Saltar al contenido
Lección 4 de 8

OSINT de Dominios e Infraestructura

4 min read

WHOIS y Registros de Dominio

El OSINT de infraestructura comienza casi siempre por el dominio. La consulta WHOIS revela información de registro: el registrador, las fechas de creación y expiración, los servidores de nombres y, en algunos casos, datos de contacto del titular. Aunque muchos registros están hoy protegidos por servicios de privacidad (WHOIS privacy), la información residual sigue siendo valiosa: la fecha de registro puede situar el origen de una infraestructura, y los servidores de nombres pueden vincular varios dominios a un mismo propietario.

Una técnica útil es el WHOIS histórico, ofrecido por servicios como WhoisXML o SecurityTrails, que conserva versiones antiguas de los registros. A menudo, un dominio que hoy oculta sus datos de contacto los tenía expuestos en el pasado, antes de activar la protección de privacidad. Comparar registros históricos permite correlacionar dominios aparentemente independientes que comparten el mismo correo o el mismo titular original.

Toda esta información es pública por diseño del sistema de nombres de dominio. Consultarla es perfectamente legal y constituye la base de cualquier reconocimiento de infraestructura, ya sea en un pentest autorizado o en una auditoría de la propia exposición.

Enumeración de DNS

El sistema DNS guarda un mapa de la infraestructura de un dominio que se puede consultar legalmente. Los registros A y AAAA apuntan a direcciones IP; los registros MX revelan los servidores de correo; los registros TXT contienen a menudo configuraciones de SPF, DKIM y DMARC, y a veces verificaciones de servicios de terceros que delatan qué plataformas usa la organización; los registros NS indican los servidores de nombres.

Herramientas como dig, nslookup, dnsx o dnsrecon permiten consultar estos registros de forma sistemática. Un objetivo clásico es intentar una transferencia de zona (AXFR): si un servidor DNS está mal configurado y la permite, devuelve la lista completa de registros de la zona, exponiendo toda la estructura interna. Encontrar esto en una auditoría es un hallazgo importante, porque representa una fuga de información que debe corregirse.

Los registros TXT y MX merecen atención especial por su valor revelador. Un registro SPF que autoriza a "include:_spf.google.com" indica uso de Google Workspace; uno que menciona un proveedor de marketing por correo revela esa relación comercial. Cada pieza ayuda a reconstruir el stack tecnológico del objetivo.

Subdominios y Certificados

El descubrimiento de subdominios es una de las técnicas más productivas del OSINT de infraestructura, porque amplía la superficie conocida. Existen dos enfoques. El pasivo consulta fuentes que ya han recopilado subdominios — bases de datos de DNS pasivo, motores como Amass o subfinder — sin tocar directamente la infraestructura del objetivo. El activo prueba nombres mediante fuerza bruta de diccionario, lo que genera tráfico hacia el objetivo y debe hacerse solo con autorización.

Los registros de transparencia de certificados (Certificate Transparency) son una fuente excelente y enteramente pasiva. Cada vez que se emite un certificado TLS, queda registrado en logs públicos. Consultando crt.sh se obtienen todos los certificados emitidos para un dominio, lo que a menudo revela subdominios que no aparecen en ningún otro lugar — entornos de desarrollo, paneles internos, servicios olvidados. Es una de las primeras consultas que todo investigador debería hacer.

Cada subdominio descubierto amplía el mapa de la infraestructura y puede representar un punto de exposición. En una auditoría defensiva, esta enumeración suele revelar activos olvidados (shadow IT) que la propia organización desconocía tener expuestos, lo que la convierte en un ejercicio de enorme valor preventivo.

Shodan y Búsqueda de Infraestructura

Shodan es un motor de búsqueda que indexa dispositivos y servicios conectados a internet en lugar de páginas web. Permite consultar qué puertos y servicios tiene expuestos una IP o un rango, qué software y versiones ejecutan, y qué banners devuelven. Para el OSINT de infraestructura es invaluable: a partir de un dominio se pueden encontrar todas las IPs asociadas y, con Shodan, conocer su superficie de servicios sin enviar un solo paquete directamente al objetivo, ya que Shodan ya hizo ese escaneo.

Censys y FOFA ofrecen capacidades similares con distintos enfoques. Estos motores permiten búsquedas por organización, por certificado, por tecnología o por país, y son especialmente útiles para identificar todos los activos de una entidad dispersos en distintos proveedores de nube. Filtros como "org:", "ssl.cert.subject" o "http.title" permiten consultas muy precisas.

Es importante subrayar que estos buscadores solo muestran información que los servicios exponen públicamente; consultarlos es legal. Sin embargo, intentar conectarse, autenticarse o explotar los servicios encontrados ya no es OSINT, sino una acción que requiere autorización explícita. El investigador ético usa Shodan para mapear y comprender la exposición, no para acceder a sistemas sin permiso.