Cuando un atacante prepara una campaña de phishing, una de sus primeras acciones es registrar un dominio que imite al de su objetivo. Puede ser un error tipográfico bancosantanderr.com en lugar de bancosantander.es, un carácter visualmente similar de otro alfabeto, o una variación con guion o prefijo añadido.
El problema para los equipos de seguridad es que esos dominios existen antes de que el ataque llegue a las víctimas. Y si se pueden detectar antes de que se usen, el equipo tiene margen para actuar: bloquear el dominio, alertar a los usuarios o solicitar su eliminación.
DNStwist es la herramienta open source que hace posible esa detección proactiva. Esta guía explica qué es, cómo funciona técnicamente y cómo usarla en la práctica.
Qué es DNStwist
DNStwist es una herramienta de código abierto escrita en Python por Marcin Ulikowski. Su función principal es generar permutaciones del nombre de un dominio y verificar cuáles de esas variantes están registradas, resuelven a una IP, tienen registros MX activos o sirven páginas web similares al dominio original.
La premisa es sencilla: si alguien quiere suplantar a una organización mediante phishing, necesita un dominio que parezca legítimo a primera vista. DNStwist genera sistemáticamente todas las variantes posibles de ese dominio y comprueba cuáles existen realmente, dando al equipo de seguridad una lista de amenazas potenciales antes de que se materialicen.
El código fuente está disponible en GitHub bajo licencia Apache 2.0 y tiene una comunidad activa que mantiene actualizados sus algoritmos y dependencias. Se usa tanto en equipos de Blue Team para monitorización defensiva como en ejercicios de threat intelligence y OSINT.
🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴
Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada
👉 Prueba gratis el Bootcamp en Ciberseguridad por una semanaPara entender el contexto más amplio donde encaja DNStwist, el artículo sobre qué es el phishing explica los mecanismos de ataque que esta herramienta ayuda a detectar y prevenir.
Qué es el domain squatting y por qué importa
Antes de entrar en el funcionamiento técnico de DNStwist, conviene entender el problema que resuelve.
El domain squatting es la práctica de registrar dominios similares a los de una organización legítima con intención fraudulenta. Los atacantes usan estos dominios para:
- Alojar páginas falsas que imitan la web legítima y capturan credenciales
- Enviar correos de phishing desde dominios que parecen oficiales a primera vista
- Interceptar correos enviados por error a la versión mal escrita del dominio
- Distribuir malware desde páginas que simulan ser de descarga oficial
Las variantes más comunes del domain squatting que DNStwist detecta son:
| Técnica | Descripción | Ejemplo |
|---|---|---|
| Typosquatting | Errores tipográficos frecuentes al escribir el dominio | googel.com, amzon.com |
| Adición de caracteres | Caracteres extras añadidos al dominio original | bankk.com, googlee.com |
| Homóglifos / IDN | Caracteres Unicode visualmente idénticos a caracteres ASCII | аmazon.com (con ‘а’ cirílica) |
| Subdominios engañosos | Dominio legítimo usado como subdominio de uno malicioso | banco.com.ataque.net |
| Cambio de TLD | Mismo nombre de dominio con extensión diferente | empresa.net en lugar de empresa.es |
| Transposición | Dos caracteres adyacentes intercambiados | amzaon.com, gooogle.com |
Cómo funciona DNStwist
DNStwist ejecuta el dominio de entrada a través de sus algoritmos de fuzzing y genera una lista de posibles dominios de ataque. Para cada uno de los dominios generados, realiza una serie de comprobaciones que permiten evaluar el nivel de amenaza real.
Motor de permutaciones
El motor de fuzzing de DNStwist aplica múltiples algoritmos de forma simultánea al dominio objetivo. Para un dominio como empresa.es, puede generar cientos o miles de variantes dependiendo de la longitud del nombre y las opciones activadas. Las variantes incluyen adiciones, eliminaciones, sustituciones, transposiciones, homóglifos y variaciones de TLD.
Verificación DNS
Para cada dominio generado, DNStwist comprueba si está registrado resolviendo sus registros DNS:
- Registros A y AAAA: Si el dominio resuelve a una IPv4 o IPv6, está activo.
- Registros MX: Si el dominio tiene servidor de correo configurado, podría usarse para interceptar emails enviados por error a esa dirección o para enviar phishing desde ese dominio.
- Registros NS: Los servidores de nombres del dominio, útiles para identificar el registrador y la infraestructura del atacante.
Fuzzy hashing con ssdeep
Es la funcionalidad más potente de DNStwist para confirmar ataques activos. Para cada dominio registrado que responde con una página web, DNStwist descarga el contenido HTML y calcula su fuzzy hash. Luego compara ese hash con el del dominio original y expresa el nivel de similitud en porcentaje.
Un porcentaje alto de similitud indica que ese dominio está sirviendo una copia fraudulenta de la web legítima, es decir, que el ataque de phishing ya está activo. Esta función se activa con el argumento --ssdeep.
Consultas WHOIS
DNStwist puede realizar consultas WHOIS para obtener la fecha de registro de cada dominio. Un dominio muy reciente con alta similitud al dominio objetivo es una señal de alerta de phishing en preparación.
Instalación de DNStwist
DNStwist funciona con Python 3 y la instalación básica no requiere dependencias externas, aunque algunas funcionalidades avanzadas necesitan paquetes adicionales.
pip (todos los sistemas):
pip install dnstwist
Homebrew (macOS):
brew install dnstwist
Debian / Ubuntu (con dependencias completas):
sudo apt install python3-dnspython python3-tld python3-geoip python3-whois python3-requests python3-ssdeep
Para las funcionalidades avanzadas de fuzzy hashing y GeoIP se recomienda la instalación con todas las dependencias en la distribución Debian/Ubuntu o usando pip con las opciones extendidas.
Comandos esenciales de DNStwist
El uso básico de DNStwist es directo: basta con introducir el dominio objetivo para obtener una lista de variantes con su estado de registro.
| Comando | Función |
|---|---|
dnstwist empresa.es |
Análisis básico: genera permutaciones y comprueba registros DNS |
dnstwist -r empresa.es |
Muestra solo los dominios realmente registrados |
dnstwist --ssdeep empresa.es |
Activa fuzzy hashing para detectar páginas similares a la original |
dnstwist --whois empresa.es |
Incluye fecha de registro WHOIS de cada dominio |
dnstwist --mx empresa.es |
Comprueba servidores de correo para detectar posible interceptación de emails |
dnstwist -f csv empresa.es |
Exporta los resultados en formato CSV |
dnstwist -f json empresa.es |
Exporta los resultados en formato JSON para integración con otras herramientas |
dnstwist -t 20 empresa.es |
Ejecuta con 20 threads para acelerar el análisis |
Para un análisis completo en producción, la combinación más habitual en equipos de threat intelligence es ejecutar DNStwist con la flag -r para filtrar solo dominios registrados, --ssdeep para detectar páginas activas similares y la exportación en JSON para alimentar dashboards de monitorización.
Casos de uso reales de DNStwist en equipos de seguridad
Lo que más sorprende a quienes empiezan a trabajar con DNStwist es la cantidad de dominios similares al de su organización que ya existen registrados.
En la mayoría de los análisis que se hacen por primera vez sobre dominios corporativos hay decenas de variantes activas, algunas de ellas registradas hace años y usadas activamente para phishing o spam.
Monitorización continua de marca
Los equipos de seguridad con procesos maduros integran DNStwist en pipelines automatizados que ejecutan el análisis periódicamente (diario o semanal) y alertan cuando aparecen nuevos dominios similares al corporativo. Detectar un nuevo dominio similar pocas horas después de su registro permite actuar antes de que el ataque se lance.
Threat intelligence pre-ataque
En investigaciones de amenaza dirigida, DNStwist se usa como parte del proceso OSINT para identificar la infraestructura que un atacante está preparando. Un dominio similar recién registrado con servidor MX activo y página de phishing es una señal de ataque inminente que permite activar contramedidas.
Protección de la cadena de suministro
Muchas organizaciones usan DNStwist no solo para su propio dominio sino también para monitorizar los dominios de sus proveedores críticos. Un ataque de phishing contra un proveedor que usa como vector el dominio corporativo del cliente puede ser detectado con este tipo de monitorización cruzada.
Auditorías de ciberseguridad
En auditorías de seguridad y ejercicios de red team, DNStwist se usa para identificar la superficie de ataque disponible en la dimensión del dominio. Los resultados de la herramienta forman parte del informe de riesgos sobre la protección de marca y la exposición a phishing.
Para entender cómo se integra en el proceso más amplio de detección de dominios maliciosos, el artículo sobre cómo detectar phishing domains cubre la metodología completa.
DNStwist vs otras herramientas de detección de dominios
Open source. Instalación local. Control total sobre el análisis. Funcionalidades avanzadas con ssdeep y WHOIS. Exportación en CSV y JSON. Integrable en pipelines automatizados. Requiere Python 3.
Versión web de uso gratuito sin instalación. Ideal para análisis puntuales rápidos. Sin acceso a ssdeep ni exportaciones avanzadas. Limitaciones en la versión gratuita para monitorización continua.
Para organizaciones con recursos de seguridad maduros, DNStwist como herramienta local integrada en pipelines automatizados es la opción con mayor potencia. Para análisis puntuales o equipos sin recursos para la automatización, la versión web es un punto de partida válido.
Álvaro llevaba años en el mundo de la ciberseguridad: había trabajado en IBM gestionando equipos de seguridad perimetral y se había mudado a Alemania para continuar su carrera. Cuando llegó al Bootcamp de Ciberseguridad de KeepCoding buscaba algo concreto: profundidad técnica en todos los ámbitos del campo, no solo en los que ya conocía.
Hoy trabaja en Airbus Cybersecurity en la parte de Blue Team. Lo que más valoró del bootcamp fue la amplitud del temario y que le permitió ver todos los campos de la ciberseguridad para decidir dónde quería especializarse. Acabó preparándose además para el OSCP. La ciberseguridad, dice, es un campo tan amplio que al principio no sabes por dónde atacarlo.
Cómo aprender a usar DNStwist y otras herramientas de ciberseguridad
DNStwist es una herramienta que se aprende rápido en la parte técnica de instalación y comandos. Lo que tarda más en desarrollarse es el criterio para interpretar los resultados: saber qué dominios similares son amenazas reales, cuáles son registros defensivos de la propia organización, cuáles son empresas legítimas con nombre similar y cuáles son ataques en preparación.
Ese criterio se construye con práctica en entornos reales y con comprensión profunda del ecosistema de phishing: cómo funcionan los phishing kits que se despliegan en esos dominios, qué infraestructura usan los atacantes y cómo se articula una respuesta a incidente cuando se detecta un dominio malicioso activo.
Para entender el ecosistema completo del que DNStwist forma parte, el artículo sobre qué son los phishing kits explica la infraestructura que los atacantes despliegan en los dominios que esta herramienta detecta.
Si quieres aprender a usar DNStwist y las herramientas del ecosistema de ciberseguridad defensiva con profesionales en activo, el Ciberseguridad Full Stack Bootcamp de KeepCoding cubre el recorrido completo desde los fundamentos hasta las técnicas avanzadas de Blue Team y threat intelligence.
Conclusión
DNStwist es una herramienta esencial en el arsenal de cualquier equipo de seguridad que quiera anticiparse a los ataques de phishing en lugar de reaccionar cuando ya han llegado a los usuarios.
Su motor de permutaciones, combinado con la verificación DNS, el fuzzy hashing y las consultas WHOIS, convierte lo que antes era un proceso manual y tedioso en un análisis automatizable que se puede integrar en pipelines de monitorización continua.
El coste de implementarla es mínimo. El valor de detectar un dominio de phishing activo antes de que llegue a los empleados o clientes de una organización es, potencialmente, el de evitar un incidente de seguridad mayor.
El código fuente de DNStwist, la documentación completa y las opciones avanzadas están disponibles en el repositorio oficial en github.com/elceef/dnstwist.
