Reconocimiento de dominios

El reconocimiento de dominios raíz es un paso crítico para entender la superficie de ataque de una organización. Aquí te dejo un post orientado a profesionales de seguridad —con comandos y técnicas concretas (los que compartiste)— que puedes usar para mapear, priorizar y documentar hallazgos. Está escrito en español y con foco práctico: qué hace cada técnica, por qué importa y cómo interpretarla.

¿Por qué centrarse en los dominios raíz?

Un dominio raíz (por ejemplo example.com) es la entrada a múltiples activos: subdominios, registros DNS, infraestructura en la nube, CDNs, APIs, sistemas de analítica y servicios de terceros. Encontrar relaciones y dependencias te permite:

• Identificar recursos expuestos (subdominios, IPs, servicios).

• Detectar dependencias de terceros (analytics, CDNs, trackers).

• Preparar listados para pruebas de penetración o vigilancia de cambios.

• Encontrar vectores de spear-phishing (correos, formularios) o de takeover (delegación DNS, subdominio huérfano).

1) Reconocimiento básico y WHOIS

Herramientas: amass y búsquedas web / portales WHOIS.

Ejemplo:

Qué hace: amass agrega fuentes públicas (certificados, motores de búsqueda, WHOIS histórico, archivos) para enumerar subdominios y relaciones. El flag -whois recopila información de WHOIS asociada (propietario, emails, fechas).

Consejo: Documenta fechas de creación/vencimiento y registrar. Cambios aquí pueden indicar riesgo (p. ej. WHOIS oculto, registrador sospechoso, renovación inminente).

Complementos en web:

• Búsqueda Google https://google.com/search?q=united+airlines para hallazgos casuales y rastros de subdominios públicos.

• Portales WHOIS/iqwhois para ver propietarios y metadatos.

2) Reverse WHOIS (buscar dominios por propietario)

URLs útiles: viewdns.info/reversewhois o whoisxmlapi (servicios comerciales).

Qué aporta: Permite buscar todos los dominios registrados con un nombre/identificador común (empresa, email, nombre del contacto). Muy útil para descubrir dominios “satélite” de una misma organización que no están vinculados públicamente.

Precaución: Herramientas comerciales pueden devolver grandes volúmenes—filtra por fechas o términos específicos.

3) ASN y mapeo de redes

Comandos / herramientas:

Qué hace: Asociar un Autonomous System Number (AS) con prefijos de red te permite:

• Enumerar rangos IP que la organización opera.

• Buscar activos en esos prefijos (puerta de enlace, VPN, servidores con paneles de administración).

• Entender distribución geográfica por datacenters y proveedores.

Flujo típico: obtener prefijos → escanear servicios (con herramientas seguras y autorizadas) → correlacionar con registros DNS.

4) Favicon fingerprinting (identificar activos por icono)

Proyectos: fav-up, FavFreak, favirecon, faviconhasher y búsquedas en Shodan.

Comandos ejemplo:

Por qué funciona: Muchos sitios reutilizan el mismo favicon.ico o derivan del mismo framework. Hashear el favicon y buscar coincidencias revela servidores y aplicaciones con la misma plantilla, útil para identificar instancias de un mismo producto/service footprint.

Uso práctico: combinado con dnsx o httpx para verificar endpoints activos.

5) Google Analytics / trackers

Fuentes: BuiltWith, hackertarget analytics lookup, relaciones de sites.

Ejemplos:

Qué revela: IDs de Google Analytics (p. ej. UA-29214177) o tags comunes vinculan múltiples dominios/ subdominios. Esto ayuda a:

• Encontrar dominios hermanos que usan la misma analítica.

• Correlacionar propiedad/operación de diferentes páginas.

• Identificar posibles compromisos por compartir tags o credenciales mal protegidas.

6) DNS: consultas manuales y enumeración profunda

Comandos útiles:

Objetivo: obtener registros A, MX, NS, TXT (SPF, DKIM), SOA y ver si existe AXFR abierto (transferencia de zona). AXFR abierto es una vulnerabilidad grave: puede revelar toda la zona DNS.

Recomendación: registra hallazgos con evidencia (salida dig, timestamps) y alerta al equipo de red si encuentras AXFR público o registros sensibles (p. ej. SRV, API endpoints).

7) Reverse IP / PTR / descubrimiento por IP

Herramientas: dnsx, servicios reverse-ip (whoisxmlapi).

Ejemplo:

Por qué usarlo: un IP compartida puede albergar múltiples virtual hosts. El reverse IP te ayuda a listar nombres asociados a una IP y descubrir activos no anunciados en DNS público.

8) TLD bruteforcing (buscar variantes de dominio)

Herramientas y proyecto: TLDbrute (Sybil-Scan).

Uso: enumerar variaciones de TLD (.com, .net, .org, ccTLDs) o typosquatting. Útil para identificar dominios que podrían ser usados en phishing o que la organización debería registrar para proteger marca.

Buenas prácticas, ética y mitigación

1. Autorización: nunca realices pruebas activas (escaneos, fuzzing, credenciales) sin permiso. Usar OSINT pasivo es generalmente seguro, pero actúa con responsabilidad.

2. Registro y reproducibilidad: guarda outputs, verifica timestamps y documenta herramientas/flags usados. Esto facilita reproducciones y remediaciones.

3. Prioriza hallazgos críticos: AXFR público, certificados compartidos, subdominios huérfanos (CNAME apuntando a servicios no provisiónados), registros MX descubiertos sin DMARC, o GA IDs compartidos son alto riesgo.

4. Notificación responsable: si encuentras vulnerabilidades, sigue un proceso de divulgación responsable (contacto de seguridad, SLA, evitar hacer público antes de mitigación).

5. Automatización y vigilancia: crea pipelines para re-ejecutar búsquedas periódicas (amass, dnsx, comparadores de favicon hash) y alertas cuando cambien WHOIS o se agreguen subdominios.

Plantilla de reporte (resumida)

• Objetivo: dominio raíz y rangos asociados.

• Fecha del reconocimiento y herramientas/versión.

• Hallazgos críticos (AXFR, DNS erróneos, subdominios huérfanos).

• Hallazgos de correlación (GA IDs, favicon hash, ASN).

• Recomendaciones de mitigación (bloquear AXFR, configurar DMARC/DKIM, revisar registros delegados).

• Evidencia (salidas de dig, amass, capturas).