Si alguna vez has realizado una búsqueda WHOIS para investigar un dominio ya sea malicioso o no, probablemente te has encontrado con información desorganizada, formatos inconsistentes y, en muchos casos, datos ocultos debido a regulaciones de privacidad.
Actualmente hemos observado que el antiguo protocolo WHOIS está siendo reemplazado por RDAP (Registration Data Access Protocol). Este cambio trae varias mejoras, pero también presenta desafíos para quienes trabajamos en ciberseguridad e inteligencia de amenazas.
En este artículo, te explicamos rápidamente qué cambia con RDAP, y este cambio cómo afecta nuestra forma de investigar dominios y qué herramientas puedes usar para adaptarte.
Lo primero es entender que es WHOIS y por que va de salida.
WHOIS ha sido el estándar para consultar información sobre dominios desde los años 80.
Siempre que consultamos un dominio con WHOIS, obtenemos datos como:
- Nombre del propietario (si no está protegido)
- Correo electrónico y número de contacto
- Fecha de registro y expiración
- Servidores de nombres
El problema con WHOIS es que no tiene un formato estándar y cada registrador devuelve los datos en un formato diferente. Además, con regulaciones como el GDPR, la mayoría de los datos personales han sido eliminados o ocultos, lo que hace que WHOIS sea cada vez menos útil para investigaciones o inteligencia de amenazas.
En la siguiente tabla hemos comparado las características de cada uno.
Cambios de RDAP vs WHOIS
| Característica | WHOIS | RDAP |
| Formato | Texto plano sin estructura | JSON estructurado |
| Privacidad | Datos personales parcialmente ocultos por regulaciones | Datos personales aún más restringidos |
| Búsquedas | No permite filtros avanzados | Soporta consultas estructuradas |
| Estándar Global | No hay un único formato | Formato único para todos los registradores |
| Autenticación | Acceso sin restricciones | Permite autenticación para ciertos datos |
Lo más importante es que RDAP devuelve datos en JSON, lo que facilita su análisis con herramientas automatizadas.
Impacto en la Inteligencia de Amenazas y OSINT
Para los que trabajamos en Threat Intelligence, OSINT footprint y ciberseguridad, este cambio tiene implicaciones clave:
Menos acceso a datos de registro. El anonimato en los registros de dominios sigue aumentando, dificultando la atribución en investigaciones de phishing, malware y fraude.
Datos más fáciles de procesar. Gracias al formato JSON, ahora es más sencillo automatizar búsquedas y correlacionar información.
Necesidad de nuevas herramientas. Muchas herramientas basadas en WHOIS dejarán de funcionar o tendrán que adaptarse a RDAP.
A pesar de que RDAP mejora la organización de los datos, aún mantiene la tendencia de ocultar información. Esto significa que dependemos aún más de fuentes secundarias como SecurityTrails o BigDomainData, entre otras.
Aquí es importante resaltar que herramientas como la nuestra (Cattleya), ya esta adaptada para el análisis de datos en formato RDAP y análisis de registros de dominios de suplantación entre otros.
¿Cómo consultar RDAP?
Para probar RDAP, aquí compartimos algunas opciones:
ICANN RDAP Client: Puedes acceder al cliente RDAP de ICANN en https://lookup.icann.org.
OpenRDAP (Go): El cliente de línea de comandos OpenRDAP, escrito en Go, está disponible en https://www.openrdap.org/. El código fuente y más detalles se encuentran en su repositorio de GitHub: https://github.com/openrdap/rdap.
WhoIsIt (Python): La biblioteca WhoIsIt para integraciones con RDAP en Python está disponible en GitHub: https://github.com/meeb/whoisit.
También puedes hacer consultas RDAP directamente en registradores como Verisign and GoDaddy, aunque cada uno puede mostrar diferentes niveles de información.
