¿Por qué tarda tanto el DNS en propagarse?

Se acumulan tres razones: el **TTL** del registro antiguo (a menudo 3600 segundos = 1 hora, a veces 86400 = 24 horas), el **retardo entre tu registrador y los servidores autoritativos** (de unos segundos a unos minutos), y el **caché negativo** (cuando un resolver obtuvo "no existe ese registro" para un nombre, recuerda esa "ausencia" hasta una hora también). Encima, algunos resolvers extienden los TTL más allá del valor oficial (especialmente los DNS de operadora en redes móviles). El peor caso combinado es el resolver más lento que haya, por eso la propagación completa suele citarse como **24 a 48 horas**.

¿Qué es el TTL y cómo controla la velocidad de propagación?

El **TTL (Time To Live)** es un número, en segundos, asociado a cada registro DNS. Indica a los resolvers "puedes cachear esta respuesta como máximo N segundos". Después, el resolver debe volver a preguntar al servidor autoritativo. Un TTL bajo (60 segundos) significa propagación rápida pero más consultas a tu DNS autoritativo. Un TTL alto (86400 = 24h) significa hosting barato pero cambios lentos. Valores por defecto típicos: **A/AAAA = 300 a 3600**, **MX/TXT = 3600 a 86400**, **NS = 86400 o más**. La matriz te muestra el efecto de la propagación; el TTL controla a qué velocidad se extiende.

¿Qué TTL debería poner antes de un cambio planificado?

Bájalo a **60-300 segundos** al menos **24 horas antes** del cambio. El TTL antiguo (digamos 3600) dicta cuánto sigue vivo el valor anterior en las cachés, así que hay que esperar un **ciclo de TTL antiguo** para que el TTL bajo empiece a respetarse. Luego haz el cambio, espera la propagación (ahora rápida porque el TTL es corto) y **sube el TTL de nuevo** a 3600 o más cuando todo esté estable. Los TTL permanentemente bajos funcionan pero cuestan más consultas y ralentizan las primeras cargas cuando no hay nada cacheado.

¿Por qué algunos resolvers cachean más tiempo del que dice el TTL?

Varias razones. **El DNS de operadora móvil** suele extender TTLs para ahorrar datos móviles y reducir coste backend. **Los proxies corporativos** a veces tienen sus propias cachés DNS que ignoran el TTL. **Los navegadores** mantienen su propia caché DNS en proceso (Chrome: en torno a 60 segundos, Firefox configurable). **Los resolvers del SO** (cliente DNS de Windows, systemd-resolved) también cachean, encima de la caché upstream. Así que aunque todos los resolvers públicos de la matriz ya muestren el nuevo valor, un usuario individual puede seguir viendo el antiguo hasta que su **navegador + SO + router + ISP** caduquen todos sus entradas.

¿El DNS del ISP es más lento al propagar que el DNS público tipo 1.1.1.1?

Normalmente **sí**. Los grandes resolvers públicos (Cloudflare 1.1.1.1, Google 8.8.8.8, Quad9) respetan el TTL con precisión y son anycast, así que la invalidación de caché es global en minutos. **El DNS del ISP** suele estar optimizado para **bajo volumen de consultas**, lo que implica extender TTLs, a veces en silencio. Por eso un usuario en un ISP residencial puede seguir viendo la IP antigua una hora después de tu cambio mientras la matriz muestra 12/12 consistente. Indicar a esos usuarios que cambien a **1.1.1.1 o 8.8.8.8** es el atajo más rápido.

¿Cuándo debo esperar propagación completa?

Para la mayoría de cambios con TTL de 3600 segundos, **la mayoría de resolvers actualizan en 1 a 4 horas**. El clásico consejo "24 a 48 horas" cubre la cola lenta: algunos resolvers DNS de operadora, cachés corporativas y sistemas legacy. Si bajaste el TTL a 60 segundos un día antes del cambio, **el 80-90% del mundo** ve el nuevo valor a los **5 minutos** del cambio. Si te olvidaste de bajar el TTL, la espera es un ciclo de TTL completo desde el cambio, más la cola larga.

¿Cómo salto la caché para confirmar la respuesta autoritativa?

Dos opciones. En local, ejecuta `dig +trace ejemplo.com A` en una terminal: esta consulta camina el árbol DNS desde la raíz hasta tus servidores autoritativos, **ignorando cualquier caché** en el camino. Alternativamente, apunta dig directamente a tu servidor autoritativo: `dig @ns1.tu-registrador.com ejemplo.com A`. La matriz de esta herramienta hace algo equivalente a escala consultando 12 resolvers distintos; si incluso Cloudflare y Google muestran la nueva respuesta, puedes confiar en que el lado autoritativo está bien.

¿Cuándo no se completa nunca del todo la propagación?

Hay casos legítimos. **DNS de horizonte dividido**: el mismo nombre resuelve distinto para clientes internos y externos a propósito (las VPN corporativas lo hacen). **Particularidades de anycast**: algunos nombres de CDN devuelven IPs distintas según la ubicación del resolver, y eso es intencionado (geo-routing), no un bug de propagación. **Resolvers con filtrado**: AdGuard bloquea anuncios, Quad9 bloquea malware, así que un dominio marcado devuelve `0.0.0.0` o `NXDOMAIN` en esos resolvers da igual lo que diga tu DNS autoritativo. Si la matriz muestra un 11/12 estable con un resolver específico siempre fuera, probablemente sea filtrado, no propagación.

¿Qué hago cuando la propagación se queda estancada?

Sigue esta checklist. (1) Confirma que el cambio está en vivo en tus **servidores autoritativos**: `dig @ns1.tu-registrador.com nombre TYPE`. Si incluso ellos muestran el valor antiguo, el cambio nunca llegó a la capa autoritativa, arréglalo en el registrador. (2) Confirma que los grandes resolvers públicos (Cloudflare, Google) tienen el nuevo valor. Si sí, el resto es solo caché. (3) Si un único resolver lleva horas atascado pese a haber caducado el TTL, **vacía su caché**: Cloudflare ofrece una UI pública en `cloudflare-dns.com/purge-cache`, Google en `developers.google.com/speed/public-dns/cache`. (4) Verifica que el **TTL** del registro antiguo era realmente bajo cuando hiciste el cambio; si era 86400, esperarás hasta 24 horas haga lo que haga.

Matriz de propagación DNS - gratis

Matriz de propagación DNS: ¿ha llegado mi cambio al mundo?

Acabas de editar un registro A en tu registrador. Ahora estás ahí refrescando el navegador, preguntándote si el nuevo servidor está en línea. O has cambiado un MX antes de una migración de correo y necesitas saber cuántos resolvers siguen entregando la respuesta antigua. Esta herramienta está pensada para ese momento exacto.

Ejecuta una consulta, sobre un registro, contra 12 resolvers DNS públicos distribuidos por operadores y regiones (Cloudflare, Google, Quad9, OpenDNS, AdGuard, Yandex, Comodo, DNS.SB, Mullvad, LibreDNS, NextDNS, PowerDNS). Obtienes una tabla: cada resolver, lo que devuelve ahora y una pista de color sobre si coincide con la respuesta mayoritaria. Una línea de resumen al final te lo dice en palabras claras: "Consistente: 12/12 coinciden en `1.2.3.4`" o "Pendiente: 4/12 siguen sirviendo el valor antiguo".

Activa el auto-refresh y la página repite la consulta cada 30 segundos para que puedas dejar la pestaña abierta durante una migración y ver cómo los resolvers rezagados se ponen al día.

Cómo usarla

Escribe el dominio que acabas de cambiar (sin `https://`, sin ruta): `ejemplo.com`, `mail.acme.io`, `cdn.marca.dev`. También vale un subdominio si solo has cambiado un registro concreto.
Elige el tipo de registro en la barra segmentada: `A` para IPv4, `AAAA` para IPv6, `CNAME` para alias, `MX` para correo, `TXT` para SPF/DKIM/DMARC y tokens de verificación, `NS` para los servidores de nombres autoritativos.
Pulsa Comprobar propagación. En 2-4 segundos obtienes una tabla con los 12 resolvers y una tarjeta de resumen coloreada al final.
Filas verdes = ese resolver coincide con la mayoría. Filas amarillas = devuelve una respuesta distinta (probablemente aún cacheada). Filas rojas = el resolver falló (timeout, SERVFAIL, NXDOMAIN).
Activa auto-refresh y la misma consulta se repite cada 30 segundos. Útil cuando quieres ver al mundo ponerse al día tras un cambio sin pulsar el botón a lo loco.
La tarjeta de resumen del final muestra la respuesta mayoritaria más un contador "de acuerdo / total". "12/12" significa propagación completa. Cualquier valor inferior significa que al menos un resolver sigue sirviendo un valor antiguo o filtrado.
Si un único resolver siempre discrepa mientras los otros 11 son unánimes, el problema es ese resolver, no tu DNS: puede filtrar el dominio (AdGuard bloquea anuncios, Quad9 bloquea malware) o cachear de forma más agresiva.

Cuándo es útil

Siete momentos típicos en los que "¿se ha propagado ya mi DNS?" importa más que cualquier otra pregunta:

Justo después de mover un servidor. Has cambiado el registro A de `212.x.x.x` a `185.y.y.y`. Lanzas la matriz y refrescas cada minuto. Cuando los 12/12 muestren la nueva IP, podrás retirar la máquina antigua sin riesgo.
Migración MX antes de un cambio de correo. Pasas de un proveedor de correo a otro y necesitas estar seguro de que la entregabilidad no se reparte entre ambos. La matriz MX muestra cuándo cada resolver entrega el nuevo servidor.
Apuntar un CNAME para un subdominio SaaS. Has enlazado `tienda.marca.com` con Shopify, el dashboard dice "aún no apunta aquí". Comprueba la matriz CNAME: si 12/12 muestran el destino correcto, el dashboard SaaS simplemente tarda en refrescar.
Rollout de DKIM. Has añadido un registro TXT en `default._domainkey.marca.com`. Consultas TXT: cuando todos los resolvers devuelven la nueva clave, puedes activar la firma DKIM sin rebotes por rechazo.
Comprobación previa al TTL. Antes de un cambio importante, consulta el registro actual para confirmar qué está cacheado. Si bajaste el TTL a 60 segundos ayer, sabes que el despliegue será rápido. Si sigue en 3600, da al menos una hora para que caduque la caché.
Depurar "funciona para algunos usuarios, para otros no". Un compañero no puede acceder al nuevo sitio. Le preguntas qué DNS usa, compruebas ese resolver en la matriz: si sigue mostrando la IP antigua, la respuesta es caché, no tu código.
Distinguir filtrado de propagación. Quad9 devuelve `NXDOMAIN` para uno de tus dominios mientras los demás lo resuelven. Eso es filtrado (lista de malware), no un hueco de propagación. La matriz hace evidente la distinción de un vistazo.

Herramientas relacionadas: consulta DNS (cada tipo de registro, todo el detalle), consulta DNS inverso / PTR (IP a hostname), consulta WHOIS (quién posee el dominio), validador DNSSEC (cadena de confianza criptográfica).

Preguntas y respuestas

La propagación DNS es el tiempo que tarda un cambio hecho en tu DNS autoritativo en ser visible en todo internet. No hay un push o sync global: cada resolver (Cloudflare, Google, tu ISP) cachea la respuesta anterior durante su TTL. Hasta que esa entrada de caché expira, el resolver sigue sirviendo el valor antiguo. La propagación es, por tanto, en realidad una carrera de expiración de caché, no un paso literal de copia. La matriz de esta herramienta muestra 12 resolvers a la vez para que veas quién ya se ha enterado del cambio y quién sigue con la respuesta vieja.

Matriz de propagación DNS: ¿ha llegado mi cambio al mundo?

Activa el auto-refresh y la página repite la consulta cada 30 segundos para que puedas dejar la pestaña abierta durante una migración y ver cómo los resolvers rezagados se ponen al día.

Cómo usarla

Escribe el dominio que acabas de cambiar (sin `https://`, sin ruta): `ejemplo.com`, `mail.acme.io`, `cdn.marca.dev`. También vale un subdominio si solo has cambiado un registro concreto.

Elige el tipo de registro en la barra segmentada: `A` para IPv4, `AAAA` para IPv6, `CNAME` para alias, `MX` para correo, `TXT` para SPF/DKIM/DMARC y tokens de verificación, `NS` para los servidores de nombres autoritativos.

Pulsa Comprobar propagación. En 2-4 segundos obtienes una tabla con los 12 resolvers y una tarjeta de resumen coloreada al final.

Filas verdes = ese resolver coincide con la mayoría. Filas amarillas = devuelve una respuesta distinta (probablemente aún cacheada). Filas rojas = el resolver falló (timeout, SERVFAIL, NXDOMAIN).

Activa auto-refresh y la misma consulta se repite cada 30 segundos. Útil cuando quieres ver al mundo ponerse al día tras un cambio sin pulsar el botón a lo loco.

La tarjeta de resumen del final muestra la respuesta mayoritaria más un contador "de acuerdo / total". "12/12" significa propagación completa. Cualquier valor inferior significa que al menos un resolver sigue sirviendo un valor antiguo o filtrado.

Si un único resolver siempre discrepa mientras los otros 11 son unánimes, el problema es ese resolver, no tu DNS: puede filtrar el dominio (AdGuard bloquea anuncios, Quad9 bloquea malware) o cachear de forma más agresiva.

Cuándo es útil

Siete momentos típicos en los que "¿se ha propagado ya mi DNS?" importa más que cualquier otra pregunta:

Justo después de mover un servidor. Has cambiado el registro A de `212.x.x.x` a `185.y.y.y`. Lanzas la matriz y refrescas cada minuto. Cuando los 12/12 muestren la nueva IP, podrás retirar la máquina antigua sin riesgo.
Migración MX antes de un cambio de correo. Pasas de un proveedor de correo a otro y necesitas estar seguro de que la entregabilidad no se reparte entre ambos. La matriz MX muestra cuándo cada resolver entrega el nuevo servidor.
Apuntar un CNAME para un subdominio SaaS. Has enlazado `tienda.marca.com` con Shopify, el dashboard dice "aún no apunta aquí". Comprueba la matriz CNAME: si 12/12 muestran el destino correcto, el dashboard SaaS simplemente tarda en refrescar.
Rollout de DKIM. Has añadido un registro TXT en `default._domainkey.marca.com`. Consultas TXT: cuando todos los resolvers devuelven la nueva clave, puedes activar la firma DKIM sin rebotes por rechazo.
Comprobación previa al TTL. Antes de un cambio importante, consulta el registro actual para confirmar qué está cacheado. Si bajaste el TTL a 60 segundos ayer, sabes que el despliegue será rápido. Si sigue en 3600, da al menos una hora para que caduque la caché.
Depurar "funciona para algunos usuarios, para otros no". Un compañero no puede acceder al nuevo sitio. Le preguntas qué DNS usa, compruebas ese resolver en la matriz: si sigue mostrando la IP antigua, la respuesta es caché, no tu código.
Distinguir filtrado de propagación. Quad9 devuelve `NXDOMAIN` para uno de tus dominios mientras los demás lo resuelven. Eso es filtrado (lista de malware), no un hueco de propagación. La matriz hace evidente la distinción de un vistazo.

Preguntas y respuestas

Matriz de propagación DNS

Matriz de propagación DNS: ¿ha llegado mi cambio al mundo?

Cómo usarla

Cuándo es útil

Preguntas y respuestas

Herramientas relacionadas

Consulta DNS

Lookup DNS inverso (PTR)

Consulta WHOIS

Validador de cadena DNSSEC

Matriz de propagación DNS

Matriz de propagación DNS: ¿ha llegado mi cambio al mundo?

Cómo usarla

Cuándo es útil

Preguntas y respuestas

Herramientas relacionadas

Consulta DNS

Lookup DNS inverso (PTR)

Consulta WHOIS

Validador de cadena DNSSEC