\n<li><strong>NSEC vs NSEC3<\/strong>:\n<ul class=\"wp-block-list\">\n<li><strong>NSEC<\/strong>: m\u00e1s simple; puede facilitar <em>zone walking<\/em>.<\/li>\n\n\n\n<li><strong>NSEC3<\/strong>: mitiga enumeraci\u00f3n (con \u201chash\u201d), a costa de algo m\u00e1s de complejidad.<br>Elige seg\u00fan sensibilidad de tu zona; para la mayor\u00eda de sitios p\u00fablicos, <strong>NSEC3<\/strong> es la opci\u00f3n prudente.<\/li>\n<\/ul>\n<\/li>\n\n\n\n<li><strong>Algoritmos y tama\u00f1os<\/strong>: hoy, ECDSA P-256 o Ed25519 ofrecen <strong>firmas peque\u00f1as<\/strong> y rendimiento excelente frente a RSA grandes.<\/li>\n\n\n\n<li><strong>Rendimiento<\/strong>: las respuestas firmadas <strong>pesan m\u00e1s<\/strong>; usa <strong>Anycast<\/strong>\/CDN DNS si tu tr\u00e1fico es alto, revisa <strong>EDNS(0)<\/strong> y <strong>fragmentaci\u00f3n<\/strong>; ajusta <strong>TCP fallback<\/strong>.<\/li>\n\n\n\n<li><strong>Automatizaci\u00f3n<\/strong>: si tu plataforma soporta <strong>CDS\/CDNSKEY<\/strong>, puedes publicar cambios de clave que el registrador recoja autom\u00e1ticamente.<\/li>\n\n\n\n<li><strong>Observabilidad<\/strong>: integra m\u00e9tricas (tasa de validaci\u00f3n, fallos por tipo, latencia) en tu <em>stack<\/em> de monitorizaci\u00f3n.<\/li>\n<\/ul>\n\n\n\n<p>En mi caso, el gran salto en tranquilidad vino de <strong>automatizar re-firmas y rotaciones<\/strong> y de anotar cada cambio con TTLs planificados: te quita el miedo y evita \u201capagones\u201d por caducidad.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Dudas sobre DNSSEC<\/h2>\n\n\n\n<p><strong>\u00bfDNSSEC cifra el tr\u00e1fico?<\/strong><br>No. Garantiza autenticidad e integridad de la respuesta (firmas v\u00e1lidas), pero no confidencialidad. Para cifrado, TLS\/HTTPS o DoH\/DoT.<\/p>\n\n\n\n<p><strong>\u00bfQu\u00e9 registros a\u00f1ade?<\/strong><br>Principalmente <strong>RRSIG, DNSKEY, DS, NSEC\/NSEC3<\/strong> (y opcionalmente <strong>CDS\/CDNSKEY<\/strong> para automatizar publicaci\u00f3n en el padre).<\/p>\n\n\n\n<p><strong>\u00bfPuedo romper mi dominio al activarlo?<\/strong><br>S\u00ed, si publicas un <strong>DS incorrecto<\/strong> o rotas mal la <strong>KSK<\/strong>. Con checklist, ensayos y validaci\u00f3n externa, el riesgo se vuelve muy bajo.<\/p>\n\n\n\n<p><strong>\u00bfAfecta al SEO o al correo?<\/strong><br>Indirectamente puede <strong>mejorar confianza<\/strong> y reducir vectores de suplantaci\u00f3n que afectan marca\/usuarios; para correo, no sustituye a <strong>SPF\/DKIM\/DMARC<\/strong>, pero evita que ataques de DNS falsos te arrastren.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\">DNSSEC la capa m\u00ednima que necesitas<\/h2>\n\n\n\n<p>DNSSEC no es \u201cun extra\u201d: es la <strong>capa m\u00ednima<\/strong> para que el primer paso de Internet no sea un acto de fe. No cifra, pero <strong>prueba<\/strong>. No promete magia, pero <strong>corta<\/strong> la cadena de ataques m\u00e1s b\u00e1sicos. Y con un proceso claro \u2014preparar claves, publicar DS, validar, monitorear\u2014 se activa <strong>sin sustos<\/strong>. En mi experiencia, es de esas mejoras que una vez pones en marcha te preguntas por qu\u00e9 no estaba ya en todas partes.<\/p>\n\n\n\n<p><strong>Opini\u00f3n Personal<\/strong><\/p>\n\n\n\n<p><strong>Siempre he pensado que DNSSEC<\/strong> es ese <strong>cintur\u00f3n de seguridad<\/strong> que demasiada gente deja desabrochado \u201cporque total, solo voy a la vuelta de la esquina\u201d. El DNS naci\u00f3 confiado, casi ingenuo, y durante a\u00f1os nos acostumbramos a aceptar cualquier respuesta que llegara primero. <strong>DNSSEC rompe esa l\u00f3gica peligrosa<\/strong>: <strong>no cifra<\/strong> ni oculta nada, pero <strong>demuestra<\/strong> con pruebas que la respuesta es <strong>aut\u00e9ntica<\/strong>. <\/p>\n\n\n\n<p>Para m\u00ed, ah\u00ed est\u00e1 su belleza: a\u00f1ade <strong>responsabilidad criptogr\u00e1fica<\/strong> donde antes hab\u00eda fe ciega. Cuando activo <strong>DNSSEC<\/strong> en un dominio, siento que paso de \u201cespero que todo est\u00e9 bien\u201d a \u201c<strong>s\u00e9 que lo que veo es lo que public\u00f3 la zona<\/strong>\u201d. Esa certeza cambia la conversaci\u00f3n de la seguridad: ya no es cuesti\u00f3n de suerte, es cuesti\u00f3n de firmas, claves y una <strong>cadena de confianza<\/strong> que se sostiene o se cae sin matices.<\/p>\n\n\n\n<p>Lo parad\u00f3jico es lo lenta que ha sido su adopci\u00f3n. Muchos lo posponen por <strong>miedo a romper<\/strong> resoluciones o por la <strong>complejidad percibida<\/strong>, cuando en realidad lo que se necesita es <strong>m\u00e9todo<\/strong>: <strong>planificar TTLs<\/strong>, coordinar la <strong>publicaci\u00f3n del DS<\/strong>, <strong>validar desde fuera<\/strong> y <strong>documentar rotaciones<\/strong>. Cada vez que veo un proyecto retrasar <strong>DNSSEC<\/strong> \u201cpara m\u00e1s adelante\u201d, pienso en cu\u00e1ntas horas gastamos parcheando s\u00edntomas que ni siquiera existir\u00edan si hubi\u00e9ramos blindado el primer paso: la resoluci\u00f3n de nombres. <strong>No es un lujo, es higiene.<\/strong> Y s\u00ed, la primera vez impone respeto; la segunda te preguntas por qu\u00e9 no lo activaste antes.<\/p>\n\n\n\n<p>Si gestionas un dominio que te importa, <strong>DNSSEC no es opcional<\/strong>. Es el m\u00ednimo para que tu marca, tu correo y tus usuarios no dependan de que nadie haya decidido jugar con tu DNS ese d\u00eda. Prefiero una operaci\u00f3n bien planificada hoy a un incendio mal explicado ma\u00f1ana. <strong>\u00bfT\u00fa c\u00f3mo lo ves?<\/strong> \u00bfTe ha dado pereza activarlo, te asusta romper algo, o ya lo tienes en marcha y has notado la diferencia? <strong>D\u00e9jame tus comentarios<\/strong>: quiero leer tus dudas, tus tropiezos y tus victorias para enriquecer esta conversaci\u00f3n.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Qu\u00e9 es DNSSEC DNSSEC son las Extensiones de Seguridad del DNS que a\u00f1aden autenticidad e integridad a las respuestas del sistema de nombres de dominio. Lo hace mediante firmas digitales (RRSIG) publicadas junto a los registros, y claves p\u00fablicas (DNSKEY) que permiten a los resolutores validar esas firmas. Si la firma no cuadra, la respuesta [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":7676,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"set","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[952],"tags":[956,1266,236,1267,867],"class_list":["post-7675","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-guias","tag-dns","tag-dnssec","tag-seguridad","tag-servidores-dns","tag-servidores-vps"],"_links":{"self":[{"href":"https:\/\/www.hostingtg.com\/blog\/wp-json\/wp\/v2\/posts\/7675","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.hostingtg.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.hostingtg.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.hostingtg.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.hostingtg.com\/blog\/wp-json\/wp\/v2\/comments?post=7675"}],"version-history":[{"count":1,"href":"https:\/\/www.hostingtg.com\/blog\/wp-json\/wp\/v2\/posts\/7675\/revisions"}],"predecessor-version":[{"id":7677,"href":"https:\/\/www.hostingtg.com\/blog\/wp-json\/wp\/v2\/posts\/7675\/revisions\/7677"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.hostingtg.com\/blog\/wp-json\/wp\/v2\/media\/7676"}],"wp:attachment":[{"href":"https:\/\/www.hostingtg.com\/blog\/wp-json\/wp\/v2\/media?parent=7675"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.hostingtg.com\/blog\/wp-json\/wp\/v2\/categories?post=7675"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.hostingtg.com\/blog\/wp-json\/wp\/v2\/tags?post=7675"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}