DNS público FrontierFrontier public DNS

Resolución de DNS con seguridad y analítica integradas DNS resolution with integrated security and analytics

Frontier reúne inteligencia artificial que detecta amenazas antes de que aparezcan en fuentes públicas, protección Anti-DDoS específica para DNS que se propaga a toda la red en segundos, y analítica con 11 widgets coordinados y filtrado cruzado. A estas se suman la gestión avanzada de la resolución con Behavior DNS y la detección de exfiltración por túneles DNS. Frontier brings together AI that detects threats before they appear in public sources, Anti-DDoS protection specific to DNS that propagates across the entire network in seconds, and analytics with 11 coordinated widgets and cross-filtering. Added to these are advanced resolution management with Behavior DNS and detection of data exfiltration via DNS tunnels.

1.331.578
dominios maliciosos bloqueados malicious domains blocked
+1.397
nuevos clasificados por IA esta semana new domains classified by AI this week
281
IP en blackhole automático IP in automatic blackhole
<15ms
latencia anycast desde España (p95) anycast latency from Spain (p95)
Capacidad 1 · IAPillar 1 · AI

Autodescubrimiento con IADetectamos lo que todavía no está en ninguna lista AI auto-discoveryWe detect what is not on any list yet

Las listas públicas de dominios maliciosos tardan en recoger dominios de phishing recién registrados. Frontier clasifica cada dominio nuevo que pasa por el resolvedor mediante un proceso de cuatro etapas con inteligencia artificial, y puede bloquearlo antes de que aparezca en ninguna lista pública. Public lists of malicious domains are slow to pick up newly registered phishing domains. Frontier classifies every new domain that passes through the resolver using a four-stage AI process, and can block it before it appears on any public list.

  • Cuatro etapas de clasificaciónFour-stage classificationanálisis léxico del dominio, reputación de red (ASN, geolocalización, CDN), consulta a fuentes públicas (VirusTotal, URLscan, OTX) y, en casos ambiguos, un modelo de lenguaje que emite el veredicto final.lexical analysis, network reputation (ASN, geolocation, CDN), public sources (VirusTotal, URLscan, OTX) and, in ambiguous cases, a language model that delivers the final verdict.
  • Contexto localLocal contextla clasificación reconoce dominios .es, imitaciones de marcas españolas y patrones que las listas internacionales suelen pasar por alto.the classifier recognises .es domains, lookalikes of Spanish brands and patterns that international lists usually miss.
  • Decisiones auditablesAuditable decisionscada bloqueo queda registrado con las señales y umbrales que lo causaron. El operador puede revertirlo, y la IA incorpora esa corrección.every block is logged with the signals and thresholds that triggered it. Operators can revert it, and the AI incorporates the correction.
  • Incluido en todos los planesIncluded in every planlos clientes pueden añadir sus propios dominios sospechosos y revisarlos en cola de clasificación.customers can add their own suspicious domains and review them in the classification queue.
Ver caso para SOC empresarial See SOC use case
Cascada en vivo · paypa1-secure[.]es Live cascade · paypa1-secure[.]es
Step 1 HeurísticasHeuristics TLD risk · entropía · lookalike PayPal TLD risk · entropy · PayPal lookalike 0.78
Step 2 RedNetwork ASN OVH · NL · sin CDN ASN OVH · NL · no CDN 0.62
Step 3 Reputación públicaPublic reputation URLscan: 4 detecciones · OTX: pulse URLscan: 4 hits · OTX: pulse 0.94
Step 4 LLM (no requerido)LLM (skipped) strong-gate ya disparado en el paso 3 strong-gate already tripped at step 3
phishing Bloqueado en 1.4 s (antes de aparecer en feeds). Blocked in 1.4 s — before appearing in feeds.
Caso real de la última semana — anonimizado Real case from last week — anonymized
Capacidad 2 · Anti-DDoSPillar 2 · Anti-DDoS

Anti-DDoS específico de DNS DNS-specific Anti-DDoS

El resolvedor DNS es un objetivo recurrente: saturación de tráfico, amplificación con consultas de tipo ANY, DNSKEY o TXT, y botnets distribuidas. Frontier integra un subsistema dedicado que detecta y mitiga estos ataques en la capa más baja del sistema operativo, y propaga la respuesta a toda la red en segundos. The DNS resolver is a recurring target: traffic flooding, amplification with ANY, DNSKEY or TXT queries, and distributed botnets. Frontier integrates a dedicated subsystem that detects and mitigates these attacks at the lowest layer of the operating system, and propagates the response across the entire network in seconds.

  • Doble detecciónDual detection por par (IP, dominio) para saturación dirigida de tráfico, y por severidad de IP (niveles 0 a 4) para botnets distribuidas.per (IP, domain) pair for targeted traffic flooding, and by IP severity (levels 0 to 4) for distributed botnets.
  • TTL ajustado al riesgoRisk-aware TTL unos cinco minutos para tráfico español, 30 minutos como valor estándar, y hasta 150 minutos cuando el origen y el ASN son de alto riesgo.around five minutes for Spanish traffic, 30 minutes as standard, and up to 150 minutes when both origin and ASN are high-risk.
  • Cortacircuitos de seguridadSafety circuit-breaker si se proponen demasiadas IP en poco tiempo, la propagación se pausa y alerta al operador. Esto evita que un atacante manipule el sistema para que se autobloquee.if too many IPs are proposed too fast, propagation pauses and alerts the operator. This prevents an attacker from manipulating the system into blocking itself.
  • Visible y exportableVisible and exportable cada bloqueo aparece en el panel con país, ASN, nivel de severidad y expiración. Los eventos se envían al SIEM del cliente.every block appears on the dashboard with country, ASN, severity level and expiry. Events forwarded to your SIEM.
Ver para empresas y AA.PP. For business & gov
Ataque en curso · propagación entre nodos Active attack · cross-node propagation
ATTACK PoP-1 ES · MAD SEVERITY 4 · ANY-flood → blackhole + propagate PoP-2 DE · FRA PoP-3 FR · PAR PoP-4 PT · LIS t = 0 s · detección → t = ~3 s · bloqueado en toda la red
Diagrama esquemático del subsistema en producción Schematic of the production subsystem
Capacidad 3 · AnalíticaPillar 3 · Analytics

Analítica e investigación de incidentes Analytics and incident investigation

El panel de Frontier es una capa de observabilidad sobre Elasticsearch. Permite cruzar dimensiones (perfil, país, ASN, tipo de consulta, dominio, categoría, ventana temporal) en cualquier combinación. Los equipos de seguridad lo usan para investigar incidentes, los responsables de cumplimiento para auditar, y los operadores de red para planificar capacidad. Frontier's dashboard is an observability layer on Elasticsearch. It allows you to cross dimensions (profile, country, ASN, query type, domain, category, time window) in any combination. Security teams use it to investigate incidents, compliance officers to audit, and network operators to plan capacity.

  • Filtrado cruzado coordinadoCoordinated cross-filterun clic en cualquier celda, fila o segmento aplica ese filtro a los 11 widgets del panel a la vez.one click on any cell, row or segment applies that filter to all 11 widgets in the panel at once.
  • Consultas DNS en tiempo realReal-time DNS queriescada consulta aparece con perfil, IP de origen, tipo de consulta y categoría. Filtrable y exportable.every query appears with profile, source IP, query type and category. Filterable and exportable.
  • Mapa, treemap y heatmapMap, treemap and heatmapgeolocalización de tráfico, dominios más consultados con tasa de bloqueo, patrones por hora y día.traffic geolocation, top domains with block rate, and patterns by hour and day.
  • Logs por organizaciónLogs per organisationen la capa empresarial, cada cliente ve solo su tráfico. Exportable al SIEM vía Elasticsearch, Syslog o Webhook.on the enterprise tier, each customer sees only its own traffic. Exportable to your SIEM via Elasticsearch, Syslog or Webhook.
  • Trazabilidad versionadaVersioned traceabilitycada paquete de listas distribuido tiene versión y hash. Se sabe exactamente qué política aplicó cada nodo en cada momento. Auditable bajo ENS y NIS2.every distributed bundle has a version and hash. You know exactly which policy each node applied at any given moment. Auditable under ENS and NIS2.
Ver el panel en directo Open the live dashboard
Analytics — últimas 24hAnalytics — last 24h live
queries
307.768
blocked
0.42%
clients
371
blackholes
281
Top dominios bloqueados Top blocked domains
us-ore-00001.s3...amazonaws.com phishing
paypa1-secure.es phishing
crypto-mining-pool.io crypto
trk.events.example trackers
Vista esquemática de Analytics Schematic Analytics view
Capacidad 4 · DNS BehaviorPillar 4 · DNS Behavior

Gestión avanzada de la resoluciónPolíticas de respuesta DNS configurables y propagadas a toda la red Advanced resolution managementConfigurable DNS response policies, propagated across the entire network

Frontier permite definir cómo responde el resolvedor ante combinaciones concretas de dominio e IP de origen. El operador puede redirigir a una IP interna (suplantación controlada), devolver una respuesta de dominio inexistente o de consulta rechazada, forzar el uso de un perfil de filtrado determinado, o restringir el servicio a rangos de red autorizados. Estas políticas se aplican antes del proceso de resolución y se gestionan y versionan desde el panel. Frontier allows you to define how the resolver responds to specific combinations of domain and source IP. The operator can redirect to an internal IP (controlled spoofing), return a non-existent domain or rejected query response, force the use of a specific filtering profile, or restrict the service to authorised network ranges. These policies apply before the resolution process and are managed and versioned from the dashboard.

  • Modo público o restringidoPublic or restricted mode por defecto el resolvedor atiende a cualquier origen, pero se puede limitar a rangos de IP concretos, rechazando el resto. Una sola configuración para todos los nodos.by default the resolver serves any origin, but it can be restricted to specific IP ranges, rejecting all others. One configuration across all nodes.
  • Enrutamiento forzado por origenSource-based forced routing determinadas redes usan obligatoriamente el perfil de filtrado Family o Max, independientemente de la configuración DNS del dispositivo. Pensado para centros educativos, puntos de acceso público y dispositivos no gestionados.specific networks are forced into the Family or Max filtering profile, regardless of the device's DNS settings. Designed for schools, public access points and unmanaged devices.
  • Protección contra suplantaciones peligrosasProtection against dangerous spoofing ciertos rangos de red (loopback, link-local, multicast, infraestructura propia) no se aceptan como destino de suplantación. Esto protege contra reglas mal configuradas.certain network ranges (loopback, link-local, multicast, own infrastructure) are not accepted as spoofing targets. This protects against misconfigured rules.
  • Propagación versionadaVersioned propagation cada cambio se distribuye y aplica en toda la red en unos 90 segundos. El panel registra quién hizo el cambio y cuándo entró en vigor.every change distributes and applies network-wide in around 90 seconds. The dashboard logs who made the change and when it took effect.
Ver para empresas y AA.PP. For business & gov
Reglas activas — ejemplo Active rules — example
qname poc-prod.frontier.test src: any · qtype: A src: any · qtype: A spoof
10.55.55.55
qname test.jorge.local src: 2.136.38.48/32 src: 2.136.38.48/32 spoof
10.0.0.50
behavior school-net 10.42.0.0/16 forzar perfil Family force Family profile route
Family
qname phishing-camp.example src: any · qtype: A src: any · qtype: A nxdomain
propagado 5 reglas activas · sincronizado a 12 nodos · v 184 5 active rules · synced to 12 nodes · v 184
Vista esquemática del editor de Resolve Policy Schematic of the Resolve Policy editor
Capacidad 5 · Túneles DNSPillar 5 · DNS tunnels

Detección de túneles DNSIdentificación de exfiltración de datos a través de consultas DNS DNS tunnel detectionIdentifying data exfiltration through DNS queries

Los atacantes pueden usar el DNS para sacar datos de una red: empaquetan información en subdominios largos, cifrados y con alta entropía, dirigidos a un dominio que ellos controlan. La mayoría de filtros DNS no inspeccionan este tipo de tráfico. Frontier analiza cada consulta en tiempo real con cuatro heurísticas independientes y emite alertas operativas cuando detecta un patrón compatible con un túnel. Esta capacidad suele requerir una solución de detección y respuesta de red (NDR) contratada aparte. Attackers can use DNS to exfiltrate data from a network: they pack information into long, encrypted, high-entropy subdomains directed at a domain they control. Most DNS filters do not inspect this type of traffic. Frontier analyses each query in real time with four independent heuristics and issues operational alerts when it detects a pattern consistent with a tunnel. This capability would typically require a separately purchased network detection and response (NDR) solution.

  • Cuatro heurísticas combinadasFour combined heuristicslongitud anómala de subdominios, entropía Shannon elevada, ratio de consultas TXT/NULL anormal y número de subdominios únicos por dominio padre.anomalous subdomain length, high Shannon entropy, abnormal TXT/NULL query ratio and unique subdomain count per parent domain.
  • Puntuación y severidadScore and severitycada consulta sospechosa recibe una puntuación de 0 a 10. A partir de 5,0 se clasifica como severidad media. En el panel aparecen todas con el motivo desglosado.every suspicious query receives a score from 0 to 10. From 5.0 it is classified as medium severity. The dashboard shows them all with the reason broken down.
  • Alertas al SIEMSIEM alertstodos los eventos se indexan en Elasticsearch y se exportan al SIEM del cliente. El equipo de seguridad recibe el evento en segundos.all events are indexed in Elasticsearch and exported to the customer's SIEM. The security team receives the event in seconds.
  • Bloqueo en un clicOne-click blockdesde el panel, el operador convierte la alerta en una entrada en la lista de bloqueo general o en una política de resolución específica para ese cliente.from the dashboard, the operator converts the alert into a general blocklist entry or a resolution policy specific to that customer.
Cómo lo usa un SOC How a SOC uses it
Alerta · score 7.8 Alert · score 7.8
qname aHR0cHM6Ly9icmVhY2hlZC5kYXRhLmV4ZmlsLnRlc3Q...4f.akadns.net parent: akadns.net · client: 2.139.182.254 parent: akadns.net · client: 2.139.182.254 7.8
heur 1 Longitud subdominioSubdomain length 142 chars · umbral 90 142 chars · threshold 90 +2.5
heur 2 Entropía ShannonShannon entropy 3.78 · típico 1.6–2.4 3.78 · typical 1.6–2.4 +3.2
heur 3 Cardinalidad por padreCardinality per parent 95 subdominios únicos en 60s 95 unique subdomains in 60s +2.1
medium Alerta exportada a SIEM · pendiente bloqueo Alert exported to SIEM · pending block
Caso real anonimizado de un detector activo Anonymized real case from an active detector
Capacidades adicionalesAdditional capabilities

Incluidas en todos los planes Included in all plans

Red anycast europeaEuropean anycast network

Sobre la red global de Transparent Edge. IP anycast por perfil, nodos cerca del operador y dimensionado por demanda. Latencia comparable a los grandes resolutores globales, con jurisdicción europea. Built on Transparent Edge's global network. Per-profile anycast IPs, nodes close to your operator, capacity scaled to demand. Latency comparable to the largest global resolvers, with European jurisdiction.

10 categorías RPZ evitando superposiciones10 RPZ categories with de-overlap

10 categorías de filtrado sin solapamiento. Malware, phishing, C2, criptominería, adulto, violencia, drogas, juego, publicidad y rastreadores. Cuando una categoría específica solapa con una genérica, gana la específica. Cada perfil bloquea exactamente lo que su nombre indica. 10 filtering categories with no overlap. Malware, phishing, C2, cryptomining, adult, violence, drugs, gambling, ads and trackers. When a specific category overlaps a generic one, the specific category wins. Each profile blocks exactly what its name says.

Feeds privados y gubernamentalesPrivate and government feeds

Aporta tus propios indicadores de compromiso o suscríbete a las fuentes de CCN-CERT e INCIBE-CERT. Se aplican como categorías adicionales solo a tu tráfico, sin afectar al servicio público. Bring your own IOCs or subscribe to CCN-CERT and INCIBE-CERT feeds. Applied as additional categories on your traffic only, without affecting the public service.

DNSSEC + DoH + DoTDNSSEC + DoH + DoT

Validación de integridad y cifrado de transporte en los tres protocolos. IPv4 e IPv6 en todos los perfiles. Sin compromisos de seguridad ni operativos. Integrity validation and transport encryption across all three protocols. IPv4 and IPv6 on every profile. No security or operational compromises.

Resiliencia en el bordeEdge resilience

Cada nodo sigue resolviendo y aplicando la última política conocida si pierde contacto con el plano de control. No se descarta ninguna consulta durante una caída. Each node keeps resolving and applying the last known policy even if the control plane goes down. No queries are dropped during an outage.

Despliegue en infraestructura propia (opcional)Optional self-hosted deployment

Mismo motor en gestionado, híbrido o ejecutado íntegramente en tu infraestructura. Migra entre modos sin cambiar de producto. Same engine on managed, hybrid or fully self-hosted. Move between modes without switching product.

¿Quieres probar estas capacidades en tu tráfico? Ready to see these capabilities on your own traffic?

Hagamos un piloto controlado: medimos cobertura de amenazas, latencia y bloqueos generados, sin coste durante el periodo de prueba. Let's run a controlled pilot: we measure threat coverage, latency and blocks at no cost during the trial period.