WhoisXML API – análisis de herramienta de obtención de información de dominios

Análisis de herramientas / Por

WhoisXML API y la ventaja de sus snapshots

Siguiendo nuestra hoja de ruta de colaboraciones con partners de reconocido prestigio, hoy queremos hablaros de WhoisXML API. Muchos les conoceréis, pero para los que no, debéis saber que es una herramienta clave para la obtención de información sobre dominios. El equipo de WhoisXML API lleva años recopilando, analizando y correlando datos sobre dominios, IP, y DNS. Hablamos de billones de piezas de información, lo que proporciona un alcance sin igual para nuestras investigaciones.

El objetivo de WhoisXML API está alineado con el de Cyber Hunter Academy «Hacer de Internet un lugar más seguro«. Nosotros nos enfocamos en la docencia y en la formación de alto nivel para alcanzar ese objetivo. Ellos, proveen de datos listos para su uso como fuente de Inteligencia. Como veréis, nuestra colaboración es natural.

Nosotros consideramos que el servicio que provee WhoisXML API tiene dos grandes públicos. Por un lado, se han demostrado valiosos para aumentar las capacidades de SIEM, Threat Intelligence Platforms (TIP), y SOC por todo el mundo. Por el otro lado, la rapidez, alcance y valor histórico de los datos, es una herramienta valiosa para todos los Analistas que buscan información fiable.

Integración con Maltego

Pero es que además, WhoisXML API se integra con Maltego. Aquí me gustaría hacer una explicación para nuestros estudiantes Junior. Maltego es una herramienta de inteligencia de fuentes abiertas (OSINT) que los investigadores de seguridad utilizan para recopilar datos relevantes para sus investigaciones. Extrae datos de varias fuentes mediante transformaciones. El Transform Hub de Maltego permite a los investigadores recopilar datos de más de 30 organizaciones colaboradoras bajo diversas categorías, como blockchain, redes sociales, contenido web e inteligencia de amenazas.

Como veis, es una herramienta potentísima que además permite presentar la información en forma de gráficos. Estos gráficos tienen gran utilidad en la fase de Análisis, pero también en la fase de Difusión de la Información. Personalmente, me parece una herramienta estupenda para usar durante una investigación.

Transformadas

Volviendo a WhoisXML API, ¿qué nos aporta a nosotros, como Analistas, esta integración? Bueno, las transformadas de Maltego nos aportan diversas funcionalidades:

  • WHOIS Lookup: los usuarios pueden identificar al propietario actual de un determinado nombre de dominio extrayendo los detalles de registro del conjunto de registros WHOIS Transform. Eso permite a los investigadores ver quién es el responsable de un dominio sospechoso o malicioso.
  • Historical WHOIS Lookup: en la mayoría de los casos, los registros WHOIS actuales están redactados o protegidos por privacidad. Sin embargo, con la transformación de los registros WHOIS históricos [WhoisXML], los investigadores pueden rastrear los registros de propiedad pasados y ver las identidades reales de los propietarios de los sitios web. Un nombre de dominio o una dirección IP pueden servir como punto de partida para una búsqueda histórica de WHOIS, lo que resulta útil para las investigaciones de ciberdelitos y personas de interés. Personalmente, me gustaría destacar que como el equipo de WhoisXML ha recabado datos durante décadas, muchas veces con su herramienta encontraremos información que en otras sería imposible.
  • Reverse WHOIS Search: con una sola palabra clave, los investigadores pueden buscar nombres de dominio que contengan la cadena de texto en sus registros WHOIS. Así, los usuarios pueden ver los nombres de dominio que tienen esa dirección de correo electrónico en particular, el nombre de la empresa, el servidor de nombres, el servidor de correo, el país del registrante o cualquier otro punto de datos de WHOIS. La combinación de las transformadas de Maltego con las búsquedas avanzadas de WhoisXML tiene la capacidad de marcar la diferencia en una investigación.

Caso práctico

  • Vamos a realizar una búsqueda de información sobre el dominio presstv.com, y vamos a comparar los resultados que obtenemos con diferentes herramientas. Te animamos a que hagas la prueba a la vez que nosotros con tu herramienta de whois favorita.
    Como era de esperar, el resultado que obtenemos está Redacted. [imagen 1]

Herramienta sin información sobre dominios

  • Probemos con otra. De nuevo, no obtenemos información de utilidad. [imagen 2]

Herramienta sin información sobre dominios

  • Ahora, usemos WhoisXML API. Lo primero que me gustaría destacar es la cantidad de snapshots de información de la que disponen [imagen 3 y 4]. Disponemos de un histórico de información que se remonta a 2011.

WhoisXML API tiene gran cantidad de snapshots del dominio

WhoisXML API tiene gran cantidad de snapshots del dominio

  • Al revisar el registro más reciente, que es de 2021, vemos que la información está censurada. Esto es normal, porque el proveedor, en cumplimiento de la legislación, ha ocultado la información, presumiblemente porque se lo ha solicitado el registrante. [imagen 5]

último snapshot con información redacted

  • Pero ahora es cuando esto se pone interesante. Si vamos a 2016, esto es lo que veremos. [imagen 6]

WhoisXML API es la herramienta que más información da sobre el dominio. Como por ejemplo, el nombre del registrador.

  • Y si retrocedemos aún más, hasta 2011 encontraremos esto. [imagen 7]

WhoisXML API es la herramienta que más información da sobre el dominio. Como por ejemplo, el nombre del registrador.

WhoisXML API ha proporcionado información útil para nuestra investigación, y no solo una pista de la que tirar, sino varias.

Además, y a mí esto me encanta, WhoisXML API nos muestra una previsualización del dominio. [imagen 8]

Lo que puede ser de interés cuando no queremos acceder al mismo todavía, pero sí queremos ver qué pinta tiene sin que ellos detecten nuestra presencia.
Como podéis ver en la parte inferior de la imagen, WhoisXML API también nos proporciona algunas estadísticas acerca de los datos que tiene. Aquí podremos ver que, de hecho, no hay 2 datos de registro, sino 3 a nuestra disposición.

Con este ejemplo real, queda claro que WhoisXML API llega a donde otras herramientas no pueden.

En Cyber Hunter Academy, somos metódicos impartiendo formación. Una de las cosas que no nos cansamos de repetir a nuestros alumnos, es que la Inteligencia tiene que ser accionable y que tiene que llegar en el tiempo y en la forma adecuada. Un informe perfecto, que llega tarde, pierde su valor. Por eso, animamos a nuestros estudiantes, sobre todo a los profesionales, a que inviertan en las herramientas que pueden marcar la diferencia en sus investigaciones. WhoisXML es una de ellas, por la calidad de los datos que proporciona, por su interfaz bien organizada, por su cobertura y por la rapidez que proporciona.

  1. Y tú, ¿qué herramientas has probado con buen resultado?
  2. ¿Qué herramientas te gustaría que testeásemos en el siguiente post?

 

Os esperamos en el próximo post de análisis de herramientas 

👉🏾 Únete al canal @cyberhunteracademy en Telegram para aprender más OSINT

Redacción: Naiara Morales
Edición y revisión: Jezer Ferreira