Billete abierto 
+373 79 600002 
Chat en directo de Telegram 
F.A.Q 
Español
English 
Русский 
Română 
Deutsch 
Français 
Türkçe 
Português 
Українська 
български 
Polski 
Indonesia 
中文 (中国) 
Nombres de DominioBúsqueda WHOIS Explicada: Una Guía Técnica Completa para 2025
Una consulta WHOIS es un protocolo de consulta y respuesta utilizado para recuperar datos de registro asociados con un nombre de dominio, dirección IP o Número de Sistema Autónomo (ASN) de una base de datos de acceso público. El resultado incluye la identidad del registrante, contactos administrativos, fechas de registro y vencimiento, servidores de nombres y el registrador de registro — todos ellos críticos para la gestión de dominios, la investigación de abusos y los diagnósticos de red.
Para cualquier administrador de sistemas, investigador de seguridad o propietario de dominio, WHOIS no es simplemente una herramienta de consulta — es una capa fundamental de la infraestructura de transparencia de internet. Comprender cómo funciona a nivel de protocolo, qué datos expone (y por qué algunos ahora están redactados), y cómo usarlo eficazmente en diferentes entornos es un conocimiento esencial para cualquier persona que gestione activos expuestos a internet.
¿Qué información devuelve una consulta WHOIS?
Los datos devueltos por una consulta WHOIS varían según el registro, el TLD (Dominio de Nivel Superior) y las políticas de privacidad del registrador. En un registro completamente sin redactar, puede esperar los siguientes campos:
Información del registrante
- Nombre legal completo o nombre de la organización
- Dirección postal física
- Dirección de correo electrónico y número de teléfono
- País de registro
Contactos administrativos y técnicos
- Registros de contacto separados para los roles administrativo y técnico
- Se utilizan para la autorización de transferencia de dominio, verificación de cambios DNS y escalada de abusos
Detalles de registro del dominio
- Fecha de creación: La marca de tiempo del registro original (UTC)
- Fecha de actualización: La última modificación del registro
- Fecha de vencimiento: La fecha en que el dominio caduca si no se renueva — crítica para las estrategias de captura de dominios
Registros de servidores de nombres
- Los servidores DNS autoritativos para el dominio
- Los datos de los servidores de nombres nunca se redactan, incluso bajo el GDPR, porque son operacionalmente necesarios
Información del registrador
- El registrador acreditado por ICANN que gestiona el dominio (p. ej., GoDaddy, Namecheap, Tucows)
- ID de registrador IANA para referencia cruzada
Códigos de estado del dominio
- Códigos de estado EPP como `clientTransferProhibited`, `serverHold` o `pendingDelete` — a menudo se pasan por alto, pero tienen un significado operacional significativo
Cómo funciona el protocolo WHOIS: bajo el capó
WHOIS opera sobre el puerto TCP 43 utilizando un modelo simple de solicitud-respuesta en texto plano definido en RFC 3912. Es anterior a la web moderna y sigue siendo uno de los protocolos de internet activos más antiguos que aún se usa ampliamente.
A continuación se muestra el ciclo de vida completo de la consulta:
- El cliente inicia una conexión TCP a un servidor WHOIS en el puerto 43
- El cliente transmite la cadena de consulta (p. ej., `example.comrn`) en texto plano
- El servidor WHOIS realiza una búsqueda en la base de datos contra sus datos de registro
- El servidor devuelve el registro como un flujo de texto plano y cierra la conexión
Para los TLD genéricos (gTLD) como `.com` y `.net`, la consulta primero llega al servidor WHOIS thin de Verisign, que devuelve solo los datos del registrador y del servidor de nombres. Luego se dirige una segunda consulta al servidor WHOIS thick propio del registrador para recuperar el registro completo del registrante. Esta arquitectura de dos niveles es la razón por la que algunas herramientas muestran datos parciales a menos que realicen ambas consultas automáticamente.
Para los TLD de código de país (ccTLD) como `.de`, `.uk` o `.fr`, el propio registro a menudo opera un servidor WHOIS thick con su propio esquema y políticas de acceso.
WHOIS vs. RDAP: el sucesor moderno
El Protocolo de Acceso a Datos de Registro (RDAP) es el reemplazo estandarizado por IETF para WHOIS, definido en RFC 7480–7484. A diferencia de WHOIS, RDAP devuelve respuestas JSON estructuradas, admite autenticación para acceso por niveles y maneja nombres de dominio internacionalizados (IDN) de forma nativa.
| Característica | WHOIS (RFC 3912) | RDAP (RFC 7480+) |
|---|
| — | — | — |
|---|
| Formato de respuesta | Texto plano no estructurado | JSON estructurado |
|---|
| Soporte de autenticación | Ninguno | Sí (acceso por niveles) |
|---|
| Nombres internacionalizados | Deficiente/inconsistente | Soporte Unicode completo |
|---|
| Transporte HTTPS | No (puerto TCP 43) | Sí (HTTPS) |
|---|
| Nombres de campo estandarizados | No (varía según el registro) | Sí (definidos por IANA) |
|---|
| Control de acceso compatible con GDPR | No | Sí |
|---|
| Descubrimiento bootstrap | Manual | Automático a través de IANA |
|---|
| Encabezados de limitación de velocidad | No | Sí |
|---|
ICANN exigió el soporte de RDAP para todos los registros y registradores de gTLD a partir de agosto de 2019. Sin embargo, WHOIS sigue operando en paralelo y sigue siendo el método dominante utilizado por las herramientas de línea de comandos y los sistemas heredados. Para nuevas herramientas, RDAP debería ser el protocolo preferido.
Tipos de consultas WHOIS
Consulta WHOIS de dominio
El tipo más común. Consulta las bases de datos del registro y del registrador para un dominio de segundo nivel específico (p. ej., `alexhost.com`). Devuelve el registro de registro completo como se describe anteriormente.
Consulta WHOIS de dirección IP
Consulta las bases de datos del Registro Regional de Internet (RIR) — ARIN (América del Norte), RIPE NCC (Europa/Oriente Medio), APNIC (Asia-Pacífico), LACNIC (América Latina) o AFRINIC (África) — para identificar la organización que posee un bloque de IP específico. Esto es indispensable para la notificación de abusos, la validación de geolocalización y la resolución de problemas de BGP.
Consulta WHOIS de ASN
Un Número de Sistema Autónomo (ASN) identifica una colección de prefijos de enrutamiento IP bajo un único dominio administrativo. Consultar un ASN revela el operador de red, su política de enrutamiento y los rangos de IP que anuncian. Se utiliza en el análisis de BGP, decisiones de peering y atribución de fuentes de DDoS.
Consulta WHOIS inversa
Una técnica menos comentada pero muy valiosa: en lugar de consultar por dominio o IP, se consulta por nombre del registrante, dirección de correo electrónico u organización. Esto devuelve todos los dominios registrados bajo esa entidad — poderoso para la protección de marcas, la investigación de fraudes y la inteligencia competitiva. Herramientas como DomainTools y ViewDNS.info lo admiten. Los servidores WHOIS estándar no.
Cómo realizar una consulta WHOIS: todos los métodos
Método 1: Interfaz de línea de comandos (recomendado para administradores de sistemas)
El comando `whois` está disponible de forma nativa en Linux y macOS. En un entorno de Hosting VPS con Debian o Ubuntu, es posible que el paquete deba instalarse:
“`bash
sudo apt install whois -y
“`
Consulta básica de dominio:
“`bash
whois example.com
“`
Consultar un servidor WHOIS específico directamente (útil cuando el servidor predeterminado devuelve datos thin):
“`bash
whois -h whois.verisign-grs.com example.com
“`
Consulta de dirección IP:
“`bash
whois 93.184.216.34
“`
Consulta de ASN:
“`bash
whois AS15169
“`
En Windows, el `whois.exe` nativo de Microsoft Sysinternals es la opción más limpia:
“`powershell
whois.exe example.com
“`
Consejo profesional para administradores de sistemas: Al crear scripts para consultas WHOIS masivas, implemente siempre una limitación de velocidad (mínimo 1–2 segundos entre consultas). La mayoría de los servidores WHOIS aplican límites de velocidad estrictos y bloquearán temporalmente su IP por consultas agresivas. Para consultas de alto volumen, RDAP con encabezados de caché HTTP adecuados es una mejor opción arquitectónica.
Método 2: Herramientas WHOIS en línea
Para consultas puntuales sin acceso a terminal, existen varias herramientas web autorizadas:
- ICANN Lookup (`lookup.icann.org`) — la fuente canónica; consulta tanto WHOIS como RDAP
- ARIN WHOIS (`search.arin.net`) — para datos de IP y ASN de América del Norte
- Base de datos RIPE NCC (`apps.db.ripe.net`) — para recursos IP de Europa y Oriente Medio
- DomainTools — plataforma comercial con WHOIS inverso, registros históricos y monitoreo
- MXToolbox — útil para combinar WHOIS con consultas DNS y de listas negras en un único flujo de trabajo
Método 3: Integración WHOIS en cPanel
Si gestiona dominios a través de un panel de control, la mayoría de las integraciones de registradores muestran los datos WHOIS directamente. En un VPS con cPanel, la interfaz WHM proporciona utilidades de búsqueda de dominios en la sección de Funciones DNS, lo que permite a los administradores verificar la delegación de servidores de nombres y el estado del registro sin salir del panel.
Método 4: Acceso programático a través de API
Para pipelines de monitoreo automatizado, hay varias API de RDAP y WHOIS disponibles:
“`python
import requests
domain = "example.com"
response = requests.get(f"https://rdap.org/domain/{domain}")
data = response.json()
print(data["ldhName"]) # Domain name
print(data["events"]) # Creation, expiration, last changed
print(data["nameservers"]) # Authoritative nameservers
“`
El servicio bootstrap `rdap.org` enruta automáticamente su consulta al endpoint RDAP del registro correcto, eliminando la necesidad de codificar las direcciones de los servidores.
Interpretación de los códigos de estado EPP: lo que la mayoría de las guías omiten
Los códigos de estado del Protocolo de Aprovisionamiento Extensible (EPP) en un registro WHOIS son frecuentemente malinterpretados. Afectan directamente qué operaciones se pueden realizar en un dominio:
| Código de estado EPP | Significado | Impacto operacional |
|---|
| — | — | — |
|---|
| `clientTransferProhibited` | El registrador ha bloqueado el dominio contra transferencias | No se puede transferir a otro registrador sin desbloquear |
|---|
| `clientDeleteProhibited` | El dominio no puede eliminarse a nivel del registrador | Protege contra la eliminación accidental o maliciosa |
|---|
| `serverTransferProhibited` | Bloqueo de transferencia a nivel de registro | Requiere acción del registro para eliminarlo; común en nuevos registros |
|---|
| `serverHold` | El dominio está suspendido a nivel de registro | El DNS no resuelve; a menudo debido a falta de pago o abuso |
|---|
| `pendingDelete` | El dominio está en proceso de eliminación | Será liberado al público en ~5 días (para gTLD) |
|---|
| `redemptionPeriod` | El dominio ha vencido y entrado en el período de recuperación | Puede ser restaurado por el registrante original con una tarifa premium |
|---|
| `ok` | Sin restricciones; estado operacional normal | Todas las operaciones permitidas |
|---|
Un dominio que muestra solo el estado `ok` sin bloqueos de transferencia es un riesgo de seguridad — es trivialmente fácil iniciar una transferencia no autorizada. Asegúrese siempre de que `clientTransferProhibited` esté configurado en los dominios de producción.
Privacidad de datos WHOIS, GDPR y el marco SSAD
El Reglamento General de Protección de Datos (GDPR), vigente desde mayo de 2018, alteró fundamentalmente la disponibilidad pública de los datos WHOIS para los registrantes en el Espacio Económico Europeo. El impacto se extiende globalmente porque la mayoría de los principales registradores aplicaron políticas de redacción de forma universal en lugar de hacerlo por base geográfica por registrante.
Qué cambió:
- Los datos personales del registrante (nombre, correo electrónico, teléfono, dirección) se reemplazan con `REDACTED FOR PRIVACY` o se enrutan a través de un servicio de proxy de privacidad
- Las direcciones de correo electrónico proxy proporcionadas por el registrador (p. ej., `abc123@proxy.registrar.com`) reemplazan los correos electrónicos de contacto directos
- Los datos del servidor de nombres, la identidad del registrador y los códigos de estado EPP permanecen visibles públicamente
Lo que no se ha resuelto:
El Sistema de Acceso/Divulgación Estandarizado (SSAD) de ICANN fue propuesto como un mecanismo para permitir que partes verificadas (fuerzas del orden, abogados de propiedad intelectual, investigadores de ciberseguridad) accedan a datos WHOIS no públicos a través de una puerta de enlace centralizada. A partir de 2025, la implementación del SSAD sigue incompleta, creando una brecha significativa en los flujos de trabajo de investigación de abusos. Los equipos de seguridad informan con frecuencia que el seguimiento de infraestructuras de phishing y campañas de spam es sustancialmente más difícil después del GDPR debido a la ausencia de un mecanismo de divulgación funcional.
Implicación práctica: Cuando encuentre un registro WHOIS completamente redactado, su ruta de escalada para abusos es a través del contacto de abuso del registrador (siempre listado, nunca redactado) o a través del sistema de notificación de abusos del registro. El registrador está contractualmente obligado bajo la política de ICANN a reenviar las quejas de abuso al registrante.
Por qué importan las consultas WHOIS: casos de uso del mundo real
Adquisición de dominios y diligencia debida
Antes de comprar un dominio en el mercado secundario, una consulta WHOIS revela la fecha de vencimiento, el registrador actual y el estado del bloqueo de transferencia. Verificar los registros WHOIS históricos del dominio (a través de DomainTools o Wayback Machine) puede exponer usos anteriores para spam o distribución de malware, lo que puede haber resultado en inclusión en listas negras.
Resolución de problemas de DNS
Cuando un dominio no resuelve correctamente, los campos de servidores de nombres en WHOIS son el primer punto de diagnóstico. Una discrepancia entre los servidores de nombres listados en WHOIS y los servidores autoritativos reales en la cadena de delegación DNS es una causa raíz común de fallos de resolución. Esto es especialmente relevante al migrar el hosting entre proveedores — por ejemplo, migrar a un entorno de Servidor Dedicado requiere actualizar tanto los registros de servidores de nombres del registrador como la configuración de la zona DNS.
Validación de emisión de certificados SSL
Las Autoridades de Certificación que realizan verificaciones de validación de dominio (DV) pueden hacer referencias cruzadas con los datos WHOIS. Si su dominio tiene habilitada la protección de privacidad, asegúrese de que el servicio proxy de su registrador reenvíe correctamente los correos electrónicos de validación. Las configuraciones incorrectas aquí son una causa común de fallos en la emisión de certificados SSL, especialmente para certificados wildcard y multidominio.
Investigación de phishing y abusos
Los equipos de operaciones de seguridad utilizan WHOIS para correlacionar dominios maliciosos con actores de amenazas conocidos. Las direcciones de correo electrónico compartidas de registrantes, los patrones de servidores de nombres y los grupos de tiempo de registro son indicadores de infraestructura coordinada. Incluso con la redacción del GDPR, los datos de servidores de nombres y registradores a menudo proporcionan suficientes puntos de pivote.
Protección de marcas y aplicación de marcas comerciales
Los equipos legales utilizan WHOIS para identificar ciberocupantes y presentar quejas UDRP (Política Uniforme de Resolución de Disputas de Nombres de Dominio) ante ICANN. La dirección de contacto proxy del registrante es suficiente para iniciar procedimientos formales.
Monitoreo competitivo de dominios
Rastrear cuándo se registran, renuevan o transfieren los dominios de la competencia puede revelar señales estratégicas. Un dominio que se mueve a un nuevo registrador o proveedor de servidores de nombres puede indicar una migración de plataforma o un cambio de infraestructura.
Ejemplo de salida WHOIS: anotado
A continuación se muestra un registro WHOIS representativo con anotaciones que explican la importancia de cada campo:
“`
Domain Name: EXAMPLE.COM
Registry Domain ID: 2336799_DOMAIN_COM-VRSN ← Verisign registry ID
Registrar WHOIS Server: whois.registrar.com
Registrar URL: https://www.registrar.com
Updated Date: 2024-08-15T10:22:00Z ← Last record modification
Creation Date: 2000-01-01T00:00:00Z ← Original registration
Registry Expiry Date: 2026-01-01T00:00:00Z ← Renewal deadline
Registrar: Example Registrar, Inc.
Registrar IANA ID: 1234
Registrar Abuse Contact Email: abuse@registrar.com ← Always public
Registrar Abuse Contact Phone: +1.8005551234
Domain Status: clientDeleteProhibited ← Transfer/delete locks
Domain Status: clientTransferProhibited
Domain Status: clientUpdateProhibited
Name Server: NS1.EXAMPLEHOST.COM ← Authoritative DNS
Name Server: NS2.EXAMPLEHOST.COM
DNSSEC: unsigned ← No DNSSEC — potential risk
“`
El campo `DNSSEC: unsigned` merece destacarse. Un dominio sin DNSSEC es vulnerable a ataques de envenenamiento de caché DNS. Para cualquier dominio que maneje transacciones financieras o datos sensibles de usuarios, la firma DNSSEC debe considerarse obligatoria.
WHOIS para la validación de infraestructura de correo electrónico
Una aplicación menos comentada de WHOIS es la validación de la legitimidad de los dominios de envío en los flujos de trabajo de seguridad del correo electrónico. Al configurar Hosting de Correo Electrónico o analizar el correo entrante, la referencia cruzada de la antigüedad del registro WHOIS del dominio remitente con su volumen de correo electrónico puede marcar dominios recién registrados (con menos de 30 días de antigüedad) que son desproporcionadamente activos — un fuerte indicador de infraestructura de spam o phishing.
Los agentes de transferencia de correo y las plataformas antispam incorporan cada vez más los datos de antigüedad de WHOIS en sus modelos de puntuación junto con la validación de SPF, DKIM y DMARC.
Matriz de decisión técnica: elegir su método WHOIS
| Escenario | Método recomendado | Notas |
|---|
| — | — | — |
|---|
| Verificación puntual de dominio | Herramienta web ICANN Lookup | Autoritativa; consulta tanto WHOIS como RDAP |
|---|
| Auditoría masiva de dominios | CLI `whois` con limitación de velocidad o API RDAP | Script con intervalos de espera; usar RDAP para salida estructurada |
|---|
| Pipeline de monitoreo automatizado | API JSON de RDAP | Datos estructurados; admite caché HTTP |
|---|
| Investigación de abuso de IP | Interfaz web de RIR (ARIN/RIPE) | Usar el RIR correcto para la asignación geográfica de la IP |
|---|
| Investigación histórica de registrantes | DomainTools o SecurityTrails | Comercial; registros históricos pre-GDPR disponibles |
|---|
| Entorno de panel de control | Funciones DNS de cPanel o portal del registrador | Integrado; no requiere CLI |
|---|
| Análisis de ASN y BGP | `whois AS[number]` o RIPE Stat | Combinar con BGP looking glass para una visión completa |
|---|
Lista de verificación práctica: mejores prácticas de WHOIS para propietarios de dominios
- Habilite el bloqueo de transferencia del registrador (`clientTransferProhibited`) en todos los dominios de producción inmediatamente después del registro
- Configure la protección de privacidad WHOIS para evitar la exposición de datos personales, pero verifique que el servicio proxy de su registrador reenvíe correctamente los correos electrónicos de abuso y validación
- Monitoree las fechas de vencimiento con alertas automatizadas — la mayoría de los registradores ofrecen esto, pero una herramienta de monitoreo secundaria proporciona redundancia
- Verifique la precisión de los servidores de nombres en WHOIS después de cualquier migración DNS; la propagación puede tardar hasta 48 horas, pero el registro WHOIS debería actualizarse en minutos
- Verifique el estado de DNSSEC y habilite la firma si su registrador y proveedor DNS lo admiten
- Revise los códigos de estado EPP periódicamente — los cambios de estado inesperados pueden indicar acceso no autorizado a la cuenta
- Para dominios registrados a través de servicios de Registro de Dominios, confirme que el contacto de abuso del registrador responde antes de que ocurra un incidente
- Haga referencias cruzadas del registro WHOIS de su dominio con bases de datos de listas negras después de cualquier incidente de seguridad para evaluar el impacto en la reputación
Preguntas frecuentes
¿Cuál es la diferencia entre un registro WHOIS thin y thick?
Un registro WHOIS thin, devuelto por el registro (p. ej., Verisign para `.com`), contiene solo el nombre del registrador, los servidores de nombres y los códigos de estado. Un registro WHOIS thick, devuelto por el servidor WHOIS propio del registrador, incluye los datos completos de contacto del registrante. La mayoría de las herramientas de consulta realizan ambas consultas automáticamente, pero consultar directamente el servidor del registro solo devolverá datos thin.
¿Por qué una consulta WHOIS muestra “REDACTED FOR PRIVACY” en lugar de los datos de contacto?
Después del GDPR, la mayoría de los registradores a nivel global aplican la redacción de privacidad a los datos personales del registrante de forma predeterminada o como servicio opcional. El contacto de abuso del registrador permanece visible. Para contactar al propietario del dominio, utilice la dirección de correo electrónico proxy o el formulario de contacto proporcionado en el registro.
¿Pueden los datos WHOIS usarse como evidencia legal de propiedad del dominio?
Los registros WHOIS no son prueba legalmente autoritativa de propiedad por sí solos — reflejan datos de registro, no titularidad. En los procedimientos UDRP y casos judiciales, los registros WHOIS se utilizan como evidencia de apoyo junto con los registros de cuentas del registrador, que son la fuente autoritativa. Los datos de la cuenta del registrador requieren una solicitud legal formal para obtenerlos.
¿Con qué frecuencia se actualizan los datos WHOIS después de un cambio?
Las bases de datos WHOIS de los registradores típicamente reflejan los cambios en minutos o pocas horas después de una modificación. Los datos a nivel de registro (servidores de nombres, códigos de estado) se propagan al servidor WHOIS del registro en minutos. Sin embargo, los agregadores de WHOIS de terceros y los proxies de caché pueden servir datos desactualizados durante hasta 24–48 horas.
¿Qué significa el estado “pendingDelete” y puede recuperarse el dominio?
`pendingDelete` significa que el dominio ha pasado por su período de gracia de vencimiento y período de recuperación y está en cola para su eliminación por el registro. Para los dominios `.com` y `.net`, esta fase dura aproximadamente 5 días. Durante este período, el registrante original no puede recuperar el dominio — solo puede ser registrado por cualquier persona una vez que se libere. El estado `redemptionPeriod`, que precede a `pendingDelete`, es la última ventana de recuperación, típicamente con una tarifa premium significativa cobrada por el registrador.