DominiosSeguridad TI

RDAP: Todo lo que necesitas saber sobre el "nuevo WHOIS"

deMarc Gelabert|30–35 Mín. tiempo de lectura

Tabla de contenidos

A lo largo de mis años trabajando con registros de dominio y ayudando a clientes a proteger su presencia en línea, me he encontrado con innumerables casos en los que el protocolo WHOIS, tan utilizado históricamente, ha generado dolores de cabeza: desde exponer datos personales sin el consentimiento del titular hasta hacer casi imposible mantener un control unificado de la información de registro. No es de extrañar, entonces, que quienes conocemos en profundidad cómo opera la industria hayamos insistido en la necesidad de un cambio tecnológico.

Ese cambio ha llegado con RDAP (Registration Data Access Protocol), un protocolo diseñado para resolver todas las ineficiencias de WHOIS y ofrecer una experiencia de consulta de datos mucho más segura, fiable y conforme a las nuevas normativas de privacidad. Lo he visto de primera mano: RDAP no se limita a ser “el sucesor de WHOIS”, sino que establece unas bases sólidas para que propietarios de dominios y usuarios corrientes puedan tener un mayor control sobre su información.

En este artículo, te contaré por qué RDAP está reemplazando a WHOIS, cuáles son sus aportaciones clave en materia de seguridad y privacidad, y cómo la adopción de este protocolo está transformando el ecosistema de nombres de dominio en todo el mundo. Además de explicarte su funcionamiento de forma técnica, me centraré en lo que más importa a la mayoría de las personas: cómo afecta esta transición a la manera en que registramos y gestionamos dominios. Conoce de primera mano, desde mi experiencia en la industria, por qué RDAP supone un paso decisivo hacia una Internet más confiable y segura. ¡Comencemos!

Introducción e historia de WHOIS

Para comprender la importancia de RDAP (Registration Data Access Protocol) y su papel como sucesor del protocolo WHOIS, es fundamental partir desde la historia de cómo se gestionaba la información de los dominios en los comienzos de Internet. Durante varias décadas, WHOIS fue el estándar principal para las consultas de datos de registro de nombres de dominio, ofreciendo un método simple y directo para averiguar quién estaba detrás de un determinado dominio. El protocolo WHOIS, que comenzó a utilizarse en los años 80, se convirtió en un punto de referencia ineludible para administradores de sistemas, investigadores de seguridad y, en general, para cualquier interesado en conocer la titularidad y datos técnicos asociados a los dominios.

¿Pero cómo surgió WHOIS en sus orígenes? En los primeros días de la red, Internet no tenía la amplitud ni la complejidad que hoy conocemos. Se limitaba a un conjunto pequeño de instituciones académicas y gubernamentales, que compartían recursos y necesitaban comunicarse para cooperar en el desarrollo de la infraestructura. WHOIS aparece entonces como un directorio sencillo que permitía averiguar datos de contacto sobre las personas responsables de un nodo, host o dominio. Con la expansión de la red y la creación de lo que más tarde se convertiría en la World Wide Web, la necesidad de conocer estos datos de registro continuó creciendo.

En aquel entonces, WHOIS se basaba en un modelo de texto plano. Se utilizaba un puerto estándar (normalmente el puerto 43) para las consultas, y el servidor respondía con una serie de líneas que contenían toda la información que el registrador de dominio había almacenado sobre el titular, incluyendo nombre, dirección, correo electrónico y número de teléfono, entre otros. Esta sencillez era, a la vez, su mayor virtud y su principal debilidad. En una era donde apenas existía la preocupación por la privacidad de los datos, este modelo resultaba muy útil. Cualquiera podía teclear un comando WHOIS seguido de un nombre de dominio y, casi inmediatamente, recibir la información completa de contacto de esa persona u organización.

A medida que Internet comenzó a crecer a ritmos exponenciales, WHOIS se convirtió en una herramienta masiva, pero la forma en que operaba prácticamente no cambió. El protocolo se mantuvo durante décadas sin una estandarización formal completa que unificara su salida de datos. Cada registro (los .com, .net, .org, ccTLDs, etc.) y cada entidad podía presentar la información de manera ligeramente diferente. Existían encabezados distintos, formato de fechas variado y discrepancias en la manera de presentar los datos de contacto. Esta falta de uniformidad ocasionaba problemas para quienes necesitaban analizar grandes volúmenes de información WHOIS. Las herramientas automáticas que querían procesar y extraer datos debían implementar parsers específicos para cada tipo de respuesta.

Además, WHOIS tampoco contaba con mecanismos de autenticación para distinguir entre distintos tipos de usuarios. Tanto un investigador de ciberseguridad como un particular, o incluso alguien con intenciones maliciosas, tenían acceso al mismo conjunto de datos. Esto incluía datos personales de los titulares de los dominios, como nombres, direcciones postales y correos electrónicos. Con el tiempo, y a medida que las preocupaciones sobre la privacidad y la protección de datos iban en aumento, WHOIS pasó a ser visto como un protocolo que no respetaba la creciente necesidad de salvaguardar la información personal.

Otro de los grandes retos de WHOIS fue la internacionalización. La globalización de Internet llevó a la introducción de dominios con caracteres no latinos (IDN), y WHOIS no estaba diseñado para manejar de manera uniforme estos alfabetos. La falta de compatibilidad con caracteres Unicode causaba confusiones y errores en las consultas relacionadas con nombres de dominio escritos en chino, árabe, cirílico y otros scripts.

Con el paso del tiempo, la comunidad técnica y las organizaciones responsables de la coordinación de los nombres y números en Internet (encabezadas por ICANN) empezaron a plantearse la necesidad de un protocolo alternativo. Este nuevo protocolo debía resolver las carencias de WHOIS, sobre todo en lo relativo a la estandarización de las respuestas, la privacidad, la autenticación y la internacionalización. Ese protocolo es RDAP.

Ahora bien, es importante comprender que la transición desde WHOIS a RDAP no es solo un cambio cosmético. Representa una evolución sustancial en la forma en que se gestiona y se sirve la información de registro, incorporando nuevas capas de seguridad, funcionalidades avanzadas y el cumplimiento de regulaciones internacionales de protección de datos. Sin embargo, antes de adentrarnos en RDAP en detalle, es necesario subrayar algunas limitaciones concretas de WHOIS y cómo han impulsado su sustitución.

Limitaciones de WHOIS y necesidades de cambio

El protocolo WHOIS, en su simpleza, cumplió su cometido en una era donde los problemas de seguridad informática y la magnitud de Internet eran muy distintos a la actualidad. Hoy, la red es un enorme ecosistema que abarca millones de sitios web y servicios que involucran transacciones económicas, información personal y un sinfín de operaciones críticas. Por ello, la transparencia total que caracterizaba a WHOIS fue pasando de ser una ventaja a ser un problema serio en cuanto a la privacidad y la protección de los datos. Veamos las limitaciones más relevantes que impulsaron el cambio:

  1. Falta de estandarización en la presentación de los datos
    WHOIS no estaba definido mediante un estándar uniforme que dictara la estructura y el formato exacto de los datos. Si bien hay ciertos elementos comunes en las respuestas (como “Registrant Name”, “Registrant Email”, “Registrar”, fechas de creación y expiración, etc.), cada operador de registro podía personalizar la forma en la que mostraba esta información. Esto provocaba que herramientas de análisis automatizado tuvieran que adaptarse a decenas o cientos de variantes diferentes. Para las empresas dedicadas al monitoreo de ciberseguridad, esta disparidad constituía un obstáculo importante, pues imposibilitaba un procesamiento ágil de los datos.
  2. Carencia de mecanismos de autenticación
    WHOIS no incluía un mecanismo que permitiera limitar la información que un usuario puede ver según su rol o nivel de privilegios. Todo se mostraba de forma prácticamente pública, sin importar quién hacía la consulta. Esto, con el tiempo, fue generando conflictos con las regulaciones de privacidad, ya que cualquier persona podía acceder a datos sensibles del titular de un dominio, incluyendo la dirección postal y el número de teléfono en algunos casos.
  3. Carencia de un modelo de control de acceso
    Esta falta de autenticación va de la mano con la ausencia de un modelo de control de acceso. En un entorno ideal, a un usuario se le mostraría solo aquella información que le corresponde o para la que tenga permisos adecuados. Por ejemplo, tal vez un organismo de seguridad necesitaría ciertos datos detallados sobre el titular, pero un usuario casual no tendría por qué acceder a esa información privada. WHOIS, al no integrar dicho modelo, era incapaz de proveer esta funcionalidad.
  4. Problemas de privacidad
    Durante mucho tiempo, la publicación abierta de datos WHOIS no se consideró un problema mayor. Pero con la llegada de legislaciones como el RGPD (Reglamento General de Protección de Datos de la Unión Europea), quedó claro que exponer indiscriminadamente la información personal del titular de un dominio podía contravenir la ley. Incluso antes del RGPD, muchas personas y organizaciones abogaban por la protección de la información personal frente al spam, acoso o uso indebido. Esto llevó a la aplicación de servicios de “privacidad de dominio”, que enmascaran los datos del titular con datos de un intermediario. Sin embargo, esto solo era un parche que no resolvía el problema de fondo en el protocolo.
  5. Seguridad deficiente
    Aunque WHOIS pudo migrar de “texto plano” a “texto plano transmitido por TLS” en ciertos servicios, no existía un mecanismo ampliamente adoptado para cifrar y proteger la comunicación. Esto provocaba que, en muchos casos, se enviaran datos a través de la red sin ningún tipo de cifrado, lo cual los hacía vulnerables a ser interceptados. Dado el alto interés que existe en explotar datos personales o técnicas de ingeniería social, este era un flanco débil importante.
  6. Escalabilidad
    A medida que Internet creció, WHOIS se enfrentó a problemas de rendimiento. Los servidores WHOIS podían saturarse, y cada operador de registro tenía sus propios métodos para limitar consultas masivas, habitualmente mediante bloqueos temporales (throttling) o restricciones de IP. No existía un enfoque estandarizado para gestionar la escalabilidad a gran escala.
  7. Internacionalización limitada
    La ausencia de soporte nativo para caracteres fuera del alfabeto inglés dificultaba el uso de WHOIS en países donde los nombres de dominio incluyen caracteres con acentos o directamente alfabetos distintos. Esto resultaba en datos corruptos o imposibles de leer y procesar adecuadamente.

Estas carencias conjuntadas demandaban un nuevo protocolo. Surgió la necesidad de un sistema más moderno, que permitiera estructurar la información de forma estándar, con capacidades de autenticación, cifrado, control de acceso y respeto por la privacidad. Se requería también un formato de datos fácilmente legible e integrable en aplicaciones web y de escritorio. Aquí es donde aparece RDAP.

Nacimiento de RDAP y contexto

El Registration Data Access Protocol (RDAP) no surgió de la noche a la mañana. Fue el resultado de un proceso en el que participaron ingenieros, empresas, organizaciones dedicadas a la gestión de nombres de dominio, grupos de trabajo de la Internet Engineering Task Force (IETF) y, desde luego, la ICANN (Internet Corporation for Assigned Names and Numbers). RDAP pretende servir como el nuevo estándar para acceder a la información de registro de dominios y de recursos de Internet, como direcciones IP o números de Sistemas Autónomos (ASN).

La IETF, encargada de desarrollar y promover estándares para Internet, publicó varios RFCs (Request for Comments) que detallan el funcionamiento de RDAP. Entre ellos destacan:

  • RFC 7480: “HTTP Usage in the Registration Data Access Protocol (RDAP)”
  • RFC 7481: “Security Services for the Registration Data Access Protocol (RDAP)”
  • RFC 7482: “Registration Data Access Protocol (RDAP) Query Format”
  • RFC 7483: “JSON Responses for the Registration Data Access Protocol (RDAP)”
  • RFC 7484: “Finding the Authoritative Registration Data (RDAP) Service”

Estos documentos cubren desde cómo se deben estructurar las URLs de consulta, pasando por el formato de las respuestas en JSON, hasta los aspectos de seguridad y autenticación. También explican la forma en la que se pueden descubrir los servidores que actúan como autoridades para cada TLD o conjunto de direcciones IP.

Por su parte, ICANN, en su rol de coordinar la administración del sistema de nombres de dominio (DNS) a nivel global, ha impulsado la adopción de RDAP entre los operadores de registro y los registradores. El objetivo es que, con el tiempo, RDAP reemplace totalmente a WHOIS, o al menos se convierta en la herramienta principal para la consulta de datos, haciendo que WHOIS pase a segundo plano o sea retirado.

Uno de los catalizadores que aceleró la implementación de RDAP fue la necesidad de cumplir con leyes de protección de datos, como el RGPD en Europa. En efecto, RDAP ofrece la posibilidad de mostrar datos en función del rol del solicitante y realizar consultas autenticadas, lo que facilita el cumplimiento con la normativa que requiere el uso más restringido y controlado de datos personales.

La adopción de RDAP no se limita a nombres de dominio. También puede utilizarse para direcciones IP y ASN, gracias a que organismos como los RIR (Regional Internet Registries) están implementando este protocolo. Esto amplía su alcance como un protocolo unificado para la obtención de datos de registro en Internet.

Llegados a este punto, queda claro que RDAP viene a solventar muchos de los problemas que WHOIS arrastraba. Sin embargo, el cambio no es tan simple. Se requiere de infraestructura y compromiso por parte de los actores clave. Muchos TLDs (Top-Level Domains) ya cuentan con servidores RDAP, mientras que otros todavía están en proceso de desplegarlos o refinarlos. La coexistencia de WHOIS y RDAP se seguirá observando durante varios años, pero la tendencia apunta a que RDAP se consolidará como estándar predominante.

Fundamentos técnicos de RDAP

RDAP introduce mejoras notables frente a WHOIS, que abarcan desde la capa de transporte hasta la forma de estructurar los datos y los mecanismos de autenticación. Para entender su arquitectura, conviene destacar los siguientes fundamentos técnicos:

  1. Uso de HTTP(S) como protocolo de transporte
    A diferencia de WHOIS, que operaba en el puerto 43 y transmitía datos en texto plano, RDAP se basa en HTTP(S). Esto significa que las consultas y respuestas viajan a través de conexiones cifradas bajo TLS cuando se emplea HTTPS, garantizando la confidencialidad e integridad de los datos. HTTP también ofrece la ventaja de ser un protocolo ampliamente utilizado y soportado por multitud de librerías y entornos de desarrollo, facilitando la integración con servicios web y aplicaciones.
  2. Respuestas en formato JSON
    El uso de JSON (JavaScript Object Notation) es uno de los aspectos más notables de RDAP. JSON es un formato de datos ligero y fácil de entender tanto para humanos como para máquinas. Esto permite que la información de registro se estructure con claves y valores, facilitando la inclusión de campos adicionales sin romper la compatibilidad con aplicaciones existentes. Además, JSON es un estándar de facto para servicios web modernos, por lo que su adopción en RDAP hace que sea más sencillo desarrollar software que maneje consultas de datos de dominio.
  3. Endpoints estandarizados
    RDAP define una serie de endpoints en HTTP para realizar consultas específicas. Por ejemplo, para consultar un nombre de dominio, es habitual hacer un GET a una URL del estilo:
    https://rdap.<proveedor>.com/domain/<nombre-de-dominio>
    De igual forma, existen endpoints para consultar contactos, servidores de nombres, bloques de direcciones IP, etc. Esta estandarización permite a los usuarios y desarrolladores saber de antemano cómo y dónde deben realizar la consulta, en lugar de tener que recurrir a distintas convenciones según cada servidor.
  4. Capacidad de búsqueda parcial
    WHOIS, en su forma más básica, permitía buscar solo por el nombre de dominio exacto. Si necesitabas, por ejemplo, encontrar todos los dominios registrados bajo cierto nombre de titular, no siempre estaba disponible de forma estándar (algunos servidores WHOIS sí lo ofrecían, pero no era universal). RDAP contempla la posibilidad de búsquedas más granulares, siempre y cuando el servidor lo permita. Por ejemplo, se podría buscar dominios que empiecen con cierta cadena o que pertenezcan a cierto contacto. Estas capacidades de búsqueda pueden estar condicionadas a la autenticación y a las políticas de cada operador.
  5. Mecanismos de descubrimiento de servidor
    Con WHOIS, el usuario muchas veces debía conocer la dirección del servidor WHOIS autoritativo para un dominio en concreto. RDAP, en cambio, define un sistema de redirecciones o delegaciones en el que se parte de un servidor base y, a través de metadatos, se “descubre” cuál es el servidor autoritativo para la consulta específica. Esto simplifica el proceso, ya que no necesitas estar al tanto de cada servidor en particular. El RFC 7484 detalla cómo se implementa esta función de “bootstrapping” o descubrimiento.
  6. Arquitectura escalable
    Gracias a estar basado en HTTP y en el modelo de redirecciones, RDAP maneja la escalabilidad de forma más ordenada. Los servidores pueden usar sistemas distribuidos y manejar miles o millones de solicitudes con mayor eficacia. Además, el uso de caching en HTTP permite respuestas más rápidas y eficientes.
  7. Extensibilidad
    Uno de los puntos fuertes de JSON es su extensibilidad. RDAP puede incluir campos específicos de un determinado registro o proveedor sin romper la compatibilidad con los clientes existentes, siempre y cuando se sigan las pautas establecidas por los RFC. Esto brinda una enorme flexibilidad para añadir metadatos adicionales, como información de geolocalización, DNSSEC y otros elementos que en WHOIS no estaban estandarizados.

Estas características sientan las bases de un protocolo mucho más robusto, moderno y adecuado a los desafíos actuales de la administración de nombres de dominio y direcciones en Internet. Sin embargo, la parte puramente técnica es solo una pieza del rompecabezas. Un aspecto crucial es cómo RDAP aborda la seguridad y la privacidad, elementos que han sido el principal impulsor de su adopción.

Mecanismos de seguridad y privacidad en RDAP

Uno de los motivos centrales para el desarrollo de RDAP radica en la necesidad de administrar mejor la privacidad y la seguridad en el acceso a la información de registro. A diferencia de WHOIS, que mostraba todo sin filtros, RDAP introduce los siguientes mecanismos:

  1. Conexiones cifradas mediante HTTPS
    El uso de TLS (Transport Layer Security) asegura que la información no sea interceptada ni modificada en tránsito. Dado que muchos datos de registro pueden ser sensibles, cifrar la conexión era un requisito básico para un protocolo moderno que se ubica en un entorno global cada vez más expuesto a amenazas de ciberseguridad.
  2. Autenticación de usuarios
    RDAP especifica cómo un servidor puede requerir autenticar a un cliente antes de proveer ciertos datos. La autenticación puede hacerse mediante tokens, certificados o incluso sistemas OAuth u otros mecanismos estándar de HTTP. Gracias a ello, es posible restringir el acceso a determinada información sensible únicamente a usuarios que tengan los permisos adecuados. Esto ayuda, por ejemplo, a cumplir con regulaciones de privacidad, ya que solo quienes tengan razones legítimas podrán ver ciertos detalles del titular de un dominio.
  3. Control de acceso basado en roles
    Una vez que un usuario está autenticado, RDAP permite a los operadores implementar políticas de acceso que determinen qué campos de datos se pueden mostrar a cada tipo de usuario o rol. Por ejemplo, un rol de “investigador de seguridad” podría acceder a datos más detallados que un “usuario anónimo”, sin vulnerar la privacidad de manera generalizada. Esto marca una gran diferencia con WHOIS, donde todo se mostraba de forma pública y homogénea.
  4. Políticas de respuesta parcial
    Además del control de acceso, un servidor RDAP puede devolver solo un subconjunto de la información en caso de que la política así lo establezca. Por ejemplo, si no te autenticas o si tu rol no tiene los privilegios adecuados, podrías ver una versión reducida de los datos: nombre del registrante como “Redactado por privacidad”, parte del correo electrónico enmascarado, etc. Esto faculta a los operadores de registro a cumplir con leyes como el RGPD, que exigen minimizar la divulgación de datos personales cuando no es estrictamente necesaria.
  5. Registro de auditoría
    Aunque no está definido de forma estricta en RDAP, la arquitectura basada en HTTP y la posibilidad de autenticación facilitan que los operadores de registro lleven un registro de quién accede a qué datos y cuándo. Esto es vital para propósitos legales o de cumplimiento normativo, ya que permite rastrear el uso indebido o excesivo de la información.
  6. Compatibilidad con servicios de privacidad y proxy
    Dado que RDAP no obliga a mostrar ciertos campos, sigue siendo compatible con servicios de privacidad de dominio (en los que la información personal del titular se sustituye por la de un proxy o intermediario). No obstante, ahora está mejor integrado y gestionado, pues puede existir una política clara para mostrar esta información solo a usuarios autenticados con un propósito legítimo.

La implementación de estos mecanismos de seguridad y privacidad no se limita al protocolo en sí, sino que depende de las políticas de cada operador de registro y la configuración de sus servidores RDAP. Sin embargo, la ventaja fundamental es que, a diferencia de WHOIS, RDAP pone los cimientos técnicos para que dichas políticas se apliquen de forma consistente y estandarizada. Esto implica un avance significativo hacia un equilibrio más adecuado entre la transparencia y la protección de datos.

Estructura de la respuesta: JSON en RDAP

Uno de los cambios más visibles y relevantes de RDAP en comparación con WHOIS es el uso de JSON para devolver la información de registro. Para quien no esté familiarizado con JSON, se trata de un formato de datos que utiliza pares de clave-valor y estructuras anidadas, algo que hace mucho más sencilla la interpretación automática de los datos.

A continuación, veremos un ejemplo hipotético de la estructura general que podría devolver un servidor RDAP al consultar un dominio. Ten en cuenta que la disposición exacta puede variar según el TLD o las políticas del operador, pero el formato de alto nivel es similar:

json
{
  "objectClassName": "domain",
  "handle": "DOM-1234567",
  "ldhName": "ejemplo.com",
  "unicodeName": "ejemplo.com",
  "status": [
    "active"
  ],
  "events": [
    {
      "eventAction": "registration",
      "eventDate": "2022-01-01T10:00:00Z"
    },
    {
      "eventAction": "expiration",
      "eventDate": "2023-01-01T23:59:59Z"
    }
  ],
  "entities": [
    {
      "objectClassName": "entity",
      "handle": "REG-12345",
      "roles": [
        "registrant"
      ],
      "vcardArray": [
        "vcard",
        [
          ["version", {}, "text", "4.0"],
          ["fn", {}, "text", "Nombre del Registrante"],
          ["adr", {}, "text", "Dirección del Registrante"],
          ["tel", {}, "uri", "tel:+1.5551234567"],
          ["email", {}, "text", "contacto@ejemplo.com"]
        ]
      ]
    }
  ],
  "nameservers": [
    {
      "ldhName": "ns1.ejemplo.com"
    },
    {
      "ldhName": "ns2.ejemplo.com"
    }
  ],
  "links": [
    {
      "value": "https://rdap.<operador>.com/domain/ejemplo.com",
      "rel": "self",
      "type": "application/rdap+json",
      "href": "https://rdap.<operador>.com/domain/ejemplo.com"
    }
  ]
}

En este ejemplo ficticio se pueden ver varios campos que ilustran cómo RDAP organiza la información:

  • objectClassName: Indica el tipo de objeto (dominio, entidad, etc.).
  • handle: Un identificador único interno del objeto.
  • ldhName: Nombre en formato ASCII (“letter-digit-hyphen”), que corresponde al nombre de dominio en su variante punycode si se trata de un dominio internacionalizado.
  • unicodeName: Nombre en Unicode, si aplica.
  • status: Lista de estados del dominio, por ejemplo, “active”, “locked”, etc.
  • events: Fechas relevantes, como la fecha de registro, de expiración o de última actualización.
  • entities: Representan a las personas u organizaciones relacionadas con el dominio (registrante, contactos técnicos, contactos administrativos, etc.). Aquí se usa el formato vCard para detallar información de contacto.
  • nameservers: Lista de servidores de nombres asociados al dominio.
  • links: Enlaces adicionales relevantes al objeto, como la URL a la cual se realizó la consulta.

Este es solo un ejemplo esquemático, pero ayuda a ilustrar la consistencia y organización que ofrece JSON. La presencia de “roles” en la sección de “entities” refleja cómo RDAP categoriza la función de cada contacto. Además, cada objeto puede tener subobjetos o enlaces a otros recursos, generando una base de datos más rica y navegable en comparación con la respuesta de texto plano de WHOIS.

Para los desarrolladores, extraer datos de un JSON es mucho más sencillo. En la mayoría de los lenguajes de programación se dispone de librerías que pueden convertir JSON en estructuras nativas, lo que agiliza tareas como listar todos los nombres de dominio registrados por una persona, examinar fechas de expiración para monitorear renovaciones, verificar el estado de DNSSEC, etc. Esta facilidad de uso impacta de forma muy positiva en la industria, fomentando la creación de herramientas más potentes y eficientes de análisis de datos de registro.

Acceso, autenticación y roles de usuario

En WHOIS, cualquier usuario que realizara una consulta recibía la misma información, sin distinción de rol o privilegio. RDAP, en cambio, habilita un sistema en el que diferentes categorías de usuarios pueden autenticarse y obtener distintos niveles de detalle en función de sus permisos. Esto se basa en varios principios:

  1. Autenticación
    El servidor RDAP puede requerir a determinados usuarios que se autentiquen. Este proceso puede consistir en un token de acceso basado en OAuth, en contraseñas temporales, en certificados digitales o en otros métodos según la implementación. La meta es que el servidor reconozca quién está consultando y, en base a eso, aplique la política de acceso adecuada.
  2. Roles de usuario
    Una vez que el servidor identifica al usuario, puede asignarle un rol. Podría existir, por ejemplo, un rol “anónimo” para quien no se ha autenticado o no ha iniciado sesión, un rol “registrante” cuando se trata de la persona que registra el dominio, un rol “agente de seguridad” si procede de alguna entidad con legitimidad para investigar amenazas en línea, etc. Cada rol tendría acceso a una vista distinta de los datos.
  3. Política de acceso
    Las políticas (definidas por cada operador o por regulaciones aplicables) determinan qué datos se muestran a cada rol. Por ejemplo, un usuario anónimo podría ver solo que el dominio está registrado y el rango de fechas, mientras que un usuario con rol de “registrante” podría acceder a su información completa y la de los contactos de soporte. Este modelo es mucho más flexible y seguro que WHOIS, donde todo se mostraba a todo el mundo por igual.
  4. Flujo de consulta y verificación
    Cuando alguien hace una consulta a un endpoint RDAP, el servidor puede redirigir primero a un sistema de autenticación si la política así lo exige. De lo contrario, se puede retornar la respuesta con los datos públicos. En caso de que el usuario haya iniciado sesión o tenga un token, el servidor evalúa sus permisos y decide si mostrar los datos extendidos o no.
  5. Auditoría y trazabilidad
    Como resultado de este proceso, es más viable llevar un registro de quién consultó qué y cuándo. Esto es fundamental para cumplir con leyes que exigen documentar los accesos a datos personales. También permite detectar patrones de uso indebido, como consultas masivas destinadas a recopilar direcciones de correo o a preparar ataques de ingeniería social.

Este cambio es un aspecto clave de la evolución hacia RDAP, porque reconcilia las necesidades de transparencia y disponibilidad de información con la protección de la privacidad y el cumplimiento normativo. No obstante, la implementación efectiva depende de que cada operador de registro o registrador configure de forma adecuada sus políticas y sistemas de autenticación, algo que no siempre ocurre al mismo ritmo.

Ejemplos de consultas RDAP y comparación con WHOIS

Para hacerse una idea clara de la diferencia entre WHOIS y RDAP, conviene ilustrar algunos ejemplos básicos de consultas. Comencemos con un caso simple de WHOIS:

whois ejemplo.com

La respuesta típica mostraría en texto plano la siguiente información:

json
Domain Name: EJEMPLO.COM
Registry Domain ID: 1234567_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.<registrador>.com
Registrar URL: http://www.<registrador>.com
Updated Date: 2023-01-01T12:34:56Z
Creation Date: 2022-01-01T10:00:00Z
Registry Expiry Date: 2024-01-01T10:00:00Z
Registrar: ...
Registrant Name: John Doe
Registrant Organization: Ejemplo Corp
Registrant Street: 1234 Example Road
Registrant City: Ciudad
Registrant State/Province: Estado
Registrant Postal Code: 12345
Registrant Country: ...
Registrant Phone: +1.5551234567
Registrant Email: ...
...
Name Server: NS1.EJEMPLO.COM
Name Server: NS2.EJEMPLO.COM
DNSSEC: unsigned

Esta salida depende del servidor WHOIS, pero en esencia, cualquiera que lance esta consulta podría ver la misma información, incluyendo datos personales, si no se ha utilizado un servicio de protección de privacidad.

En RDAP, haríamos la consulta a una URL HTTPS específica, por ejemplo:

GET https://rdap.<operador>.com/domain/ejemplo.com

La respuesta vendría en formato JSON (similar al ejemplo dado en una sección anterior), y podría ser más o menos detallada dependiendo de si el usuario está autenticado o no. Un usuario sin autenticación podría recibir algo como:

json
{
  "objectClassName": "domain",
  "ldhName": "ejemplo.com",
  "status": [
    "active"
  ],
  "events": [
    {
      "eventAction": "registration",
      "eventDate": "2022-01-01T10:00:00Z"
    },
    {
      "eventAction": "expiration",
      "eventDate": "2023-01-01T23:59:59Z"
    }
  ],
  "entities": [
    {
      "objectClassName": "entity",
      "handle": "REG-12345",
      "roles": [
        "registrant"
      ],
      "vcardArray": [
        "vcard",
        [
          ["fn", {}, "text", "Información restringida"],
          ["email", {}, "text", "Información restringida"]
        ]
      ]
    }
  ],
  "nameservers": [
    { "ldhName": "ns1.ejemplo.com" },
    { "ldhName": "ns2.ejemplo.com" }
  ]
}

Observa cómo la información del registrante aparece como “Información restringida”. Si el mismo usuario se autentica como titular del dominio, el servidor RDAP podría darle acceso completo a sus datos, mostrados de forma muy similar al ejemplo “extendido” de antes, pero con la información personal real. Esto ejemplifica la flexibilidad de RDAP para adaptarse a diferentes políticas de privacidad.

En el caso de los dominios registrados con INWX, puedes consultar la información mediante nuestro servidor RDAP directamente desde el navegador: https://rdap.domrobot.com/domain/inwx.com, realizando esta consulta recibes, a día de hoy, la respuesta en JSON y formateada por el propio navegador, facilitando su lectura y análisis.

La comparación, por tanto, se resume en que WHOIS es un sistema de todo o nada para la información. RDAP, en cambio, puede entregar respuestas adaptativas según la política definida. Además, su salida JSON es más estructurada y fácil de procesar automáticamente. Para los usuarios normales, puede que la diferencia inicial sea que, en RDAP, no siempre verán el nombre y el email del titular del dominio. Sin embargo, esto está diseñado así para proteger la información personal y cumplir con las normativas vigentes.

El principal inconveniente de RDAP es que cada servidor solo puede ofrecer información sobre los dominios que administra directamente. Por ello, si necesitas consultar dominios gestionados por otros operadores, te recomendamos usar herramientas genéricas, como https://client.rdap.org/, que redirigen automáticamente la consulta al servidor RDAP correspondiente.

Impacto en usuarios normales de Internet

Aunque a primera vista un protocolo de consulta de datos de dominio podría parecer de interés solo para administradores de sistemas o especialistas en seguridad, la realidad es que RDAP repercute en la experiencia y protección de cualquier persona que use Internet. A continuación se explican los puntos clave:

  1. Mayor privacidad de datos personales
    Con RDAP, la información de contacto del titular de un dominio no estará accesible de forma indiscriminada. Esto reduce el riesgo de que un usuario normal, que ha registrado un dominio para su blog o su negocio personal, reciba spam, llamadas de telemarketing o ataques de phishing basados en datos extraídos de WHOIS. En síntesis, tu información no estará inmediatamente disponible para cualquier persona que busque tu dominio.
  2. Cumplimiento de regulaciones de privacidad
    Muchas personas han escuchado sobre el RGPD en la Unión Europea, y otras leyes similares en distintas regiones que tienen requisitos exigentes sobre el trato de datos personales. RDAP facilita a las entidades encargadas del registro de dominios cumplir con estos requisitos, pues pueden aplicar políticas de acceso más granulares. Esto, indirectamente, beneficia a los usuarios finales al asegurarse de que sus datos no sean divulgados en exceso.
  3. Información más confiable
    Al contar con un sistema de autenticación y control de acceso, se reduce la probabilidad de que la información en los registros sea manipulada sin que el operador lo note. Además, la estandarización del formato de los datos permite que haya menos espacio para confusiones o errores en la presentación de la información. Un usuario que quiera comprobar la vigencia de su dominio o los datos de contacto técnicos obtendrá respuestas claras y consistentes.
  4. Menos spam y fraude
    Una de las tácticas de los spammers era obtener correos electrónicos y números de teléfono de las bases de WHOIS. Con RDAP, estos datos no estarán tan fácilmente accesibles de manera anónima, lo que reduce su recolección masiva. Esto contribuye a mitigar el spam y otros fraudes basados en el uso indebido de información personal.
  5. Uso más eficiente en aplicaciones y servicios
    Si utilizas herramientas para monitorear tus dominios, detectar su fecha de expiración o verificar la configuración de DNS, RDAP facilita que estas aplicaciones reciban datos de forma estructurada. Esto significa servicios más rápidos y confiables, pues no tienen que interpretar texto sin formato lleno de variaciones.
  6. Posibilidad de servicios mejorados
    RDAP podría habilitar la creación de servicios avanzados que, por ejemplo, muestren paneles de control con múltiples dominios, su estado, fechas de renovación y otra información clave. En el futuro, es probable que surjan más servicios que usen RDAP como fuente de datos, beneficiando a los usuarios con herramientas de administración, seguridad y análisis.

Como usuario normal de Internet, puede que nunca interactúes directamente con RDAP. Sin embargo, sabrás que tu información de contacto está mejor protegida y que las empresas con las que registras tus dominios estarán cumpliendo con la normativa de datos más fácilmente. Este cambio reduce la exposición a riesgos y asegura que solo entes con legitimidad (por ejemplo, cuerpos de seguridad) puedan acceder a datos personales detallados, y no cualquier persona en el mundo. Eso, sin duda, marca una diferencia notable frente a la época de WHOIS.

Impacto en propietarios de dominios e industria

Para quienes tienen uno o varios dominios, la llegada de RDAP puede plantear preguntas sobre cómo afecta el proceso de registro y el control de su información. Asimismo, para la industria de nombres de dominio, incluyendo los TLDs y los registradores, la adopción de RDAP supone un conjunto de obligaciones técnicas y legales que deben considerarse con atención. Veamos los efectos:

  1. Propietarios de dominios Mayor control sobre la privacidad: Si gestionas uno o varios dominios, RDAP te ofrece más garantías de que tu información personal no quedará expuesta a cualquiera. Opciones de autenticación para la gestión de datos: Al existir un sistema de control de acceso, podrías autenticarte para ver o actualizar ciertos datos relacionados con tu dominio sin tener que mostrar esa información públicamente. Potencial de costos adicionales: Algunas entidades podrían cobrar servicios de registro privado o autenticación avanzada. No obstante, esto dependerá de las políticas de cada uno y no es un requisito intrínseco de RDAP. Menor riesgo de ser blanco de spam: Se reduce la práctica de raspar datos de WHOIS, lo cual redundará en menos correos basura o llamadas no deseadas.
    • Mayor control sobre la privacidad: Si gestionas uno o varios dominios, RDAP te ofrece más garantías de que tu información personal no quedará expuesta a cualquiera.
    • Opciones de autenticación para la gestión de datos: Al existir un sistema de control de acceso, podrías autenticarte para ver o actualizar ciertos datos relacionados con tu dominio sin tener que mostrar esa información públicamente.
    • Potencial de costos adicionales: Algunas entidades podrían cobrar servicios de registro privado o autenticación avanzada. No obstante, esto dependerá de las políticas de cada uno y no es un requisito intrínseco de RDAP.
    • Menor riesgo de ser blanco de spam: Se reduce la práctica de raspar datos de WHOIS, lo cual redundará en menos correos basura o llamadas no deseadas.
  2. Industria de nombres de dominio Necesidad de implementar servidores RDAP: Los operadores de TLD y los registradores han tenido que desplegar y mantener servidores RDAP para cumplir con las especificaciones de ICANN y, en algunos casos, con la legislación de distintos países. Actualización de sistemas y protocolos internos: Se requieren cambios en las bases de datos y en la forma de almacenar los datos de registro. Esto implica cierta inversión en desarrollo y configuración. Mayor complejidad en políticas de acceso: Con RDAP, la empresa que gestione el registro o la asignación de dominios debe definir reglas claras y consistentes de quién ve qué datos. Esto puede requerir la implementación de sistemas de roles y autenticación, con su correspondiente mantenimiento. Oportunidades de ofrecer servicios adicionales: La granularidad y la estandarización de RDAP abren la puerta a ofrecer servicios premium, como paneles de gestión unificada, notificaciones automatizadas, integraciones con sistemas de ciberseguridad, etc. Cumplimiento normativo: Con RDAP, la industria tiene más facilidades para cumplir con reglamentaciones como el RGPD, pues el protocolo permite filtrar y proteger los datos personales de forma nativa.
    • Necesidad de implementar servidores RDAP: Los operadores de TLD y los registradores han tenido que desplegar y mantener servidores RDAP para cumplir con las especificaciones de ICANN y, en algunos casos, con la legislación de distintos países.
    • Actualización de sistemas y protocolos internos: Se requieren cambios en las bases de datos y en la forma de almacenar los datos de registro. Esto implica cierta inversión en desarrollo y configuración.
    • Mayor complejidad en políticas de acceso: Con RDAP, la empresa que gestione el registro o la asignación de dominios debe definir reglas claras y consistentes de quién ve qué datos. Esto puede requerir la implementación de sistemas de roles y autenticación, con su correspondiente mantenimiento.
    • Oportunidades de ofrecer servicios adicionales: La granularidad y la estandarización de RDAP abren la puerta a ofrecer servicios premium, como paneles de gestión unificada, notificaciones automatizadas, integraciones con sistemas de ciberseguridad, etc.
    • Cumplimiento normativo: Con RDAP, la industria tiene más facilidades para cumplir con reglamentaciones como el RGPD, pues el protocolo permite filtrar y proteger los datos personales de forma nativa.
  3. La importancia de la transición ordenada
    Si bien RDAP ya está bastante extendido, WHOIS sigue existiendo. Muchos usuarios y organizaciones se sienten cómodos con la antigua herramienta y podrían continuar usándola. Sin embargo, la tendencia es clara: ICANN promueve que los registros y registradores prioricen RDAP como la vía principal de acceso a los datos. Es probable que, a medio o largo plazo, WHOIS se convierta en un servicio residual o desaparezca.

En el caso de INWX, como cualquier otra entidad del sector, la implementación de RDAP se ha convertido en un proyecto prioritario para ofrecer un servicio moderno, seguro y alineado con los requerimientos de la comunidad de Internet y las leyes de protección de datos. Para los usuarios, esto se traduce en una mayor tranquilidad sobre su información y la posibilidad de acceder a servicios más sofisticados basados en RDAP.

Desafíos de adopción y estado actual

Aunque RDAP representa un avance técnico significativo, su adopción se ha enfrentado a varios desafíos:

  1. Resistencia al cambio
    Muchos equipos y organizaciones llevan décadas utilizando WHOIS. Cambiar a RDAP implica reformar no solo las herramientas de consulta, sino también adaptar scripts y flujos de trabajo que se basaban en la salida de texto de WHOIS. Esto puede ralentizar el proceso de adopción, especialmente en administraciones públicas o grandes empresas que cuentan con procedimientos muy establecidos.
  2. Diferencias de políticas en los TLD
    Algunos TLD tienen requisitos de transparencia más estrictos, mientras que otros aplican reglas de privacidad muy rigurosas. Esto genera que la implementación de RDAP no sea homogénea en todos los dominios. Algunos TLD pueden tardar más en ofrecer un servicio RDAP completo con autenticación y filtrado de datos.
  3. Costes de infraestructura
    Mantener un servidor RDAP implica costos adicionales en servidores, desarrollo, soporte y cumplimiento regulatorio. Aunque es parte de la evolución esperada, no todas las entidades tienen los mismos recursos para implementarlo de forma inmediata.
  4. Coexistencia con WHOIS
    Durante la fase de transición, los operadores deben gestionar ambos protocolos, lo que añade complejidad. Aunque la tendencia es ir abandonando WHOIS, no está claro si se producirá un apagón completo a corto plazo. Esta dualidad complica la arquitectura de sistemas y puede generar confusiones en los usuarios.
  5. Educación y concienciación
    RDAP no siempre es conocido por el usuario final. Muchas personas siguen asumiendo que “WHOIS” es la forma de consultar datos de dominio y no están informadas de la existencia de un nuevo protocolo. Las empresas y organizaciones interesadas en la privacidad y la seguridad deben esforzarse en difundir las ventajas de RDAP y fomentar su uso.

Aun con estos desafíos, el estado actual de RDAP es prometedor. La mayoría de los TLDs genéricos (gTLDs) ofrecen soporte de RDAP, y cada vez más ccTLDs (dominios de país) se suman al estándar. ICANN, por su parte, promueve activamente la transición, por lo que se espera que el volumen de consultas RDAP supere al de WHOIS en un futuro no muy lejano. Para usuarios finales y empresas, el mensaje es claro: RDAP es el camino hacia un Internet más seguro y respetuoso con la privacidad.

Futuras mejoras y tendencias

El hecho de que RDAP se base en tecnologías modernas y abiertas, como HTTP y JSON, permite que sea más sencillo incorporar mejoras a futuro. Algunas de las tendencias y posibles desarrollos que se vislumbran son:

  1. Extensiones para DNSSEC y seguridad adicional
    Aunque RDAP ya puede manejar campos que indiquen si un dominio tiene habilitado DNSSEC, es posible que surjan extensiones que proporcionen datos más específicos, como la cadena de confianza o indicadores avanzados de seguridad.
  2. Integración con sistemas de reputación y análisis de amenazas
    Se podrían desarrollar extensiones para incluir metadatos relacionados con la reputación de un dominio, informes de phishing o malware conocidos, con la finalidad de que los usuarios y servicios de seguridad obtengan una visión más completa de la confiabilidad de un nombre de dominio.
  3. Aplicaciones móviles y servicios cloud
    Debido a su arquitectura web-friendly, RDAP se presta bien a su integración en aplicaciones móviles y servicios en la nube. Podríamos ver la aparición de paneles en la nube que monitoricen dominios, direcciones IP e identifiquen de forma temprana posibles problemas legales, de expiración o de configuración DNS.
  4. Mayor automatización en la gestión de dominios
    La estandarización de la consulta y el control de acceso permitirán procesos de renovación y administración de dominios más automatizados. Por ejemplo, se podrían lanzar alertas automáticas cuando un dominio está próximo a expirar o cuando cambian ciertos datos en su registro.
  5. Adopción masiva en ccTLDs
    Aunque muchos TLDs genéricos ya han implementado RDAP, falta que la adopción se extienda en todos los ccTLDs. A medida que más países modernicen su infraestructura, se completará el ecosistema de datos global.
  6. Refuerzo de la privacidad
    Con la experiencia obtenida y la evolución de leyes de protección de datos, es probable que las políticas de acceso se vayan ajustando y refinando. Surgen discusiones constantes sobre cómo equilibrar la necesidad de transparencia en la Red con la privacidad de los individuos y organizaciones. RDAP ofrece la base para gestionar este equilibrio de forma más dinámica que WHOIS.

En síntesis, RDAP es un protocolo vivo y en evolución que seguirá adaptándose a las necesidades emergentes de la comunidad de Internet. Su diseño modular y flexible lo hace especialmente preparado para encarar los retos futuros de seguridad, escalabilidad y privacidad.

Conclusiones

A lo largo de este artículo, hemos explorado en profundidad qué es RDAP y por qué se está posicionando como el sucesor natural de WHOIS. Hemos visto cómo WHOIS, a pesar de sus grandes servicios a la comunidad de Internet durante décadas, presentaba limitaciones graves en cuanto a estandarización, seguridad, privacidad y flexibilidad. RDAP responde a estos desafíos con una arquitectura moderna basada en HTTP(S), respuestas en JSON, mecanismos de autenticación y control de acceso, e internacionalización, entre otras ventajas.

Para usuarios normales de Internet, RDAP significa una mayor protección de sus datos personales y, en última instancia, una Red algo más segura y alineada con las exigencias legales actuales. Para los propietarios de dominios, brinda mayor tranquilidad en cuanto a la privacidad de su información y la posibilidad de acceder a servicios más avanzados para la gestión de sus activos digitales. En cuanto a la industria, RDAP supone una inversión en infraestructura y un cambio de paradigma, pero ofrece la oportunidad de desplegar servicios y herramientas más potentes, además de cumplir con las normativas de forma más sencilla.

Aunque la adopción de RDAP continúa en marcha y convive con WHOIS, la tendencia es que se consolide como el protocolo principal. ICANN y la comunidad técnica están impulsando este cambio de forma cada vez más firme. Cabe esperar que, en los próximos años, WHOIS quede como un vestigio histórico y la mayoría de las consultas de datos de registro se realicen de forma nativa mediante RDAP.

El desafío para quienes trabajan en el sector es doble: por un lado, migrar las herramientas, scripts y sistemas internos que dependen de WHOIS. Por otro lado, educar a los usuarios sobre las implicaciones positivas de RDAP y la forma en que pueden interactuar con él cuando sea necesario. Pero, superados estos retos, se abre la puerta a un sistema de nombres de dominio más robusto y preparado para el futuro.

Fuentes de información y referencias

A continuación, se listan algunas fuentes y referencias oficiales y técnicas para profundizar en RDAP:

  1. Sitio oficial de ICANN sobre RDAP
    https://www.icann.org/rdap
  2. Registration Data Access Protocol Timeline - ICANN
    https://www.icann.org/resources/pages/rdap-background-2018-08-31-en
  3. Documentos RFC relevantes (publicados por la IETF): RFC 7480 – HTTP Usage in the Registration Data Access Protocol (RDAP)
    https://datatracker.ietf.org/doc/html/rfc7480 RFC 7481 – Security Services for the Registration Data Access Protocol (RDAP)
    https://datatracker.ietf.org/doc/html/rfc7481 RFC 7482 – Registration Data Access Protocol (RDAP) Query Format
    https://datatracker.ietf.org/doc/html/rfc7482 RFC 7483 – JSON Responses for the Registration Data Access Protocol (RDAP)
    https://datatracker.ietf.org/doc/html/rfc7483 RFC 7484 – Finding the Authoritative Registration Data (RDAP) Service
    https://datatracker.ietf.org/doc/html/rfc7484
  4. Información sobre el RGPD Reglamento General de Protección de Datos (UE) 2016/679:
    https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=CELEX:32016R0679
  5. Página de IETF https://www.ietf.org/

Estas referencias proporcionan información detallada y especificaciones técnicas. Quien desee profundizar sobre cómo se definen las políticas de autenticación, la estructura JSON o las particularidades de la implementación, puede consultar directamente los RFC mencionados. Asimismo, la página de ICANN sobre RDAP incluye documentación y guías adicionales para operadores de registro, registradores y usuarios interesados.

Palabras finales:
RDAP se perfila como una pieza clave en la modernización de la infraestructura de nombres de dominio. Su diseño responde directamente a muchas de las necesidades no cubiertas por WHOIS, especialmente en materia de privacidad, seguridad y flexibilidad. Para los usuarios, la transición implica una Internet más respetuosa con sus datos y, potencialmente, con servicios de gestión de dominios más integrados y eficientes. La adopción seguirá creciendo en los próximos años, consolidándose como el estándar de facto en la consulta de datos de registro a nivel global. Si bien el cambio requiere esfuerzo técnico y cultural, las ventajas de RDAP hacen que este paso sea no solo inevitable, sino también enormemente beneficioso para la comunidad de Internet.

Compartir

Marc Gelabert

Marc comenzó su carrera en la industria de los dominios en 2009 y forma parte del equipo de INWX desde 2019 como director ejecutivo de nuestra empresa en España. Su pasión por los dominios y su amplio conocimiento de las normativas de ICANN y de la ciberseguridad lo convierten en un verdadero experto del sector.

artículo anterior

/

próximo artículo

Logo of icann partner company
Logo of denic partner company
Logo of switch partner company
Logo of es partner company
Logo of eu partner company
Logo of banktransfer payment company
Logo of american-express payment company
Logo of mastercard payment company
Logo of visa payment company
Logo of paypal payment company

© Copyright INWX 2026. All rights reserved.