Protege tu marca con monitoreo de dominios

Recibe alertas automáticas cuando alguien registra un dominio similar a tu marca. Monitoreo RDAP en tiempo real explicado.

Recibir una alerta en pocas horas cuando alguien registra acme-tienda.com mientras tú posees acme.com es perfectamente posible hoy, sin necesidad de conocimientos técnicos avanzados. El problema es sencillo pero serio: un competidor o actor malicioso puede registrar un dominio similar al tuyo en minutos. Sin un sistema de alertas, lo descubrirás semanas o meses después, cuando tus clientes ya estén siendo engañados en un sitio falso con tu nombre. Este artículo explica qué dominios vigilar, cómo funcionan las alertas técnicamente y qué hacer cuando se disparan.

Por qué la vigilancia manual no es suficiente

Una marca necesita monitorear de forma realista decenas de combinaciones: varios TLDs, errores tipográficos comunes, versiones con guion, prefijos como "get" o "prueba" y variantes con homoglifos. Hacer consultas WHOIS manuales cada día para cada una de estas variantes es inviable a cualquier escala.

El problema va más allá del volumen de trabajo: el WHOIS clásico se ha vuelto cada vez más opaco como fuente de información.

Los límites del WHOIS clásico

Desde la entrada en vigor del RGPD, casi todos los registradores ocultan los datos del registrante detrás de servicios de privacidad. Una consulta WHOIS de un .com recién registrado devuelve hoy:

Registrant Name: REDACTED FOR PRIVACY
Registrant Organization: Whois Privacy Service
Registrant Email: contact@privacyprotect.org

La fecha de registro está disponible, pero determinar si el registrante representa una amenaza o una coincidencia requiere más contexto. Las consultas masivas de WHOIS quedan bloqueadas por límites de tasa y baneos de IP.

Lo que aporta RDAP

RDAP (Registration Data Access Protocol, definido en los RFC 7480 y 7483) es el sucesor estandarizado del WHOIS. Devuelve JSON estructurado, legible por máquina sin necesitar un adaptador específico para cada registrador. Incluye marcas de tiempo para eventos (registro, expiración, última modificación) y expone el nombre del registrador en un formato coherente. Una respuesta RDAP típica tiene este aspecto:

{
  "objectClassName": "domain",
  "ldhName": "acme-tienda.com",
  "events": [
    {
      "eventAction": "registration",
      "eventDate": "2026-07-15T08:23:11Z"
    },
    {
      "eventAction": "expiration",
      "eventDate": "2027-07-15T08:23:11Z"
    }
  ],
  "entities": [
    {
      "roles": ["registrar"],
      "vcardArray": ["vcard", [["fn", {}, "text", "Nominalia Internet S.L."]]]
    }
  ]
}

Esta estructura se puede consultar mediante programación, analizar sin código específico por registrador y combinar fácilmente con sistemas de alertas.

Qué dominios vigilar para proteger tu marca

Cuatro categorías cubren la mayor parte de los riesgos relevantes:

Variantes de typosquatting son los dominios formados por errores de teclado habituales: una letra insertada, eliminada, sustituida o transpuesta. Para la marca "Acme": acmme.com, acne.com, acmee.com, amce.com.

TLDs alternativos son el mismo dominio de segundo nivel con una extensión diferente: acme.net, acme.co, acme.io, acme.app. La extensión .co merece atención especial porque es visualmente muy cercana a .com y se ha utilizado en campañas de phishing de alto perfil.

Patrones de prefijo y sufijo son en la práctica los más peligrosos porque pueden engañar incluso a usuarios atentos: getacme.com, acme-app.com, tryacme.com, acme-login.com, acme-oficial.com.

Homoglifos utilizan caracteres Unicode visualmente idénticos a las letras ASCII estándar. La "а" cirílica (U+0430) es indistinguible de la "a" latina (U+0061) en la mayoría de las fuentes tipográficas.

Priorizar TLDs por nivel de riesgo

TLDNivel de riesgoMotivo
.comCríticoReferencia mundial; más del 70 % del tráfico directo va a .com por inercia
.coAltoVisualmente cercano a .com; utilizado en campañas de phishing
.esAltoMercado primario español; genera confianza falsa en usuarios locales
.netMedioAmpliamente reconocido; posible confusión de marca
.ioMedioEstándar en tecnología; confusión con .com en crecimiento
.xyz, .top, .tkBajoFrecuentes en phishing pero con menor capacidad de engaño

Los ccTLDs de tus mercados objetivo (.mx, .ar, .co, .cl) también deben incluirse si operas en esos países.

Cómo funcionan las alertas de nuevos registros

El flujo de alertas de Domain Sentinel opera en cuatro pasos: un nuevo dominio que coincide con un patrón vigilado aparece en un endpoint RDAP de registro; Domain Sentinel consulta ese endpoint de forma regular; el nuevo registro se compara con los patrones de tu lista de vigilancia; y se envía una alerta por el canal configurado (correo electrónico o webhook).

Los endpoints RDAP son de acceso público para todos los grandes registros. El servicio de consulta RDAP de ICANN en rdap.org agrega los principales gTLDs y delega a los registros correspondientes para los ccTLDs.

Qué debe contener una alerta útil

Una alerta de calidad incluye: el nombre del dominio detectado, la fecha de registro, el registrador, una puntuación de similitud que indica cuán parecido es el nuevo dominio al nombre de marca vigilado, y un enlace directo al registro RDAP completo. Una alerta que solo dice "se registró acmme.com" te obliga a buscar los detalles manualmente. La puntuación de similitud y los datos del registrador son los que permiten priorizar en segundos.

Configurar la vigilancia con Domain Sentinel

El proceso de configuración consta de cuatro pasos:

  1. Añade el nombre de tu marca o dominio principal a una lista de vigilancia en Domain Sentinel.
  2. Configura los patrones a monitorear: variantes tipográficas, TLDs alternativos, homoglifos y patrones estructurales (prefijos/sufijos).
  3. Elige el canal de alerta: el correo electrónico funciona para la mayoría de los equipos; las integraciones por webhook son útiles si quieres recibir alertas en Slack o en tu herramienta de guardia.
  4. Revisa el primer lote de resultados. Algunos hallazgos no serán relevantes (una empresa legítima con un nombre similar en un sector diferente). Márcalos como "inofensivos" para reducir el ruido en futuras alertas.

El panel de control guarda el historial completo de detecciones, lo que permite seguir si un dominio sospechoso se ha vuelto más activo con el tiempo.

Qué hacer cuando se dispara una alerta

No toda detección representa una amenaza. Clasifica en tres categorías:

Registro inofensivo: una empresa de otro sector con un nombre similar, o un sitio personal. Archiva la alerta y continúa.

Probable cibersecuestro (cybersquatting): el dominio está inactivo o redirige a un competidor, y el registrante parece poseer otros dominios similares a marcas de terceros. Documenta todo de inmediato: datos RDAP, fecha de registro, tus registros de marca. Considera contactar al registrador y, si el patrón es claro, iniciar un procedimiento UDRP.

Phishing activo: el dominio aloja una página que imita tu marca para obtener credenciales o pagos. Denuncia de inmediato al contacto de abuse del registrador (disponible en los datos RDAP), envía la URL a Google Safe Browsing y Microsoft SmartScreen, e informa a tus usuarios si tienes razones para creer que ya han sido objetivo del ataque.

Configurar una lista de vigilancia lleva menos de cinco minutos en Domain Sentinel. El monitoreo reactivo no reemplaza el registro defensivo de tus variantes más críticas, pero nadie puede registrar por adelantado todas las variantes posibles. La diferencia entre recibir una alerta en tres horas frente a tres meses es la diferencia entre un incidente manejable y una crisis de reputación que se prolonga en el tiempo.

Empieza con un dominio que te importe

Búscalo gratis. Para recibir alertas cuando el estado cambie o la expiración se acerque, crea una cuenta. Son 30 segundos.

Crear cuentaConsultar un dominio