CiberinteligenciaFuentes abiertasOSINTWHOIS

¿Qué es la información WHOIS y cuál es su futuro con el nuevo RGPD?

ciberseguridad cádiz

Nuevo post en el blog de FCD-intelligence. En esta ocasión, toca hablar de toda la información asociada a un dominio, y al registro de éste: la información WHOIS. Ampliamente utilizada, y muy fructífera, para investigadores y FFCCSS, en cuanto a la identificación del titular de un dominio, y también por spammers y ciberdelincuentes, aunque esto parece que llega a su fin tras el nuevo RGPD (Reglamento General de Protección de Datos), pero vayamos por partes…

¿Qué es la información WHOIS?

Cómo hemos comentado, es la información proporcionada a la hora de registrar un dominio y puesta a disposición pública. En sí es un sistema gestionado por la ICANN (Internet Corporation for Assigned Names and Numbers), creado allá por los años 80 (el ICANN obliga a los registradores a recopilar dicha información), cuyo fin es saber quién es el responsable o propietario de un dominio. A través de este sistema o protocolo, podemos encontrar los datos personales y de contacto proporcionados a la hora de registrar un dominio.

 


El nuevo RGPD complica las investigaciones de dominios llevadas a cabo por investigadores y FFCCSS.


 

¿Por qué es interesante la información WHOIS?

Esta información ha sido ampliamente utilizada por investigadores y Fuerzas y Cuerpos de Seguridad, dado que la información está a disposición del público, y permite comprobar la información asociada a un dominio (datos de filiación, direcciones físicas, números de teléfono, direcciones de correo…) cuando se sospecha de una actividad fraudulenta, aunque se estima que gran parte de la información proporcionada a la hora de registrar un dominio suele estar falseada. Además, la mayoría de proveedores de registro de dominios ya ofrecen la posibilidad de privatizar esta información (WHOIS privado), con su conllevado incremento en la tarifa.

Por el contrario, también es utilizada por los spammers y ciberdelincuentes para sus diversas prácticas (suplantaciones de identidad, envío de spam, fraudes…), ya que obtienen de forma lícita y sencilla información personal de organismos y particulares. Es decir, es una espada de doble filo.

 

¿Qué problema existe entre el RGPD y la información WHOIS?

Por principios de privacidad, el RGPD prohíbe el WHOIS, ya que la información personal presente en el sistema WHOIS no ha sido recabada dando el consentimiento expreso del registrador, responsable o propietario del dominio, algo que es de obligado cumplimiento en el RGPD.

¿Quiénes serán los principales perjudicados? Por un lado, se está dando una mayor protección a los datos personales de los usuarios, pero por otro los investigadores y FFCCSS lo tendrán más complicado a la hora de poder identificar a los responsables de un dominio malicioso.

 

¿Qué futuro le espera al WHOIS?

Aún no está claro cuál será su futuro a corto-medio plazo. Se están barajando alternativas como crear un registro  o directorio cerrado, a modo de base de datos.

Actualmente, algunos registradores ya están retirando los datos de contacto de sus clientes, como es el caso de GoDaddy.

Otros como Dinahosting, por su parte, están ocultando dicha información por defecto, pero ponen a disposición de sus clientes la posibilidad de realizar un cambio de configuración y poder seleccionar si alguno de dichos datos personales prefieren que se muestre. A su vez, a los nuevos clientes se les consulta durante el proceso de alta.

 

¿Qué alternativas existen?

Aun no pudiendo consultar información personal de los responsables de un dominio, las herramientas de consulta de información WHOIS siguen ofreciendo información muy interesante.

Vamos a hablar de dos de las principales herramientas, DomainTools y MxToolBox, y alguna más.

 

 

ciberseguridad cádiz

Es una de las herramientas más potentes y de las más utilizadas y, especialmente, para consulta de información WHOIS y otras opciones relacionadas con ésta. (Para la consulta de dominios con ccTLDs (Country Code), nos remitirá al NIC (Network Information Center) del país concreto. Nic.es o dominios.es, en el caso de España).

Podemos emplear varias funcionalidades de manera gratuita, y sin necesidad de un registro previo. Simplemente introducimos el dominio a investigador en la barra de búsqueda y pasamos el correspondiente captcha.

ciberseguridad cádiz

Si la información no está protegida con un WHOIS privado, podremos ver: la organización registrante del dominio, país, registrador del dominio, fechas (creación, expiración o caducidad, y actualización), DNS que emplea, dirección IP, localización de la IP, ASN… Y otros datos adicionales, que en el caso de DomainTools solo pueden ser consultados con una cuenta de cliente (previo pago): históricos de cambios de IP, registrador y hosting, reporte completo de dominio, resoluciones inversas de IP, MX, NS (conocer todos los dominios asociados a una IP, dirección de correo…), monitorización de cambios, etc.

(Si se encuentra tras un CDN, como en el caso de CloudFlare, podemos intentar descubrir la dirección IP real a través de alternativas como: CrimeFlare, o a través de ping a subdominios de éste).

ciberseguridad cádiz

Asociada a la información de un dominio, DomainTools cuenta con otras funcionalidades muy interesantes, solo disponibles con cuenta previa, que ya serán objeto de otro post, aunque las resumimos aquí:

  • Domain Search: introduciendo un dominio, nos facilita un listado organizado por continentes, en que se indica el estado de dicho dominio (registrado, disponible, en venta…) con numerosas extensiones.
  • DomainTools Monitors: permite monitorizar los cambios de una de IP, dominio, Name Server, registrante…
  • Domain Typo Finder: introduciendo un dominio, ofrece un listado de variaciones tipográficas de éste (aplica su propias reglas para generar variaciones: omisión de caracteres, caracteres similares, dobles, guiones…), con los principales TLDs, así como su estado.
  • Domain Marketplace (gratuita): introduciendo un dominio, ofrece dicho dominio o similires con otras extensiones, el estado en el que se encuentra, y el precio del mismo si se haya disponible para su compra. Dispone de un filtro donde se puede seleccionar el rango de precio, estado de compra, longitud de caracteres y extensiones.

 

ciberseguridad cádiz

Es otra de las herramientas TOP en cuanto a dominios.

A parte de ofrecer la mayoría de opciones que nos permite DomainTools, MxToolbox también nos permite comprobar si un dominio o IP se haya en alguna lista de spam (blacklisting), analizar la cabecera de un correo electrónico, comprobar el cumplimiento de políticas de un dominio (SPF, DKIM, DMARC), reporte de errores, y un sinfín más de funcionalidades.

 

Destacar este recurso, en cuanto a la investigación de una dirección IP. Ya que nos proporciona las coordenadas de latitud y longitud de una dirección IP, así como el ISP (proveedor de conexión a Internet) asociado a dicha IP.

 

Por ahora, hemos visto herramientas que nos proporcionan gran de cantidad de información asociada a un dominio, pero no ha sido posible obtener datos personales asociados a estos. ¿Qué podemos hacer?

Pues acceder a los históricos de información de dominios, que nos darán bastante certeza sobre a quién pertenecía un dominio, como el comentado de DomainTools, aunque no es una opción gratuita.

 


Emplear recursos que nos permitan acceder a históricos de información WHOIS pueden resultarnos de gran ayuda.


 

Otras alternativas son:

ciberseguridad cádiz

 

ciberseguridad cádiz

 

Y hasta aquí el post de esta semana. Si necesitáis llevar a cabo un informe de ciberinteligencia o realizar una ciberinvestigación, FCD-intelligence es tu opción, ¡contacta ya!.

Empresa de ciberseguridad en Cádiz

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *