Consulta WHOIS
¿Qué es Consulta WHOIS?
Consulta WHOISConsulta a la base WHOIS o RDAP que devuelve los datos de registro de un dominio o IP: registrador, registrante, fechas y servidores de nombres.
WHOIS es el protocolo heredado que publica metadatos de registro de dominios e IPs: registrante, registrador, fechas de creacion y expiracion, banderas de estado y servidores de nombres autoritativos. Los investigadores lo usan para conocer la antiguedad de un dominio (los recien creados son de mayor riesgo), correlacionar infraestructura entre registrantes y encontrar pivotes como correos compartidos. WHOIS esta siendo reemplazado por RDAP (RFC 7480-7484), que entrega JSON estructurado, admite autenticacion y se integra con la redaccion compatible con GDPR. Como muchos registros ocultan datos personales, los analistas combinan WHOIS o RDAP con DNS pasivo, transparencia de certificados y archivos historicos.
● Ejemplos
- 01
Descubrir que un dominio de phishing se registro 12 horas antes de usarse en una campana.
- 02
Pivotar desde el correo del registrante a docenas de dominios similares creados la misma semana.
● Preguntas frecuentes
¿Qué es Consulta WHOIS?
Consulta a la base WHOIS o RDAP que devuelve los datos de registro de un dominio o IP: registrador, registrante, fechas y servidores de nombres. Pertenece a la categoría de Defensa y operaciones en ciberseguridad.
¿Qué significa Consulta WHOIS?
Consulta a la base WHOIS o RDAP que devuelve los datos de registro de un dominio o IP: registrador, registrante, fechas y servidores de nombres.
¿Cómo funciona Consulta WHOIS?
WHOIS es el protocolo heredado que publica metadatos de registro de dominios e IPs: registrante, registrador, fechas de creacion y expiracion, banderas de estado y servidores de nombres autoritativos. Los investigadores lo usan para conocer la antiguedad de un dominio (los recien creados son de mayor riesgo), correlacionar infraestructura entre registrantes y encontrar pivotes como correos compartidos. WHOIS esta siendo reemplazado por RDAP (RFC 7480-7484), que entrega JSON estructurado, admite autenticacion y se integra con la redaccion compatible con GDPR. Como muchos registros ocultan datos personales, los analistas combinan WHOIS o RDAP con DNS pasivo, transparencia de certificados y archivos historicos.
¿Cómo defenderse de Consulta WHOIS?
Las defensas contra Consulta WHOIS combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Consulta WHOIS?
Nombres alternativos comunes: WHOIS, Consulta RDAP.
● Términos relacionados
- defense-ops№ 792
DNS pasivo
Base de datos historica de resoluciones DNS observadas que permite consultar a que IPs apunto un dominio y que dominios compartieron una IP a lo largo del tiempo.
- defense-ops№ 159
Transparencia de certificados
Ecosistema de registros publicos append-only de certificados TLS, definido en RFC 6962 y 9162, que permite auditar que certificados existen para cualquier dominio.
- attacks№ 349
Secuestro de dominio
Toma de control no autorizada de un nombre de dominio registrado a nivel de registrador o registro, lo que permite al atacante redirigir tráfico, correo y confianza a su infraestructura.
- attacks№ 269
Ciberocupación (cybersquatting)
Registrar nombres de dominio que contienen marcas o identidades reconocidas sin autorización, normalmente para extraer dinero del titular o para engañar a los usuarios.
- defense-ops№ 266
Inteligencia de Amenazas (CTI)
Conocimiento basado en evidencia sobre los adversarios, sus motivaciones y métodos, utilizado para guiar las decisiones defensivas y priorizar controles.