DNS GUÍA

Subdomain Finder: Descubre la Infraestructura Oculta de un Dominio

Cómo la enumeración de subdominios revela la estructura de la infraestructura y ayuda en la auditoría de seguridad del perímetro.

Subdominios: la superficie de ataque oculta

Cada organización tiene más subdominios de los que imagina. Más allá de los clásicos www, mail, ftp, existen subdominios para entornos de desarrollo (dev, staging, test), APIs (api, api-v2), paneles de administración (admin, panel, cpanel), servicios internos (jira, confluence, gitlab), y servicios en la nube (app, cdn, assets). Cada uno de estos representa un potencial punto de entrada para un atacante. El Subdomain Finder automatiza el descubrimiento de estos subdominios, proporcionando un mapa completo del perímetro del dominio.

El problema de seguridad de los subdominios se agrava por la "shadow IT": servicios creados por equipos diferentes, a menudo olvidados después de la fase de pruebas, que permanecen expuestos en Internet sin actualizaciones de seguridad, sin monitoreo y a veces con credenciales predeterminadas. Un subdominio olvidado como staging.ejemplo.com con una versión vulnerable del CMS es un regalo para cualquier atacante. La primera defensa es la concienciación: saber qué subdominios existen.

Técnicas de enumeración de subdominios

Fuentes para el descubrimiento de subdominios
$ subdomain-find --domain esempio.com

[CT Logs]     23 sottodomini da Certificate Transparency
[DNS Brute]   12 sottodomini da wordlist (www, mail, ftp, api...)
[DNS Records]  5 sottodomini da NS, MX, TXT references
[Total]       34 sottodomini unici trovati

  www.esempio.com        → 93.184.216.34
  mail.esempio.com       → 93.184.216.35
  api.esempio.com        → CNAME api.cloud.com
  staging.esempio.com    → 10.0.0.5 (IP privato!)
  old.esempio.com        → NXDOMAIN (DNS dangling!)

El Subdomain Finder utiliza múltiples fuentes: los Certificate Transparency Logs (registros públicos de todos los certificados SSL emitidos, que contienen los nombres de host cubiertos), la búsqueda DNS con listas de palabras (consultando miles de nombres comunes), el análisis de registros DNS existentes (NS, MX, TXT a menudo contienen referencias a subdominios), y otras fuentes OSINT. La combinación de múltiples técnicas maximiza la cobertura.

Qué hacer con los subdominios encontrados

Una vez obtenida la lista, cada subdominio debe ser analizado. Verifica el certificado SSL con SSL Check — subdominios sin HTTPS o con certificados expirados son una señal de alerta. Comprueba las cabeceras de seguridad con Security Headers para identificar configuraciones débiles. Busca subdominios que resuelvan a IPs privadas (10.x, 172.16-31.x, 192.168.x) que indican configuración errónea, y CNAMEs huérfanos que apuntan a servicios dados de baja (riesgo de subdomain takeover).

El subdomain takeover es un riesgo particularmente grave: si un CNAME apunta a un servicio en la nube (ej. something.azurewebsites.net) que ya no está activo, un atacante puede reclamar ese hostname en el proveedor en la nube y servir contenido arbitrario en tu subdominio. Esto permite phishing creíble, distribución de malware y compromiso de la reputación del dominio. La prevención es simple: elimina los registros DNS de los subdominios que ya no se utilizan.

Para una auditoría de seguridad completa del perímetro, combina el Subdomain Finder con un escaneo sistemático de cada subdominio encontrado. Documenta cada subdominio con su propósito, responsable y fecha de último uso. Este mapeo continuo del perímetro es un componente fundamental de cualquier programa de seguridad, y Domain Health puede proporcionar un informe consolidado sobre la salud general del dominio y sus dependencias.

Prueba Subdomain Finder gratis
Descubre los subdominios activos de un dominio objetivo
Usar Subdomain Finder >

Explore the Network

capops.io Free tools for DevOps & SysAdmin — monitoring, deploy, CI/CD, server management and more Visit → pixcode.io Free graphic tools — image converter, color palette generator, SVG optimizer and more Visit →