El "problema del dominio fantasma" es un caso límite del DNS por el que un dominio retirado por su registro puede seguir pareciendo activo para sistemas de monitorización durante días. El mecanismo se activa cuando un registro, como DENIC en .de, elimina un dominio de la zona por falta de verificación del titular, EURid en .eu o AFNIC en .fr aplican variantes similares, y los gTLD de ICANN obligan al registrador a suspender o poner en clientHold los dominios con datos no verificados tras más de 15 días. En todos los casos, la zona padre retira la delegación, pero los servidores autoritativos del dominio siguen respondiendo con normalidad.
La raíz del fallo está en la caché del resolutor recursivo. La primera consulta almacena el conjunto NS del ápice del dominio hijo, que, según las reglas de jerarquía de la RFC 2181, reemplaza la copia de la zona padre. Cuando caduca el registro A, el resolutor reutiliza ese NS del ápice y consulta directamente a los servidores autoritativos, que siguen respondiendo positivamente. El dominio queda atrapado en un bucle cuyo horizonte temporal depende de la caché: BIND puede mantener el estado hasta una semana con su max-cache-ttl por defecto, Unbound hasta un día, y PowerDNS Recursor otro día. La frecuencia de las comprobaciones de uptime no rompe el bucle, solo aporta más oportunidades para recargar la caché.
El problema está documentado en el artículo académico "Ghost Domain Names" (NDSS 2012) y en su seguimiento "Ghost Domain Reloaded" (2023), además de en el borrador activo del IETF "Delegation Revalidation by DNS Resolvers". Servicios de monitorización como Pingdom, UptimeRobot, StatusCake, Site24x7, Datadog Synthetics y Better Stack no documentan defensas públicas contra este escenario. El autor describe los cambios que está aplicando en su propio servicio para mitigarlo.
