jordiserrano.meClickFixKAIROSIntelTracker
Panel de inteligencia » WHOIS

WHOIS

Threat-actor 2 min lectura attack-pattern
Fecha
26 May 2026
Actor
attack-pattern
Tipo
Threat-actor
Pais
United States
Sector
-
Confianza
medium

WHOIS

Descripción de la Tecnica

WHOIS es una técnica relacionada con el MITRE ATT&CK que describe cómo los actores maliciosos utilizan datos públicos del registro de dominios para recopilar información relevante sobre víctimas. Este proceso implica consultar servidores WHOIS para obtener detalles como bloques IP asignados, contactos registrados y nombres de servidores DNS. La técnica está documentada en el MITRE ATT&CK como T1596.002, y su objetivo es facilitar la planificación o ejecución de ataques cibernéticos.

Como Funciona

Los adversarios pueden realizar consultas a servidores WHOIS para obtener datos estructurados sobre dominios registrados. Estos servidores, gestionados por organismos regionales de Internet (RIR), almacenan información sobre asignaciones de recursos como nombres de dominio, bloques IP y contactos. La técnica implica la extracción de datos que pueden ser utilizados para identificar objetivos, mapear redes o planificar ataques específicos. Por ejemplo, un atacante podría usar el nombre de dominio de una empresa para descubrir sus servidores DNS o detalles de contacto.

Actores que la Utilizan

Esta técnica es ampliamente utilizada por actores maliciosos en múltiples escenarios, incluyendo grupos cibernéticos, ransomware y APT (Advanced Persistent Threats). Aunque no se especifican actores particulares en el contexto proporcionado, se conoce que organizaciones como APT CLOUDBURGERS o CERTUS han utilizado métodos similares para recopilar información de dominios.

Detección

La detección de actividades basadas en WHOIS requiere monitoreo de consultas no estándar a servidores WHOIS y análisis de patrones anómalos. Por ejemplo, un aumento inesperado de consultas a dominios específicos o la extracción de contactos registrados pueden indicar una actividad maliciosa. Herramientas de seguridad pueden analizar registros de acceso a servidores WHOIS para identificar comportamientos no autorizados.

Indicadores de Compromiso (IOCs)

No hay Indicadores de Compromiso publicos disponibles.

Mitigación

Para mitigar el riesgo, se recomienda: - Proteger la información de WHOIS: Utilizar registros privados y evitar la disponibilidad pública de datos sensibles. - Monitoreo continuo: Implementar controles de seguridad para detectar consultas sospechosas a servidores WHOIS. - Políticas de registro: Limitar el acceso a registros de dominios y requerir validación de identidad para solicitudes de consulta. - Actualización de sistemas: Mantener actualizadas las herramientas de análisis para identificar patrones de actividad maliciosa.

← Volver al panel de inteligencia

Incidentes recientes

Clínica Vida12 Jun 2026 · direwolf Jewelex12 Jun 2026 · direwolf Nueva Pescanova Group12 Jun 2026 · direwolf Did Asia12 Jun 2026 · direwolf CCS GLOBAL TECH12 Jun 2026 · bravox University of Nottingham11 Jun 2026 · breach Notice11 Jun 2026 · shinyhunters Bitek System11 Jun 2026 · qilin