Como leer datos de registro de dominio: campos y códigos explicados

Un registro WHOIS o RDAP contiene muchos campos, varios de los cuales no son autoexplicativos. Los códigos de estado EPP en particular confunden con frecuencia, ver clientTransferProhibited en un dominio propio puede parecer alarmante cuando en realidad es el estado correcto y saludable. Este artículo cubre los campos que más importan, empezando por la confusión de las tres R que afecta a casi todo el que lee datos de registro por primera vez.

Las tres R: registrante, registrador y registro

Estos tres términos aparecen en cada registro de dominio y se confunden habitualmente:

Término	Rol	Ejemplo real
Registro (Registry)	La autoridad que gestiona un TLD	Verisign (.com), Red.es (.es), PIR (.org)
Registrador (Registrar)	La empresa acreditada que vende registros de dominio	Acens, Dondominio, GoDaddy
Registrante (Registrant)	La persona u organización que posee el dominio	Tu empresa o tu nombre

La analogía más clara: el registro es el catastro nacional, el registrador es el notario o agente inmobiliario, y el registrante es el propietario del bien. Tratas con el registrador cuando compras, renuevas o transfieres un dominio. El registro guarda el estado oficial de quién posee qué bajo un TLD determinado.

En un registro WHOIS encontrarás los tres:

• Registry Domain ID, el identificador interno del registro para ese dominio
• Registrar, la empresa donde está registrado el dominio
• Registrant Name / Organization, los datos del propietario (a menudo redactados)

Fechas clave: creación, actualización y vencimiento

Todo registro incluye tres fechas. Suenan parecidas pero significan cosas distintas:

• Fecha de creación, la primera vez que se registró el dominio. No necesariamente la fecha en que el propietario actual lo adquirió; los dominios cambian de manos sin que la fecha de creación se reinicie.
• Fecha de actualización (la última vez que el registro fue modificado. Una fecha de actualización reciente no implica propiedad reciente) un cambio de nameservers o una renovación también la actualizan. Esta fecha suele ser engañosa.
• Fecha de vencimiento (también Registry Expiry Date), la fecha en que el registro caduca si no se renueva. Es la que más importa para la monitorización.

En una respuesta RDAP, las fechas aparecen en el array events:

"events": [
  {
    "eventAction": "registration",
    "eventDate": "2007-10-09T18:20:50Z"
  },
  {
    "eventAction": "last changed",
    "eventDate": "2022-09-07T09:10:44Z"
  },
  {
    "eventAction": "expiration",   ← esta es la que hay que vigilar
    "eventDate": "2024-10-09T18:20:50Z"
  }
]

Período de gracia, período de redención y pending delete

Después de la fecha de vencimiento, el dominio no desaparece de inmediato. La mayoría de los registros siguen un calendario estructurado:

1. Período de gracia (0 a 45 días según el registrador): el dominio ha vencido pero el propietario aún puede renovarlo al precio normal. El dominio puede dejar de resolver, o el registrador puede mostrar una página de espera.
2. Período de redención (aproximadamente 30 días): la renovación sigue siendo posible, pero el registrador cobra una tarifa de redención significativa, típicamente entre 50 y 150 euros adicionales al precio de renovación. El estado EPP cambia a redemptionPeriod.
3. Pending delete (aproximadamente 5 días): el dominio está en cola para eliminación. La renovación ya no es posible. Estado: pendingDelete.
4. Disponible: el dominio queda libre y puede ser registrado por cualquiera. Los servicios de drop-catching compiten en este momento exacto.

Códigos de estado EPP explicados

Los códigos de estado EPP (Extensible Provisioning Protocol) describen el estado operativo actual de un dominio. Aparecen como campo status en RDAP o Domain Status en el texto WHOIS:

Código EPP	Significado simple	Qué implica
ok / active	Normal, sin restricciones	Estado sano estándar
clientTransferProhibited	Transferencia bloqueada por el registrador	El propietario o registrador ha bloqueado las transferencias salientes, normal y recomendado
clientUpdateProhibited	Cambios en el registro bloqueados	Las modificaciones al registro de dominio están bloqueadas
clientDeleteProhibited	Eliminación bloqueada	El dominio no puede eliminarse, normalmente se activa junto con los bloqueos de transferencia y actualización
serverTransferProhibited	Transferencia bloqueada por el registro	Bloqueo a nivel de registro, puede indicar disputa legal o retención
serverHold	Suspendido por el registro	El dominio no resuelve en DNS, señal grave que requiere investigación inmediata
clientHold	Suspendido por el registrador	Similar a serverHold pero a nivel de registrador
pendingTransfer	Transferencia a otro registrador en curso	Ventana normal de 5-7 días durante un cambio de registrador
pendingDelete	En cola para eliminación	El dominio se liberará en ~5 días
redemptionPeriod	Período de gracia tardío, altas tarifas de redención	Dominio vencido, en la ventana de recuperación cara

Un dominio en uso activo y saludable típicamente muestra clientTransferProhibited, clientUpdateProhibited y clientDeleteProhibited simultáneamente. Esta combinación no es un problema, es la protección por defecto del registrador contra cambios no autorizados. La ausencia de estos bloqueos en un dominio importante es en realidad una preocupación.

serverHold es el código que debe desencadenar acción inmediata. Un dominio en serverHold no resuelve en DNS, es invisible en la web. Esto puede ocurrir por problemas de pago, denuncias de abuso o procedimientos legales iniciados a nivel de registro.

Servidores de nombres: lo que revelan

Los nameservers son más informativos de lo que parecen:

Patrón de nameserver	Proveedor probable
ns1.cloudflare.com, ns2.cloudflare.com	Cloudflare DNS
ns-xxx.awsdns-xx.com	Amazon Route 53
ns1.digitalocean.com	DigitalOcean
dns1.p08.nsone.net	NS1 (usado frecuentemente por grandes empresas tech)
ns1.acens.net	Acens DNS

Un cambio de nameservers en un dominio que monitoreas es uno de los eventos más significativos a detectar. Casi siempre indica un cambio de proveedor de alojamiento, infraestructura DNS o (en el caso de un dominio comprometido) un secuestro no autorizado.

Leer una respuesta RDAP: ejemplo completo

Una respuesta RDAP real para github.com, anotada:

{
  "ldhName": "github.com",           ← nombre de dominio normalizado
  "handle": "1264983250_DOMAIN_COM-VRSN",  ← ID interna del registro
  "status": [                        ← códigos de estado EPP
    "client transfer prohibited",
    "client update prohibited",
    "client delete prohibited"
  ],
  "events": [                        ← todas las fechas están aquí
    { "eventAction": "registration", "eventDate": "2007-10-09T18:20:50Z" },
    { "eventAction": "expiration",   "eventDate": "2024-10-09T18:20:50Z" },
    { "eventAction": "last changed", "eventDate": "2022-09-07T09:10:44Z" }
  ],
  "nameservers": [                   ← delegación DNS
    { "ldhName": "dns1.p08.nsone.net" },
    { "ldhName": "dns2.p08.nsone.net" }
  ],
  "entities": [                      ← registrador y registrante
    {
      "roles": ["registrar"],
      "vcardArray": ["vcard", [
        ["fn", {}, "text", "MarkMonitor Inc."]
      ]]
    }
  ],
  "secureDNS": {                     ← configuración DNSSEC
    "delegationSigned": true
  }
}

Correspondencia de campos WHOIS / RDAP

Para quienes encuentran texto WHOIS en bruto y necesitan mapearlo a conceptos RDAP:

Campo WHOIS	Equivalente RDAP
Registrar:	entities[].roles["registrar"].vcardArray
Creation Date:	events[?(@.eventAction=="registration")].eventDate
Registry Expiry Date:	events[?(@.eventAction=="expiration")].eventDate
Updated Date:	events[?(@.eventAction=="last changed")].eventDate
Name Server:	nameservers[].ldhName
Domain Status:	status[]
DNSSEC:	secureDNS.delegationSigned

Un registro de dominio completo entrega mucha información en un formato compacto. Las tres fechas y los códigos de estado EPP son los indicadores más importantes de la salud de un dominio. Domain Sentinel presenta todos estos datos de forma estructurada y legible, y envía alertas cuando los estados o las fechas cambian, realiza una búsqueda en cualquier dominio para verlo en acción.