WHOIS de un dominio: a quién pertenece una web
WHOIS de un dominio: titular, RDAP, reputación y scoring de riesgo
Haz el WHOIS de un dominio y ve más allá: en segundos sabrás quién es su titular (RDAP y, si el WHOIS está protegido por el RGPD, la identidad legal publicada en la propia web), su reputación (VirusTotal, blacklists y base de 2,2M dominios maliciosos), certificados TLS, configuración DNS y de correo, subdominios y un scoring de riesgo de 4 dimensiones. Más de 20 fuentes correlacionadas, resumen ejecutivo accionable y PDF firmado con cadena de custodia.
ejemplo.com · Sin http:// ni www · Ideal para due diligence, threat intel, verificación de proveedores y análisis de phishing👁 Ver ejemplo de informe completo ▾
Ejemplo real de análisis del dominio google.com: identidad del titular y WHOIS/RDAP, scoring de riesgo de 4 dimensiones con resumen ejecutivo accionable, DNS (SPF, DMARC, CAA), certificado TLS, VirusTotal (0/94), Shodan, blacklists DNS, subdominios e infraestructura tecnológica (WhatWeb + WAF + AXFR).
¿Qué es esta herramienta de análisis de dominios?
El análisis de dominios de IntelMind es un motor OSINT que va mucho más allá de una simple consulta WHOIS. Combina más de 20 fuentes de datos en paralelo para construir la identidad del titular y una imagen técnica, reputacional e infraestructural completa de cualquier dominio en segundos.
Desde la identidad legal del titular (aviso legal, Impressum, mentions légales) y los datos de WHOIS/RDAP, hasta la reputación en VirusTotal, blacklists y una base de 2,2 millones de dominios maliciosos, los certificados TLS, la configuración DNS y de correo, subdominios y stack tecnológico. Todo correlacionado en un scoring de riesgo de 4 dimensiones con resumen ejecutivo accionable e informe profesional en dos partes.
Qué obtienes con cada consulta
- DNS completo: NS, MX, A, AAAA, TXT, SPF, DMARC, CAA. Detecta configuraciones ausentes o incorrectas que exponen el dominio.
- SSL/TLS: emisor, validez, días restantes, wildcard, autofirmado. Alerta sobre certificados caducados o sospechosos.
- HTTP + headers de seguridad: status, servidor, CDN detectado, HSTS, CSP, X-Frame-Options y otros 6 headers clave.
- Registro RDAP: registrar, antigüedad, expiración, privacidad WHOIS y estados del dominio con fecha exacta.
- Emails indexados (Hunter.io): emails confirmados y emails inferidos por patrón, con confianza y departamento. Separados claramente.
- VirusTotal + Shodan: detecciones de malware, puertos abiertos, CVEs, organización y nivel de exposición técnica.
- Blacklists DNS: Spamhaus DBL, SURBL, URIBL. Estado limpio o en lista con contexto calibrado por tipo de señal.
- Subdominios: crt.sh (certificados SSL públicos) + subfinder (enumeración pasiva). Superficie de ataque real del dominio.
- WhatWeb — fingerprinting: CMS (WordPress, Drupal…), servidor web + versión, PHP, frameworks JS, analytics, CDN detectado.
- WAF/CDN + Zone Transfer: detección de WAF activo (Cloudflare, Wordfence…) y prueba de zone transfer AXFR — hallazgo crítico si está abierto.
Guía completa del análisis OSINT de dominios
El análisis OSINT de un dominio va mucho más allá de una consulta WHOIS o un ping. Implica correlacionar datos de infraestructura DNS, certificados SSL, reputación en motores antimalware, exposición de servicios y fingerprinting tecnológico para construir una imagen precisa del estado de seguridad y legitimidad de cualquier dominio de internet. Esta guía explica cada dimensión del análisis que realiza IntelMind.
Infraestructura DNS: NS, MX, SPF, DMARC y CAA
Los registros DNS son la columna vertebral de un dominio. IntelMind consulta los registros NS (servidores de nombres), MX (correo), A/AAAA (resolución IP), TXT (SPF, DMARC, verificaciones) y CAA (autoridades de certificación permitidas). Un dominio sin SPF (RFC 7208) ni DMARC (RFC 7489) es vulnerable a suplantación de correo electrónico. La presencia de registros CAA indica que el propietario del dominio limita qué autoridades pueden emitir certificados SSL, reduciendo el riesgo de emisión fraudulenta.
SSL/TLS y cadena de certificados
IntelMind verifica el certificado SSL del dominio: emisor, validez, días restantes, si es wildcard y si está autofirmado. Un certificado caducado o autofirmado dispara alertas inmediatas en el scoring técnico. Los certificados de Let’s Encrypt son legítimos pero su gratuidad los convierte en la opción por defecto de sitios de phishing, por lo que el sistema los pondera junto con la antigüedad del dominio y la reputación en VirusTotal para evitar falsos positivos.
Reputación: VirusTotal, blacklists y Shodan
La dimensión de reputación combina tres fuentes complementarias. VirusTotal analiza el dominio con más de 70 motores antivirus y reporta detecciones maliciosas, sospechosas y categorías. Las blacklists DNS (Spamhaus DBL, SURBL, URIBL) detectan dominios usados en spam o distribución de malware. Shodan expone los puertos abiertos, servicios visibles y CVEs conocidas en la infraestructura del dominio. La correlación entre estas tres fuentes es lo que permite distinguir un falso positivo aislado de una amenaza real confirmada.
Subdominios y superficie de ataque
IntelMind enumera subdominios a través de dos fuentes pasivas: crt.sh (registros de Certificate Transparency) y subfinder (enumeración pasiva multifuente). La superficie de ataque de un dominio crece con cada subdominio: paneles de administración olvidados, entornos de staging expuestos, APIs sin autenticación o servidores legacy sin parchear. Un dominio con 200 subdominios tiene una superficie de ataque radicalmente distinta a uno con 5, y el scoring de exposición lo refleja proporcionalmente.
Fingerprinting tecnológico con WhatWeb y detección de WAF
WhatWeb identifica el stack tecnológico completo del dominio sin enviar tráfico invasivo: CMS (WordPress, Drupal, Shopify), servidor web y versión, versión de PHP si está expuesta, frameworks JavaScript, herramientas de analytics y CDN. La detección de WAF (Web Application Firewall) mediante wafw00f determina si el dominio está protegido por Cloudflare, AWS WAF, Imperva u otros. Un dominio sin WAF y con versiones de software expuestas recibe penalización en las dimensiones técnica y de exposición simultáneamente.
Zone Transfer (AXFR) y exposición crítica
El Zone Transfer (AXFR) es una función DNS diseñada para replicar zonas entre servidores autoritativos. Si un servidor DNS permite AXFR sin restricciones, cualquier atacante puede obtener el mapa completo de la infraestructura interna: subdominios ocultos, direcciones IP internas, servidores de correo y registros de servicio. IntelMind prueba automáticamente cada nameserver del dominio con dnsrecon. Un AXFR abierto es un hallazgo de seguridad crítico según OWASP y se refleja como tal en el scoring.
Scoring de riesgo: técnico, reputación, exposición y riesgo final
El scoring de riesgo de IntelMind es homogéneo: cuatro dimensiones de 0 a 100 donde 0 significa ausencia de riesgo. Técnico evalúa la configuración DNS, los certificados y el estado de AXFR. Reputación integra VirusTotal, blacklists DNS y la base de dominios maliciosos — pesa más porque una detección maliciosa confirmada invalida cualquier configuración técnica correcta. Exposición mide la superficie de ataque: subdominios, puertos y servicios visibles. El riesgo final es la combinación ponderada de las tres, con nivel BAJO, MEDIO, ELEVADO o ALTO y un resumen ejecutivo con la decisión recomendada: confiar, verificar, tratar con precaución o bloquear.
Casos de uso profesionales
El análisis de dominios de IntelMind cubre múltiples perfiles profesionales. En due diligence corporativa, permite verificar la infraestructura digital de un proveedor o partner antes de firmar un contrato. En equipos SOC y CSIRT, complementa el triage de dominios observados en logs o alertas SIEM con contexto reputacional y técnico inmediato. En investigaciones de phishing, ayuda a determinar si un dominio sospechoso es reciente, tiene certificados legítimos, está en blacklists o comparte infraestructura con dominios maliciosos conocidos. En periodismo de investigación, el análisis de infraestructura revela conexiones entre dominios aparentemente independientes que comparten IP, registrar o nameservers.
WHOIS dominio: qué se sabe hoy y qué oculta el GDPR
WHOIS dominio es la consulta clásica para conocer al titular y los datos de contacto de un dominio. El RGPD cambió las reglas en 2018: hoy el WHOIS público de la mayoría de TLDs (.com, .es, .org…) anonimiza al registrante particular y deja visibles datos limitados (registrar, fechas de creación / expiración, nameservers, estado del dominio). IntelMind consulta el WHOIS vía RDAP (el protocolo moderno definido en RFC 7480-7484) para obtener la información estructurada disponible: registrar, fecha de registro, nameservers, edad del dominio y estado EPP. Esta información, aunque no incluye al titular, es suficiente para responder a las preguntas operativas: ¿es un dominio nuevo o consolidado?, ¿quién lo registró (empresa o persona vía proxy)?, ¿lleva años renovándose?, ¿ha cambiado de registrar recientemente? Esos cuatro datos resuelven el 80% de los casos de uso reales del WHOIS.
Verificar dominio: checklist rápido antes de confiar en una web
Verificar dominio antes de comprar, contratar o pagar a alguien que apareció online es una rutina cada vez más común. El checklist OSINT de IntelMind para verificar un dominio cubre seis señales en orden de importancia: (1) antigüedad — un dominio creado hace una semana es un red flag para un comercio supuestamente «establecido»; (2) certificado SSL — debe ser válido y no de Let’s Encrypt emitido el día anterior, salvo que tenga sentido; (3) autenticación de email — SPF, DMARC y DKIM bien configurados son señal de que el dominio se gestiona profesionalmente; (4) reputación en VirusTotal y blacklists — sin entradas activas; (5) stack tecnológico coherente — un supuesto banco no debería estar montado sobre un Shopify genérico; (6) subdominios visibles que sugieran actividad real (mail, www, app, api). Si fallan tres o más, el dominio no merece confianza por defecto.
Detectar un dominio fraudulento: patrones de phishing y typosquatting
Un dominio fraudulento moderno suele presentar varios de estos patrones: (a) typosquatting sobre una marca conocida (paypa1.com, amaz0n.es, micros0ft-login.com con caracteres similares); (b) homóglifos usando alfabetos no latinos (pаypal.com con la «a» cirílica); (c) edad muy reciente + certificado SSL recién emitido + WHOIS proxy; (d) DNS no autenticado (sin SPF/DMARC) que facilita suplantar emails desde el dominio; (e) presencia en blacklists de phishing como Spamhaus DBL o feeds de Anti-Phishing Working Group; y (f) infraestructura compartida con otros dominios maliciosos en la misma IP. IntelMind detecta automáticamente estos patrones, los pondera en el scoring de riesgo y devuelve un veredicto profesional en lenguaje claro para que un equipo antifraude o un SOC pueda actuar inmediatamente: bloquear, marcar para revisión manual o aceptar.
Preguntas frecuentes
¿Cómo saber quién es el dueño de un dominio?
IntelMind consulta el registro oficial vía RDAP (y WHOIS clásico por puerto 43 en ccTLD sin RDAP público como .br o .ar): registrador, fecha de creación, expiración, nameservers, DNSSEC y estado del dominio. Además extrae la identidad legal publicada en el propio sitio (aviso legal, Impressum, mentions légales): titular o razón social, responsables, registro mercantil e identificadores fiscales, y la coteja con la organización validada en el certificado TLS. Si el WHOIS está protegido con privacy, esa identidad declarada en la web suele resolver igualmente la titularidad.
¿Cómo comprobar si un dominio es de phishing o seguro?
Se cruza el dominio con VirusTotal, blacklists DNS (Spamhaus DBL, SURBL, URIBL) y una base propia de más de 2,2 millones de dominios maliciosos (phishing, malware, fraude). También detecta typosquatting y homóglifos sobre marcas conocidas, dominios recién registrados o re-registrados tras caducar y configuración de correo sin autenticar. El scoring de riesgo y el resumen ejecutivo indican si confiar, verificar o bloquear el dominio.
¿Qué es el scoring de riesgo y cómo se calcula?
Cuatro dimensiones de riesgo homogéneas de 0 a 100, donde 0 es ausencia de riesgo: técnico (configuración DNS, SSL, AXFR), reputación (VirusTotal, blacklists, base de dominios maliciosos), exposición (subdominios, puertos, superficie) y riesgo final ponderado. Cada dimensión muestra nivel BAJO, MEDIO, ELEVADO o ALTO. Un dominio limpio y bien configurado puntúa bajo; las señales de abuso lo elevan.
¿Qué datos de WHOIS/RDAP devuelve la herramienta?
Fecha de registro y antigüedad, registrador, fecha de expiración, nameservers, estado EPP, firma DNSSEC y contacto de abuso. Para ccTLD sin RDAP público (.br, .ar y otros) recurre a la consulta WHOIS por puerto 43, y detecta posibles re-registros cuando existen certificados anteriores al alta actual del dominio.
¿Analiza la configuración de correo y DNS del dominio?
Sí: registros NS, MX y A, autenticación de correo SPF, DKIM y DMARC con su política, registros CAA de autoridades de certificación, MTA-STS y BIMI, y una prueba de transferencia de zona (AXFR). Un dominio sin SPF ni DMARC es vulnerable a suplantación de correo y el scoring lo refleja.
¿Qué detecta en los certificados TLS/SSL?
Emisor, tipo de validación (DV, OV o EV), organización legalmente validada por la autoridad de certificación, vigencia y caducidad, certificado autofirmado o wildcard, nombres alternativos (SAN) e historial completo de certificados emitidos en Certificate Transparency (crt.sh), útil para descubrir subdominios y detectar re-registros.
¿Es legal analizar la infraestructura de un dominio ajeno?
Sí, siempre que se base en fuentes públicas. Registros DNS, WHOIS/RDAP, certificados (Certificate Transparency), VirusTotal y Shodan son información accesible públicamente. IntelMind no realiza escaneo activo de vulnerabilidades, fuzzing ni ataques: solo consulta fuentes pasivas. El Zone Transfer (AXFR) es una petición DNS estándar. Bajo el RGPD y la LOPDGDD, los datos técnicos de infraestructura no constituyen datos personales.
¿Qué incluye el informe PDF?
Resumen ejecutivo accionable (decisión sugerida, nivel de riesgo y acción inmediata), informe profesional en dos partes —una para perfiles no técnicos y otra técnica—, todos los datos del análisis (identidad, registro, reputación, DNS, certificados y exposición), las fuentes consultadas con enlaces verificables y cadena de custodia digital: hash SHA-256, sello temporal RFC 3161 emitido por FreeTSA y URL pública de verificación. Apto como prueba electrónica o anexo de due diligence.
¿Cuántos créditos consume y qué aporta frente a otras herramientas?
12 créditos por consulta. Correlaciona más de 20 fuentes (WHOIS/RDAP, Certificate Transparency, VirusTotal, Shodan, blacklists, base de 2,2 millones de dominios maliciosos, identidad legal, DNS y certificados) en un único informe firmado. En el Plan Profesional (79€/mes con 250 créditos) son unos 20 análisis mensuales, con un coste muy inferior a combinar SecurityTrails, DomainTools, Hunter y Shodan por separado.