Anonimizar y Desanonimizar Dominios ¿Para qué?
Comienzo aquí un spin-off de la serie de posts sobre SPAM en comentarios. Ya sabes: temas relacionados pero distintos. Como recordarás, teníamos una lista de dominios que estaban siendo promocionados mediante SPAM en foros, blogs y similares y habíamos echado un vistazo a algunos de ellos en dos entregas (1 y 2).
Si quieres saber a quién pertenece un dominio, puedes empezar mirando sus páginas. ¿Quién sabe? Quizá des con un teléfono del que tirar o en la sección de "Quiénes Somos" encuentres datos interesantes. El siguiente paso sería, en buena lógica, consultar los datos de registro de Whois, en las que se recogen el nombre del registrante del dominio, su dirección, su dirección de correo, su teléfono,...
Pero cada vez es más frecuente toparse aquí con datos anonimizados. Datos puestos por empresas que se dedican a ocultar los datos de los registrantes. No hace falta que un sitio web se dedique a actividades ilegítimas para que un servicio como éste tenga sentido: la razón puede ser, por ejemplo, evitar el correo no deseado. O salvaguardar de la privacidad de un particular que registra un dominio y no quiere que sus datos anden sueltos por ahí.
Pero cuando tenemos un montón de dominios y queremos determinar si pertenecen a una misma organización, o a una determinada red de sitios para SEO, estas ventajas juegan a favor de quienes están haciendo lo que no deben.
Programas para consultar Whois
Cuando se trata de analizar un buen número de dominios siempre es conveniente tener unos cuantos scripts y herramientas a mano. En lo que a Whois respecta, mis programas para Windows preferidos son tres. Y no necesariamente en el orden que los pongo:
- El primero nos lo proporciona la propia Microsoft y es una herramienta de línea de comandos creada por el bien conocido Mark Russinovich. Su nombre no podía ser más claro: Whois.
- También para línea de comandos es "WhoisCL", de Nirsoft.
- Finalmente, uno con su GUI, de nuevo creado por Nirsoft: "Whois This Domain".
Mi experiencia es que lo mejor es crearse unos cuantos scripts con herramientas de línea de comandos. Pero si se tiene prisa y/o pocas ganas de complicarse la vida, en unos minutos puede bajarse "Whois This Domain" y el fichero de servidores Whois disponible en la misma página de descarga. Se arranca el programa, se copia en él la lista de dominios a estudiar, se hace clic en el botón de "OK" y, al cabo de un rato, la información estará ahí:
Si se quiere copiar el resultado a una hoja de cálculo, basta con seleccionar todos los elementos y hacer clic en el botón correspondiente de la barra de herramientas. Eso sí, como el programa no siempre consigue extraer toda la información de la respuesta del servidor Whois, es conveniente realizar una revisión manual antes de dar los datos por buenos.
Correlaciones
El problema a la hora de investigar son aquellos dominios que en la imagen anterior tienen un "Yes" en la columna "Private Registration". Los que han anonimizado los datos del registrante.
Hay cosas que, sin ser definitivas, pueden constituir indicios de que dos sitios comparten propietario. Formas de llamar a los dominios, uso de la misma entidad de registro (registrar), dominios registrados en la misma fecha, sitios webs con contenidos muy parecidos, cruces de enlaces entre dominios, enlaces a varios dominios en un mismo sitio que ha sido vulnerado o en un mismo apunte que ha sido víctima del SPAM, etc.
O la forma de publicitarse. En algunos casos he encontrado cuentas de foros que, tras dedicarse durante un tiempo a hablar bien de un determinado sitio web, de pronto pasa a comentar también de forma positiva las cualidades de otros. Y... ¿sabes qué? Al final terminé comprobando que todos pertenecían a la misma persona.
Por otro lado, no todos las empresas "anonimizadoras" son igual de efectivas. Y no ya porque puedan dejar de ocultar algún dato (que de todo hay) sino por la forma en que proporcionan su protección. Así, algunas utilizan la misma cuenta de correo de contacto para todos sus clientes, encargándose ellas de redirigir los mensajes oportunos. Eso parece bastante seguro.
Otras crean una dirección para cada dominio, lo que proporciona privacidad pero menor grado de protección contra el SPAM.
Y, finalmente, están las que asignan a cada cliente una cuenta de correo. Lo cual no sé cómo irá para el SPAM, pero permite detectar redes de dominios. Como en este ejemplo:
Dos dominios que ahora sabemos que pertenecen (o perteneció en el caso del último resultado, porque ya expiró) a la misma persona. Aparte de usar los buscadores, hay herramientas, como Whoisology, que ya vimos en otra ocasión, DomainBigData, Whoismind o el "Reverse Whois Lookup" de ViewDNS, por citar algunos, que pueden ser de utilidad en esta tarea. Los resultados pueden ser de lo más interesante:
(continuará)
No hay comentarios:
Publicar un comentario