Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 382

Tunelización DNS

Revisado porCybersecurity entrepreneur & security researcher

¿Qué es Tunelización DNS?

Tunelización DNSCanal encubierto que codifica datos arbitrarios dentro de consultas y respuestas DNS en UDP/TCP puerto 53, frecuentemente usado para comando y control y exfiltración de datos.


La tunelización DNS abusa del hecho de que el tráfico DNS (UDP/TCP puerto 53) está permitido en casi todas partes y rara vez se inspecciona en profundidad. El malware codifica bytes de la carga útil en etiquetas de subdominio (por ejemplo, trozos en base32 bajo attacker.example.com) y el servidor autoritativo del atacante responde con registros TXT, CNAME, NULL o A que transportan la respuesta o los comandos. Como la resolución es recursiva, los datos salen incluso cuando el host sólo puede alcanzar un resolver interno y nunca contacta directamente con la IP del atacante. Herramientas como dnscat2, Iodine y el C2 DNS de Cobalt Strike implementan este patrón; el rendimiento es bajo pero sigiloso.

Hay campañas reales que se apoyan en ella. La puerta trasera SUNBURST de 2020 en SolarWinds Orion usó un algoritmo de generación de dominios para construir subdominios de avsvmcloud.com y luego codificó el dominio interno de Active Directory de la víctima y la lista de productos de seguridad instalados en esas consultas DNS como un canal de C2 bidireccional. Las operaciones de origen iraní OilRig/APT34 y DNSpionage también se apoyaron en la tunelización DNS para las órdenes y la exfiltración.

La detección se basa en señales que a los atacantes les cuesta ocultar: alta tasa de consultas por host, etiquetas inusualmente largas, alta entropía de los subdominios (cadenas base32/base64/hex), tipos de registro atípicos como TXT o NULL y dominios nunca vistos antes. Las defensas incluyen forzar a todos los clientes a través de resolvers controlados, bloquear el puerto 53 saliente directo en el firewall de salida, sinkholing DNS, límites de tasa de consultas y analítica de anomalías en EDR/NDR.

flowchart LR
  M[Infected host] -->|"data.b32label.attacker.com"| R[Internal resolver]
  R -->|recursive lookup| AUTH[Attacker authoritative NS]
  AUTH -->|"TXT/CNAME reply = command"| R
  R --> M
  AUTH -.reassembles.-> D[(Stolen data and C2)]

Ejemplos

  1. 01

    Un host infectado envía consultas como a1b2c3.exfil.attacker.com cuyas etiquetas codifican datos robados.

  2. 02

    dnscat2 monta un shell basado en TXT sobre DNS para sortear un proxy de salida que sólo permite HTTP.

Preguntas frecuentes

¿Qué es Tunelización DNS?

Canal encubierto que codifica datos arbitrarios dentro de consultas y respuestas DNS en UDP/TCP puerto 53, frecuentemente usado para comando y control y exfiltración de datos. Pertenece a la categoría de Seguridad de red en ciberseguridad.

¿Qué significa Tunelización DNS?

Canal encubierto que codifica datos arbitrarios dentro de consultas y respuestas DNS en UDP/TCP puerto 53, frecuentemente usado para comando y control y exfiltración de datos.

¿Cómo defenderse de Tunelización DNS?

Las defensas contra Tunelización DNS combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.

¿Cuáles son otros nombres para Tunelización DNS?

Nombres alternativos comunes: DNS C2, Exfiltración por DNS.

Términos relacionados

Véase también