WHOIS: cómo saber quién está detrás de un dominio o una IP

WHOIS: cómo saber quién está detrás de un dominio o una IP

WHOIS es el registro público que te dice quién registró un dominio o a quién pertenece una IP: nombre, fechas, servidores DNS y contactos. Es la primera parada de cualquier investigación sobre una web.

Qué datos devuelve un WHOIS

  • Registrante: persona u organización titular (a menudo oculto por privacidad).
  • Registrador: la empresa donde se compró el dominio (GoDaddy, Namecheap, OVH…).
  • Fechas: creación, última actualización y expiración. Un dominio creado hace 3 días es sospechoso.
  • Servidores DNS: los nameservers que resuelven el dominio.
  • Estado: clientTransferProhibited, redemptionPeriod, etc.

Cómo consultar WHOIS paso a paso

1. Desde la terminal (lo más rápido)

En Linux y macOS ya viene el comando. En Windows usa WSL o el ejecutable de Sysinternals.

whois doblado.eu
whois google.com

Para filtrar solo lo útil:

whois google.com | grep -Ei "registrar|creation|expir|name server"

2. Desde el navegador (sin instalar nada)

  1. who.is: interfaz limpia con histórico básico.
  2. ICANN Lookup (lookup.icann.org): la fuente oficial, sin adornos.
  3. whois.domaintools.com: añade datos de hosting y capturas.

3. WHOIS de una IP (para geolocalizar)

Las IPs las gestionan los RIR (RIPE en Europa, ARIN en América). Consulta a quién pertenece un rango:

whois 8.8.8.8

Te dirá la organización (ej. Google LLC), el país y el rango inetnum. Así sabes si una IP es de un proveedor cloud, un ISP doméstico o una empresa concreta.

El problema de la privacidad WHOIS

Desde el GDPR, casi todos los registradores ocultan los datos personales. Verás campos como REDACTED FOR PRIVACY o un servicio de proxy (Domains By Proxy, Whois Privacy Corp). No te rindas: hay formas de rodearlo.

  • WHOIS histórico: WhoisXML API o DomainTools guardan capturas de antes de que se activara la privacidad. Muchos dominios revelan ahí su registrante original.
  • Correo del registrante: aunque esté redactado, a veces queda un alias tipo abuse@ o un formulario de contacto que revela el registrador real.
  • Cruce con otras fuentes: combina el WHOIS con certificados SSL (crt.sh), DNS y reverse IP. Con esas piezas montas el perfil completo. Amplía tu arsenal con estas herramientas OSINT.

Casos prácticos

Investigar una web sospechosa

  1. Mira la fecha de creación: los dominios de estafa suelen tener días o semanas de vida.
  2. Revisa el registrador y el país: incoherencias entre el idioma de la web y el origen del registro son una bandera roja.
  3. Saca la IP y su WHOIS: si un supuesto banco español aloja en un VPS anónimo, desconfía.

Detectar phishing

Ante un correo con enlace dudoso, pasa el dominio por WHOIS antes de hacer clic. Dominios recién creados, con privacidad total y nameservers gratuitos son el patrón clásico de una campaña de phishing.

Trucos rápidos

  • Combina WHOIS con dig o nslookup para ver la infraestructura completa.
  • Un reverse WHOIS (buscar por email o nombre) te lista todos los dominios de la misma persona.
  • Guarda una captura: los datos WHOIS cambian y a veces desaparecen tras una renovación.

Preguntas frecuentes

¿Es legal consultar el WHOIS de un dominio?

Sí. Es información pública pensada precisamente para consultarse. Otra cosa es el uso que hagas de esos datos: el acoso o el spam sí están prohibidos.

¿Por qué el WHOIS aparece «redacted» o vacío?

Por el GDPR y los servicios de privacidad. Los registradores ocultan datos personales por defecto. Usa WHOIS histórico o cruza con certificados y DNS para obtener más contexto.

¿Puedo saber la ubicación exacta de alguien por su IP?

No con precisión. El WHOIS de IP da la organización y el país del proveedor, no la dirección física del usuario. Para eso haría falta una orden judicial al ISP.

📥 Kit de Herramientas OSINT 2026 (gratis)

Las 23 herramientas OSINT que usamos, con sus comandos clave, en una cheat sheet descargable. Te la enviamos al instante.

Publicaciones Similares