DNSSEC+RDAP¿y WHOIS?

TL;DR → WHOIS fue reemplazado por RDAP en enero de 2025, DNSSEC se prepara para usar nuevas claves en 2026, y los ccTLD como el .sv funcionan con sus propias reglas. ¿Qué cambió? ¿Cómo activar DNSSEC? ¿Qué hacer con tus datos personales?

DNSSEC

DNSSEC (Domain Name System Security Extensions) es la forma de verificar que los datos de tu zona DNS son legítimos y no han sido manipulados. Te protege del envenenamiento de caché DNS ¿envene qué? Es cuando un atacante mete registros falsos en tu zona y redirige a tus visitantes a donde le da la gana.

ICANN está preparando nuevas claves criptográficas (trust anchors) que van a entrar en uso para firmar la zona raíz del DNS en este 2026. Y en Europa, con la directiva NIS2, DNSSEC ya se trata como infraestructura crítica: no es opcional si operás servicios serios.

Algo importante que muchos pasan por alto: DNSSEC por sí solo no es suficiente. Te protege una parte de la cadena, pero si no combinás con otras capas (DANE para vincular certificados SSL a tu DNS, políticas de SPF/DKIM/DMARC bien configuradas, monitoreo constante de tu zona), dejás ventanas abiertas.

Es como ponerle tres candados a la puerta principal y dejar las ventanas sin seguro.

La mayoría de proveedores de DNS y registradores ya soportan DNSSEC. Si el tuyo no lo ofrece o te lo complica, es hora de buscar otro.

Cómo activar DNSSEC en Cloudflare

En Cloudflare el proceso es sencillo.

Vas a DNS > Settings, le das clic a Enable DNSSEC y te genera el registro DS automáticamente.

Si tu dominio está registrado con Cloudflare, no tenés que hacer nada más: ellos publican el DS por vos.

Si tu registrador es otro (Namecheap, Porkbun, GoDaddy…), tenés que copiar ese registro DS y agregarlo manualmente en el panel de tu registrador. Un registro, una vez, y listo.

Para verificar que quedó bien configurado podés usar DNSViz, que te muestra la cadena de confianza completa de tu dominio.

WHOIS ya fue reemplazado por RDAP

Esto es lo más relevante que pasó desde la versión original de este post: WHOIS fue reemplazado oficialmente por RDAP el 28 de enero de 2025. RDAP (Registration Data Access Protocol) es el sucesor.

¿Por qué dejaron ir a WHOIS? Porque era un protocolo viejo, sin estandarización, sin seguridad y completamente incompatible con regulaciones como el GDPR europeo.

WHOIS le mostraba todo a todo el mundo por igual: no había forma de diferenciar entre una consulta legítima de una autoridad y un scraper recolectando datos para spam.

RDAP soluciona varios problemas:

• Usa HTTPS (comunicación cifrada)
• Entrega datos en formato JSON (estructurados y legibles por máquinas)
• Soporta caracteres internacionales
• Permite acceso por niveles.

Esto quiere decir que cierta información puede estar disponible para autoridades o investigadores verificados, mientras que el público general (y los cibercriminales) ve datos redactados.

Para hacer consultas, ICANN tiene su herramienta oficial en ICANN lookup.

El caso de los ccTLD

Ojo con los dominios de código de país. El cambio a RDAP solo es obligatorio para los gTLD (.com, .net, .org, etc.) que están bajo la jurisdicción de ICANN. Los ccTLD se manejan con sus propias reglas y tiempos.

Por ejemplo un dominio .sv, SVNet todavía opera con WHOIS tradicional a través de whois.nic.sv. No tienen implementación de RDAP. Y no son los únicos: un poco más del 34% de los ccTLD a nivel mundial han adoptado RDAP hasta ahora.

Así que si tu dominio es de código de país, revisá bien qué datos se están mostrando.

¿Y mis datos personales?

Desde que el GDPR entró en vigor en 2018, la mayoría de registradores empezaron a ocultar datos personales por defecto en los dominios gTLD. Ya no tenés que pagar extra por “protección de privacidad” en la mayoría de casos, porque la redacción de datos es el estándar.

Si necesitás acceder a datos de registro que no son públicos en un dominio gTLD (por ejemplo para un caso legal o de ciberseguridad), ICANN tiene el servicio RDRS en rdrs.icann.org.

Registration Data Request Service (RDRS) es gratis, funciona como un sistema de tickets que conecta tu solicitud directamente con el registrador correspondiente. No garantiza que te den los datos, pero estandariza el proceso. Solo aplica para gTLDs y registradores que participan voluntariamente.

Este post da para un Webinar 😉 si te parece buena idea dame un toque y lo hacemos.