Cuando se trata de investigar un objetivo en internet y hacerlo desde fuentes públicas aplicando técnicas de OSINT, muchos usuarios pueden llegar a una pregunta después de estar indagando un tiempo por la red, esta pregunta suele ser ¿Qué es Whois? y esto es porque, hacer consultas a través del protocolo Whois es un método de obtención de información que se ha estado usando desde que tu abuela nació (no tanto pero así pero realmente es bastante antiguo) y, en este artículo vas a aprender de qué se trata y, si actualmente te es útil a ti en tu rol en ciberseguridad.
¿Qué es Whois?
Whois es un protocolo basado en otro protocolo, TCP, este fue creado en 1982 con el propósito de que sirviese como una base de datos masiva que iba a contener la información más relevante de los usuarios que registraran dominios, cosa que, actualmente sigue haciendo, básicamente permitía a cualquier persona, consultar en su base de datos y saber la información referente al titular de un dominio, cosa que realmente en esos días no era algo tan relevante pero que a día de hoy, puede incluso considerarse una violación a ciertas políticas de protección de datos, hablaremos de esto más adelante.
¿Cómo funciona Whois?
El funcionamiento del protocolo Whois es simple, cuando un usuario registra un dominio en cualquier plataforma que lo permita, este debe proporcionar cierta información, su nombre, apellidos, dirección física, medios de contacto y demás, como ves, es información bastante personal pero, como comentamos, en su día no era algo tan grave y de hecho, resultó bastante útil para organizaciones y empresas ya que, muchos Script Kiddies y demás usuarios inexpertos en ciberseguridad, cuando intentaban cometer un ciberdelito usando para la conexión del mismo un dominio, con hacer una búsqueda rápida en la base de datos del protocolo Whois, bastaba para saber por lo menos el titular del dominio usado para realizar los ciberataques.
¿Por qué Whois ya no funciona?
Whois fue un gran soldado, lo que ocurre en la actualidad es que, hacer una consulta a esta base de datos, te dará poca o ninguna información útil que puedas usar en tus labores de ciberseguridad, esto debido a la llegada de la gloriosa RGPD (y decimos gloriosa en el buen sentido) ya que, actualmente no se permite que se pueda obtener tanta información a nivel público toda la información del registrante de un dominio, no es que no se pueda consultar, se puede, solo que la información que te dará es muy escaza y casi inútil, hablamos de solo poder ver datos como cuándo se registró el dominio y cuándo vencerá este mismo, los name servers que están configurados en él y poco más.
¿Eso significa que Whois ya no funciona? pues si y no, Whois actualmente puede ayudarte a obtener información muy básica sobre un dominio pero no esperes que sea como antes, desde luego que no está de más hacer una breve consulta durante, por ejemplo, la fase de reconocimiento pasivo dentro de un pentesting, pero no esperes conseguir mucho, de hecho, antes de que el RGDP barriera el piso con el protocolo Whois, ya los usuarios al registrar un dominio podían (a veces pagando) configurar que sus datos fueran privados de cara a las consultas a la base de datos de este protocolo, así que esto no es algo nuevo, la decadencia de este protocolo se venía venir desde hace años.
Esto tiene más ventajas que desventajas, realmente si vas a hacer OSINT a un objetivo, la consulta Whois era solo una mínima parte del procedimiento y, como profesional de la ciberseguridad, sabrás que si no encuentras la manera, la creas y sino te la inventas, pero no puedes depender de servicios fuera de tu control al 100%, además que es evidente que al evitar que cualquiera pueda consultar la información de un dominio y obtener tantos datos como antes, se reduce el riesgo de que los usuarios con malas intenciones (y casi siempre sin apenas conocimiento) intenten intimidar a otros con estos datos, así que esta decisión por parte del RGPD a nuestro parecer, fue acertada, veremos en los próximos años cómo cambiarán otras técnicas de recopilación de información dentro de los marcos legales de la seguridad informática.
