ONE PLATFORM TO RULE IT

 
← Regresar a IT Topics

¿Qué es WHOIS y cómo aplicarlo en la gestión IT?

Secciones

La privacidad online se marchó de la red sin dejar siquiera una nota. Nombres de dominio, direcciones IP y servidores son la infraestructura invisible de Internet, pero tras ellos hay personas, organizaciones y datos que podemos conocer con herramientas como la consulta WHOIS. Esta puede revelar información clave para la seguridad IT, pero también exponer datos sensibles. Por eso, hoy conoceremos todo lo necesario sobre WHOIS: qué es, aplicaciones prácticas y los desafíos que plantea en la era del RGPD.
Como veremos, WHOIS ya no es lo que era a la hora de proporcionar datos (y menos mal, porque por algunas brechas de privacidad podían pasar camiones), pero sigue teniendo más valor de lo que parece.

Qué es WHOIS

La comprobación WHOIS es una herramienta que permite acceder a la información pública que existe sobre nombres de dominio y direcciones IP, incluyendo datos de registro de dicho dominio, quién es el contacto técnico y cuáles son los servidores asociados, por ejemplo.
Proporcionar datos sobre quién eres cuando registras un dominio es obligatorio por parte del ICANN (Internet Corporation for Assigned Names and Numbers) a nivel internacional, o de organismos como Red.es en España, que se encargan de gestionar la concesión y propiedad de esos dominios. Los registradores deben cumplir y recopilar estos datos, pero no solo eso. Para evitar abusos e incrementar la transparencia, se determinó que parte de dichos datos personales, además de otros técnicos, fueran públicos y se pudieran obtener mediante esa consulta WHOIS.
Lo que, paradójicamente, produjo abusos de otro tipo hacia quienes registraban dominios.
Eran tiempos más inocentes y teléfonos, nombres y direcciones personales estaban a un solo WHOIS de distancia. Eso provocó enormes problemas de privacida, con lo que, como veremos, los datos que podemos obtener hoy día con una consulta de este tipo son mucho más limitados… pero todavía útiles.

Tipos de búsquedas WHOIS

Para hacer una consulta de este tipo tenemos varios métodos y herramientas (que explicaré más a fondo un poco más adelante), y una de las formas más sencillas es hacerlo a través de uno de los muchos servicios web que lo permiten. Uno de mis favoritos es el de ViewDNS que nos permite:

  • Búsqueda por dominio (como ejemplo.com)
  • Búsqueda por IP.

Así, introducimos ese dominio o IP en el formulario de búsqueda y nos devolverá la información que proporciona WHOIS, como por ejemplo, el dueño del dominio, su dirección de contacto, desde cuando está activo, a qué país pertenece, dirección postal de quien lo ha registrado, etc.
Otra de las búsquedas relacionadas con WHOIS es hacerlo «al revés». Es decir, hay herramientas de WHOIS inverso, como la proporcionada de nuevo por la web ViewDNS que he enlazado. Estas permiten introducir un nombre o una dirección de correo y encontrar los nombres de dominio asociados con ellos.

Qué información proporciona una consulta WHOIS

Cuando realizamos WHOIS sobre un dominio, estos son los datos que obtenemos:

  • Identidad del registrador: con el nombre y URL de dicho registrador (ej: Registrar: GoDaddy.com LLC), así como un posible enlace a su política de privacidad y contacto de soporte, direcciones de email, postales, ID del registrador…
  • Fechas de registro, expiración y última actualización del dominio: (ej: Creation Date: 2022-03-15 – Expiration Date: 2024-03-25).
  • Contactos técnicos y administrativos: con la dirección de email de quien gestiona esos servidores o dominio (ejemplo: admin@midominio.com).
  • DNS y servidores asociados: como por ejemplo, ns1.cloudflare.com.
  • Otra información: Aquí depende un poco del servicio usado para la consulta, pero podemos ver la IP del dominio si no la sabíamos, por ejemplo.

Aplicaciones prácticas de WHOIS en IT y seguridad

Los datos anteriores pueden resultar muy útiles, tanto en gestión general de IT como, sobre todo, en ciberseguridad. Por ejemplo, nuestros investigadores OSINT (Open Source Intelligence) pueden usar ese WHOIS en caso de incidente para analizar dominios de correos de phishing o IPs implicadas en ataques y brechas.

  • Los datos del registrador permiten determinar quién gestiona el dominio en caso de migraciones, problemas técnicos o necesidad de validar la legitimidad del registrador (por ejemplo, evitando imitaciones como GoDaddyPro.net). También, en seguridad, podemos contactar con él para hacerle saber las actividades maliciosas que alberga, si es que hemos detectado ataques desde herramientas alojadas con ellos, y que tome medidas.
  • Las fechas de registro, expiración y actualización pueden servir para para automatizar alertas de renovaciones si los dominios son nuestros y no tenemos esa renovación automatizada en el registrador. O también para investigar dominios sospechosos (si el dominio se creó hace unos días, pero parece de una organización que dice que lleva mucho tiempo cuando visitas la página, o simula una web de marca famosa, podría ser phishing o una página falsa).
  • Los contactos técnicos y administrativos pueden servir para notificar brechas de seguridad a la organización, si es que nos están mandando spam o malware desde el dominio, que quizá tiene vulnerabilidades en su configuración DMARC de correo, por ejemplo.
  • Los DNS y servidores asociados pueden resultar útiles durante la monitorizaciones de seguridad para verificar cambios no autorizados de DNS en caso de sean nuestros, por ejemplo (como en un ataque DNS hijacking), o quizá pertenezcan a empresas como Cloudflare o AWS, que podamos contactar también, además de al registrador de dominio, para hacerles saber que alojan actividades maliciosas que deberían atajar.

Retos actuales del sistema WHOIS

Todo esto está genial para nuestro día a día en IT o ciberseguridad, pero como siempre en vida, lo importante suele venir con «peros» de la mano. Porque si hemos hecho últimamente alguna consulta WHOIS, habremos comprobado que los tiempos han cambiado como decía la canción.
Hoy, la información que proporciona WHOIS, en la enorme mayoría de casos, es muy limitada y no corresponde, realmente, a la persona u organización que ha registrado ese dominio, sino al agente registrador (como GoDaddy o similar).
Eso se debe al cambio que ha experimentado debido a la protección de privacidad que comenté al principio.
Quién lo diría, pero en Internet hay gente que se dejó la cordura en algún lado y no volvió a por ella, así como bots que van haciendo scraping masivo de datos personales que encuentren. Y WHOIS era el objetivo perfecto para unos y otros.
Así, resultaba una gran fuente de emails que esos bots acumulaban mediante consultas masivas y luego se revendían o usaban para enviar spam. O bien, algún fan iracundo de Star Trek miraba quién había registrado esa web que opina que Lo mejor de ambos mundos es el mejor episodio de TNG, cuando en realidad es El Enterprise del ayer. Así que podía ver tu dirección o incluso tu teléfono, para hacerte ver en persona (o con llamadas de madrugada respirando como Darth Vader), lo equivocado que estás.
Ambos están equivocados, porque el mejor episodio es La luz interior, pero la cuestión es que antes estabas demasiado expuesto cuando registrabas un dominio.
Por eso, prácticamente todos los registradores ofrecen la opción de hacer esos datos privados y poner los suyos, de modo que al hacer WHOIS ves información de Namecheap o registradores similares, pero ya no del usuario final.

  • La inexactitud de los datos proporcionados. Un registro obliga a poner datos reales, pero pocas veces viene alguien del ICANN o de IANA a tocar tu timbre y comprobar si es verdad, de modo que es posible que los datos que aparezcan no sean ciertos. Eso ocurre, especialmente, con quien usa los dominios para actividades maliciosas o, de hecho, era uno de los métodos de los pioneros en construir páginas cuando Internet era el Salvaje Oeste y te dabas cuenta de lo expuesto que estabas frente a un WHOIS.
  • El RGPD y la disponibilidad de los datos. Legislaciones de protección de privacidad fueron pioneras en que no se mostrara información sensible, como teléfonos o direcciones postales. De hecho, antes del RGPD, en países como España, Red.es tenía una política poco privada que hacía que, cuando registrabas un dominio .es, este no podía protegerse por parte del registrador, mostrando datos sensibles cuando buscabas. Eso terminó con el Reglamento de Protección de Datos.

Herramientas WHOIS recomendadas

Como he comentado, hay muchas herramientas para realizar consultas WHOIS, así que examinemos algunas.
Cualquier gestor de IT con un mínimo de amor propio usará la terminal de Linux y, en la mayoría de distros, vendrá ya instalado el comando WHOIS (o se puede tener en un instante desde el gestor de paquetes si no es así), con lo que basta ejecutar:

whois dominio.com

Y nos aparecerá la información sin salir de la terminal.
Si usamos herramientas web, podemos irnos por ejemplo a la fuente de todo y consultar directamente en ICANN Lookup, usar páginas como Who.is o cualquier servicio similar como el ya nombrado ViewDNS, que están apenas a una búsqueda de Google de distancia.
Y si utilizas Windows, te recomendamos Pandora MINI, una herramienta 100% gratis y sin compromiso, ni registros, ni nada, que te facilita la vida a la hora de gestionar tu red. Incluye la realización de consultas WHOIS, por supuesto, pero no solo eso, porque incorpora calculadora IP, traceroute, MIB browser, escáner de puertos y mucho más. La puedes descargar aquí y no hay letra pequeña por ningún lado, al contrario que con otras opciones.

RDAP, la evolución de WHOIS

Si, por ejemplo, utilizamos la página Who.is, veremos que nos da la información del dominio que devuelve una consulta de este tipo, pero también ofrece un curioso botón al lado que pone RDAP (Registration Data Access Protocol).
Este protocolo es el «sucesor» moderno y mejorado de WHOIS, diseñado para superar sus limitaciones técnicas y adaptarse a los estándares actuales de privacidad y seguridad.
RDAP es un protocolo basado en HTTP/HTTPS y RESTful API que proporciona acceso programático y estandarizado a datos de registro de dominios, IPs y ASN (Autonomous System Numbers). Su implementación tiene como objetivo reemplazar a WHOIS, que carece de estructura coherente y seguridad básica.
He aquí una pequeña tabla de diferencias:

Característica

WHOIS

RDAP

Formato de datos

Texto plano no estructurado

JSON estructurado y normalizado

Seguridad

Sin cifrado (puerto 43/TCP)

HTTPS (cifrado TLS)

Privacidad

Exposición pública de datos (en muchos casos ya no tras el RGPD o la protección por registradores)

Control granular de acceso (ej: GDPR)

Internacionalización

Soporte limitado para caracteres

Soporte completo para Unicode (ej: 中文)

Búsquedas

Básicas (dominio/IP)

Avanzadas (filtros por tipo de contacto)

Aunque lo interesante es esa posibilidad de hacerlo programáticamente, también podemos hacer búsquedas RDAP directas con servicios web como RDAP.org.
Para los amantes de la terminal, hay clientes para la línea de comandos, como OpenRDAP, que podemos instalar, o bien usar servicios web desde dicha terminal con comandos como:

curl -H «Accept: application/rdap+json»
https://rdap.verisign.com/com/v1/domain/ejemplo.com

Cambiando ejemplo.com por el dominio, claro, lo que devolverá datos de dicho dominio en formato estructurado.

Cómo complementa Pandora FMS el análisis WHOIS

Como hemos visto, incluso cuando son limitados, los datos de una consulta WHOIS aún pueden resultar muy útiles, especialmente, cuando se integran con otros en casos de incidentes y brechas de seguridad, por ejemplo.
Eso es lo que permite Pandora FMS, que hace la vida más fácil obteniendo datos WHOIS y agregándolos y correlándolos con otros. Así, Pandora nos permite:

  • La integración de eventos relacionados con dominios/IPs en Pandora SIEM.
  • El enriquecimiento de logs y alertas con datos de WHOIS para no tener que estar con la terminal o visitando webs para obtenerlos.
  • Su uso en la gestión de incidentes y correlación con otras fuentes.

Como vemos, los datos WHOIS, a pesar de sus limitaciones actuales, siguen siendo interesantes y útiles, especialmente cuando se integran y correlacionan con otros, como hace Pandora.
También, por razones obvias y porque se sale del ámbito del artículo, he omitido técnicas OSINT más avanzadas que, usando WHOIS o utilizándolo como concepto base, pueden superar algunas de las restricciones actuales de privacidad, obteniendo datos interesantes sin necesidad de pisar la delgada línea roja que nos separa de lo que no está permitido hacer.
Si estás leyendo esto como responsable IT o de seguridad, seguramente conoces, o te interesará saber, que mediante servicios de búsqueda de WHOIS históricos, por ejemplo, se pueden revelar datos scrapeados y guardados antes de que la cortina de la privacidad cayera sobre ellos. O que, para ciertos dominios, especialmente los importantes, puedes dar con alguna veta de oro usando servicios como Archive.org y un poco de magia negra combinando ciertos parámetros de búsqueda.
La cuestión es que, incluso con el ascenso de RDAP y el reto de la privacidad, WHOIS sigue siendo una fuente muy interesante de datos, que todo responsable IT o de seguridad debe usar y tener en cuenta.

← Regresar a IT Topics

¿Puede una sola herramienta tener una visibilidad global?

¡Descúbrelo!