Fornece informações de propriedade atuais e históricas sobre domínios/IPs. Identifica todas as conexões entre domínios, registrantes, registradores e servidores DNS.
Os dados WHOIS são úteis para rastrear ameaças cibernéticas, verificar a titularidade de empresas e prevenir o uso indevido de marcas em domínios. Durante décadas, essas informações eram públicas e de fácil acesso.
Ultimamente, tem ficado muito mais difícil descobrir quem está por trás de um nome de domínio. Uma consulta comum no WHOIS fornece pouquíssimas informações, já que a maioria delas agora é ocultada ou protegida por privacidade (esses são mecanismos diferentes que abordaremos mais adiante).
Nesta publicação, descreveremos algumas maneiras pelas quais os pesquisadores de segurança cibernética ainda podem obter acesso a informações reais do WHOIS, apesar da ocultação de dados ou da proteção de privacidade. Também falaremos sobre por que os dados do WHOIS estão agora protegidos.
Ocultação de dados no WHOIS vs. Privacidade no WHOIS
A ocultação de dados WHOIS e a privacidade WHOIS podem parecer a mesma coisa e, até certo ponto, isso é verdade — ambas ocultam as informações do registrante. No entanto, funcionam de maneira diferente.
A privacidade WHOIS é um serviço — em alguns casos, é necessário pagar por ele. Esses serviços trabalham em parceria com registradores de domínios e substituem suas informações pessoais por dados de contato de um proxy de domínio. Se alguém consultar um domínio com proteção de privacidade, verá“Ocultado por motivos de privacidade”, “Domains by Proxy” ou o nome e endereço de algum outro provedor de serviços de privacidade WHOIS, mas não o nome do proprietário real do domínio.
![Exemplo: Os dados do registrante do domínio flosspols[.]org exibem “Ocultado por motivos de privacidade ehf” em vez dos dados de contato do proprietário](/_astro/image-1.D8nijDKK_Z2pht0U.webp)
A ocultação de dados WHOIS é diferente. Não se trata de uma escolha feita pelo usuário, mas de uma política aplicada pelo registrador ou pelo registro. A ocultação remove totalmente as informações da visualização pública. Em vez de ver um nome de proxy, você vê uma indicação como “Ocultado por motivos de privacidade”.
![Exemplo: Dados do registrante do domínio housedmd[.]com — a maior parte do registro WHOIS foi ocultada por motivos de privacidade](/_astro/image-2.DWYRBzAP_1AKJFb.webp)
Por que os dados do WHOIS são ocultados por motivos de privacidade?
Embora os serviços de privacidade WHOIS já existam há décadas (por exemplo, a Domains by Proxy foi fundada em 2004), a ocultação de dados só começou com a entrada em vigor do Regulamento Geral sobre a Proteção de Dados (RGPD). Quando o RGPD entrou em vigor na Europa, a Corporação da Internet para Atribuição de Nomes e Números (ICANN) teve que alterar a forma como lidava com os dados de registro.
Em 2018, a ICANN implementou a Especificação Temporária para Dados de Registro de Domínios de Nível Superior Genéricos (gTLD). Essa regra exigia que os registradores e registros de domínios ocultassem os dados pessoais, a menos que o titular do nome de domínio consentisse explicitamente com a sua divulgação. Essa política se aplica a todos os dados de gTLDs acessíveis por meio do WHOIS padrão ou do mais recente Protocolo de Acesso a Dados de Registro (RDAP). Embora os ccTLDs sejam regulamentados de forma independente, muitos ainda optaram por seguir a orientação da ICANN.
Desde então, as consultas WHOIS tornaram-se mais complicadas.
Antes, obter o e-mail do proprietário de um domínio levava apenas alguns segundos e exigia uma simples consulta ao WHOIS — seja usando uma ferramenta de consulta como a nossa ou o comando `whois`. Após a ocultação de dados, em muitos casos, as consultas ao WHOIS não oferecem grande utilidade. Onde antes havia dados reais do proprietário, você continua vendo e-mails substitutos de serviços de proteção de privacidade do WHOIS (que, na verdade, funcionam para entrar em contato com o proprietário, mas são completamente inúteis para WHOIS reverso ou outros fins) ou campos que simplesmente dizem “Ocultado por motivos de privacidade” ou “Redigido por motivos de privacidade”. Embora isso proteja a privacidade dos proprietários, também cria muitos problemas de segurança cibernética.
Todos os dados do WHOIS são ocultados?
Felizmente, nem todos os registros de domínio são ocultados. Aqui estão alguns casos em que as informações do WHOIS não são ocultadas pela privacidade do WHOIS:
- Dados WHOIS anteriores a 2018: Embora muitos domínios registrados antes de 2018 apresentem a indicação “REDACTED” na maioria dos campos atuais de seus registros WHOIS, eles também possuem registros históricos que costumavam ser públicos e não foram ocultados naquela época. Esses dados antigos provavelmente ainda estão acessíveis por meio de arquivos históricos, como nosso Download do Banco de Dados Histórico do WHOIS. Se o domínio não mudou de mãos ou o proprietário não alterou seus dados de contato, essas informações podem ser uma mina de ouro para quem procura os detalhes do proprietário. No entanto, os proprietários de domínios que utilizaram serviços de privacidade do WHOIS antes de 2018 ainda teriam registros WHOIS ocultos para seus domínios.
- Domínios que utilizam alguns domínios de nível superior com código de país (ccTLDs): Alguns ccTLDs apresentam informações WHOIS não ocultadas, uma vez que os registros não permitem a ocultação (conforme as leis dos respectivos países). Exemplos incluem a Austrália (.au, pelo menos para a ferramenta de pesquisa WHOIS baseada na web do registro ), Niue (.nu) e os Estados Unidos (.us, embora haja uma proposta para alterar isso).
- Domínios cujos proprietários optaram por divulgar explicitamente seus dados WHOIS: Em muitos casos, o registrante do domínio tem a liberdade de divulgar publicamente seu registro WHOIS, se assim o desejar. Grandes empresas, como a Microsoft, por exemplo, utilizam o WHOIS como um indicador de confiança, demonstrando que um domínio realmente lhes pertence, e não a algum impostor.
![Dados de contato atuais do registrante do domínio microsoft[.]com com dados WHOIS públicos](/_astro/image-3.C4jd8Ey8_336Na.webp)
Quais dados WHOIS são ocultados?
As informações WHOIS ocultadas incluem dados pessoais, como o nome do registrante, a organização, o endereço de e-mail e o endereço postal.
No entanto, os dados técnicos sobre o domínio continuam sendo públicos. Isso inclui servidores de nomes, códigos de status do domínio, datas, estado/província do registrante e país do registrante.
| Campo de dados | Censurado? |
| Nome do titular | Sim |
| E-mail do titular do registro | Sim |
| Endereço postal | Sim |
| Organização do registrante | Sim |
| Servidores de nomes | Não |
| Datas de criação e validade | Não |
| País do registrante | Não (normalmente) |
| Códigos de status de domínio | Não |
Os dados que não são ocultados são considerados não pessoais; portanto, o RGPD permite que permaneçam públicos.
Como acessar dados de registrantes ocultos e outros dados WHOIS
Se você realmente precisar identificar a pessoa por trás de informações WHOIS ocultadas, há algumas opções disponíveis. Elas vão desde a apresentação de solicitações formais até o uso de bancos de dados históricos especializados.
Apresentar um pedido de divulgação
O RGPD permite que os registradores de domínios compartilhem dados de registro, desde que a solicitação seja feita por motivos legítimos.
Os pesquisadores de segurança cibernética podem apresentar uma solicitação ao registrador de domínios envolvidos em atividades ilegais, como fraude, cybersquatting ou phishing. Não existe um sistema padrão contra abusos para a apresentação dessas solicitações, uma vez que os registradores de nomes de domínio possuem seus próprios processos.
Alguns exemplos são:
- GoDaddy: Utiliza seu próprio formulário de divulgação de dados não públicos.
- OVH: O procedimento está detalhado aqui, e as solicitações devem ser enviadas para [email protected].
- Cloudflare: Processa essas solicitações por meio de seu sistema de denúncia de abusos.
- Namecheap: Oferece diferentes procedimentos para diferentes finalidades, que são detalhados neste guia.
Há também um “Contato para denúncias de abuso” listado no registro WHOIS com dados ocultos, já que os registradores são obrigados a fornecer um meio de denunciar abusos, mesmo que os dados pessoais do proprietário estejam ocultos. Esse contato geralmente aparece após o nome e o ID do registrador.
![Exemplo: Informações sobre abuso do registrador para housedmd[.]com](/_astro/image-4.Bm3jHegW_ZNhf4P.webp)
Apresentar e, em seguida, notificar uma intimação
No caso de investigações criminais, a melhor estratégia a seguir é solicitar uma intimação judicial. Embora seja mais dispendioso e exija assessoria jurídica, muitas vezes é a única maneira de obter uma resposta de um registrador. Se um registrador receber uma ordem judicial válida, ele geralmente é obrigado a fornecer as informações do registrante sem censura.
O FBI, por exemplo, intimou vários registradores. Em 2025, intimou a Tucows em sua tentativa de localizar o proprietário dos domínios archive[.]today, archive[.]is e archive[.]ph.
Usar o histórico do WHOIS
O método mais rápido e fácil é utilizar dados históricos do WHOIS. Isso permite que os pesquisadores de segurança cibernética descubram como eram os registros do WHOIS antes da aplicação da censura. Por exemplo, se um nome de domínio foi registrado em 2015 e censurado em 2018, os registros históricos desses três primeiros anos podem ser uma mina de ouro (desde que o proprietário do domínio não tenha utilizado serviços de privacidade do WHOIS).
A seguir, mostraremos como usar a Pesquisa de Histórico WHOIS, parte do Domain Research Suite (DRS), uma plataforma que conta com 10 ferramentas de pesquisa e monitoramento de domínios:
- Faça login no DRS. Se você ainda não tem uma conta, cadastre-se gratuitamente e ganhe 500 créditos grátis.
- Digite o nome do domínio. Por exemplo, se você estiver investigando xclyd[.]com, um domínio marcado como um indicador de comprometimento (IoC) do Silver Fox, digite-o no campo de pesquisa.
- Verifique o número de registros. Um número elevado de registros históricos aumenta suas chances de encontrar uma versão não censurada.
![Resumo das alterações nos registros WHOIS do domínio xclyd[.]com ao longo de mais de 14 anos.](/_astro/image-5.COvv3ThJ_6JbdW.webp)
- Abra o registro WHOIS atual do domínio. Neste caso, seria o que aparece no topo, datado de 19 de março de 2026, cujos dados de contato do registrante, administrativo e técnico já foram ocultados por motivos de privacidade.
![Dados de contato do registrante de xclyd[.]com, datados de 19 de março de 2026, foram ocultados.](/_astro/image-6.Dhf4458N_Z11wiS4.webp)
- Procure registros mais antigos. Volte aos registros anteriores a maio de 2018. O registro mais antigo para xclyd[.]com data de 10 de abril de 2011 e mostra, sem censura, a organização do registrante, o nome, o endereço de e-mail e o endereço postal dos contatos administrativo, técnico e de cobrança do domínio.
![Informações sobre o registrante mais antigo e o contato administrativo do domínio xclyd[.]com, datadas de 10 de abril de 2011.](/_astro/image-7.DOilfgKQ_Z1cpq1.webp)
O registro WHOIS mais recente e não censurado do domínio data de 4 de abril de 2018. Depois disso, os detalhes foram ocultados. No entanto, ainda podemos ver que o domínio permaneceu registrado na China até 1º de fevereiro de 2026.
![Informações mais recentes, sem censura, sobre o registrante e o contato administrativo do domínio xclyd[.]com, datadas de 4 de abril de 2018.](/_astro/image-8.wYVarqWt_ZSPKab.webp)
- Mude de abordagem. Use esse e-mail ou nome para encontrar outros domínios de propriedade do mesmo agente. Uma pesquisa reversa no WHOIS, analisando o histórico do endereço de e-mail mais recente não censurado (****[email protected]), revelou outros cinco domínios registrados com esse endereço de e-mail.
- Por outro lado, o endereço de e-mail mais antigo associado ao domínio revelou 3.168 domínios relacionados.
- Verifique a validade do e-mail. Agora que você tem dois endereços de e-mail, pode verificar se eles ainda estão ativos. Uma rápida verificação no Email Verification Lookup nos mostra que o endereço de e-mail ainda pode receber mensagens.
![Resultados da verificação de e-mail para o endereço de e-mail administrativo mais antigo do domínio xclyd[.]com.](/_astro/image-11.Cl7mbStX_Z1wt68n.webp)
- O mesmo se aplica ao endereço de e-mail do registrante de 2018.
Veja como recuperar os dados WHOIS de um domínio após a ocultação. Os dados do Histórico WHOIS da WhoisXML API também estão disponíveis na forma de uma ferramenta de pesquisa, download do banco de dados e uma API.
Se você quisesse reproduzir o mesmo exemplo acima com a API de histórico do WHOIS usando um comando curl e gravar o resultado em um arquivo JSON, a consulta ficaria assim:
curl "https://whois-history.whoisxmlapi.com/api/v1?apiKey=YOUR_API_KEY&domainName=google.com&mode=purchase" > output.jsonNo exemplo acima, você precisará substituir SUA_CHAVE_DE_API com sua chave de API real, que você pode obter ao se cadastrar.
Usar a API de informações de domínio
A API Domain Info é uma alternativa mais simples à pesquisa completa do histórico WHOIS. Enquanto o Histórico WHOIS apresenta uma linha do tempo com todas as alterações, a Domain Info fornece um único registro que resume os dados mais relevantes de um domínio.
É mais acessível e pode ser acessado por meio de API, de uma ferramenta de pesquisa ou como parte do DRS. Ela ajuda a visualizar dados que foram ocultados (caso tenha havido alguma ocultação), mas não contorna os serviços pagos de privacidade do WHOIS. Se o proprietário de um domínio estiver usando um proxy de privacidade, a ferramenta continuará exibindo os detalhes desse proxy.
As informações de domínio costumam ser a alternativa mais prática ao histórico do WHOIS quando é necessário utilizá-las em fluxos de trabalho automatizados, já que você obtém apenas um registro WHOIS em vez de dezenas.
Uma solicitação de API de exemplo para obter o mesmo resultado que o acima fica assim:
curl “https://domain-info.whoisxmlapi.com/api/v1?apiKey=YOUR_API_KEY&domainName=xclyd.com”Mais uma vez, você precisará substituir SUA_CHAVE_DE_API com sua chave de API real, que é a mesma para a API de Informações de Domínio e a API de Histórico WHOIS. O resultado é um JSON semelhante a este:
{
"domainName": "xclyd.com",
"data": [
{
"fieldName": "createdDateISO8601",
"fieldValue": "2015-05-14T02:01:42+00:00",
"auditDate": "2026-03-19T05:59:06+00:00",
"isEmptyOrRedactedNow": false
},
{
"fieldName": "updatedDateISO8601",
"fieldValue": "2026-03-15T13:32:34+00:00",
"auditDate": "2026-03-19T05:59:06+00:00",
"isEmptyOrRedactedNow": false
},
{
"fieldName": "expiresDateISO8601",
"fieldValue": "2026-05-14T02:01:42+00:00",
"auditDate": "2026-03-19T05:59:06+00:00",
"isEmptyOrRedactedNow": false
},
{
"fieldName": "createdDateRaw",
"fieldValue": "2015-05-14 02:01:42 UTC",
"auditDate": "2026-03-19T05:59:06+00:00",
"isEmptyOrRedactedNow": false
},
{
"fieldName": "updatedDateRaw",
"fieldValue": "2026-03-15 13:32:34 UTC",
"auditDate": "2026-03-19T05:59:06+00:00",
"isEmptyOrRedactedNow": false
},
{
"fieldName": "expiresDateRaw",
"fieldValue": "2026-05-14 02:01:42 UTC",
"auditDate": "2026-03-19T05:59:06+00:00",
"isEmptyOrRedactedNow": false
},
{
"fieldName": "nameServers",
"fieldValue": [
"NAOMI.NS.CLOUDFLARE.COM",
"VASILII.NS.CLOUDFLARE.COM"
],
"auditDate": "2026-03-19T05:59:06+00:00",
"isEmptyOrRedactedNow": false
},
{
"fieldName": "whoisServer",
"fieldValue": "whois.gname.com",
"auditDate": "2026-03-19T05:59:06+00:00",
"isEmptyOrRedactedNow": false
},
{
"fieldName": "registrarName",
"fieldValue": "Gname.com Pte. Ltd.",
"auditDate": "2026-03-19T05:59:06+00:00",
"isEmptyOrRedactedNow": false
},
{
"fieldName": "status",
"fieldValue": [
"clientTransferProhibited"
],
"auditDate": "2026-03-19T05:59:06+00:00",
"isEmptyOrRedactedNow": false
}
],
"registrantContact": [
{
"fieldName": "name",
"fieldValue": "Registry Registrant ID: Not Available From Registry",
"auditDate": "2022-04-29T07:16:11+00:00",
"isEmptyOrRedactedNow": true
},
{
"fieldName": "organization",
"fieldValue": "Zhe Jiang Li Yong Da Zhi Ling Ji Xie You Xian Gong Si",
"auditDate": "2018-04-04T16:49:33+00:00",
"isEmptyOrRedactedNow": true
},
{
"fieldName": "street",
"fieldValue": "Xin Chang Cheng Dong Xin Qu Yu Lin Lu 18Hao",
"auditDate": "2018-04-04T16:49:33+00:00",
"isEmptyOrRedactedNow": true
},
{
"fieldName": "city",
"fieldValue": "Shao Xing Shi",
"auditDate": "2018-07-24T00:00:00+00:00",
"isEmptyOrRedactedNow": true
},
{
"fieldName": "state",
"fieldValue": "HUBEI",
"auditDate": "2024-12-26T01:49:11+00:00",
"isEmptyOrRedactedNow": true
},
{
"fieldName": "postalCode",
"fieldValue": "...500",
"auditDate": "2018-04-04T16:49:33+00:00",
"isEmptyOrRedactedNow": true
},
{
"fieldName": "country",
"fieldValue": "UNITED STATES",
"auditDate": "2026-03-19T05:59:06+00:00",
"isEmptyOrRedactedNow": false
},
{
"fieldName": "email",
"fieldValue": "[email protected]",
"auditDate": "2018-04-04T16:49:33+00:00",
"isEmptyOrRedactedNow": true
},
{
"fieldName": "telephone",
"fieldValue": "......6041483",
"auditDate": "2018-04-04T16:49:33+00:00",
"isEmptyOrRedactedNow": true
},
{
"fieldName": "telephoneExt",
"fieldValue": null,
"auditDate": null,
"isEmptyOrRedactedNow": true
},
{
"fieldName": "fax",
"fieldValue": "......041483",
"auditDate": "2018-04-04T16:49:33+00:00",
"isEmptyOrRedactedNow": true
},
{
"fieldName": "faxExt",
"fieldValue": null,
"auditDate": null,
"isEmptyOrRedactedNow": true
}
]
}Editamos algumas partes do conteúdo deste artigo por motivos de privacidade, mas se você fizer uma consulta ao histórico do WHOIS (seja pelo DRS ou pela API), os dados estarão disponíveis.
Conclusão
A ocultação de dados WHOIS tornou a internet mais privada para os usuários, mas também tornou mais fácil para os criminosos se esconderem — e mais difícil para os pesquisadores de segurança cibernética conduzirem suas investigações.
Quando você se deparar com um registro censurado ao investigar um domínio suspeito, sua primeira opção é usar o histórico do WHOIS para encontrar dados antigos e não censurados. Se isso não funcionar, entre em contato com o departamento de abuso do registrador ou considere opções legais, como uma intimação judicial.
Inscreva-se no WHOIS History ou no Domain Info para recuperar registros históricos do WHOIS dos domínios, mesmo após a supressão em massa.
