investigação avançada
Como descobrir quem é o dono de um domínio: O guia completo
Como descobrir quem é o dono de um domínio: O guia completo
Descobrir quem é o dono de um domínio é uma das habilidades mais fundamentais na investigação digital — e, em 2026, é também uma das mais desafiadoras. Com os registros de domínios maliciosos aumentando 149% ano a ano e os dados pessoais cada vez mais ocultos sob as camadas de privacidade do GDPR e RDAP, uma simples pesquisa de WHOIS raramente é suficiente. Este guia orienta você por todos os métodos disponíveis, desde pesquisas públicas básicas até técnicas avançadas de OSINT, para que você possa identificar com confiança a pessoa ou organização por trás de qualquer domínio.
Alisson Moretto
Fundador do Sherlockeye
Por Que a Pesquisa de Propriedade de Domínio Importa Mais do Que Nunca
Você recebeu um e-mail de um site desconhecido. Você encontrou um domínio que imita de forma suspeita a marca da sua empresa. Você está prestes a assinar um contrato com uma empresa cujo site foi registrado há seis dias. Em cada uma dessas situações, a primeira pergunta é idêntica: quem está realmente por trás desse domínio?
Essa pergunta nunca foi tão urgente quanto hoje. Um estudo publicado pela Interisle Consulting em novembro de 2025 revelou que os ataques cibernéticos envolvendo malware, phishing e spam cresceram 60% em um único ano, ultrapassando 26 milhões de eventos únicos. Durante esse mesmo período, os registros de domínios maliciosos aumentaram 149% em relação ao ano anterior, e o registro de domínios em lote para fins criminosos disparou 177%. Mais de 7,3 milhões de domínios usados em ataques cibernéticos foram registrados em lotes, frequentemente com dados de identidade falsos ou deliberadamente ocultos.
O cenário se torna ainda mais impressionante quando analisamos o nível das campanhas. Uma pesquisa do Anti-Phishing Working Group documentou que mais de 60% dos domínios de phishing são registrados menos de sete dias antes de serem utilizados em ataques. Um domínio recém-criado é, por si só, um sinal de risco significativo que justifica uma investigação.
Saber quem registrou um domínio é o ponto de partida de qualquer investigação digital séria, seja o objetivo proteger uma marca, verificar a legitimidade de um parceiro de negócios, investigar fraudes ou simplesmente decidir se deve confiar em um site que apareceu na sua caixa de entrada.
O Que São WHOIS e RDAP e Como Eles Funcionam
Desde os primórdios da internet, cada domínio registrado está associado a um conjunto de metadados públicos que identificam seu proprietário, a empresa de registro (registrar) responsável, as datas de criação e expiração e os servidores de nome (DNS) configurados. Esses dados são armazenados em um sistema chamado WHOIS, um protocolo de pesquisa pública criado em 1982.
Por décadas, o WHOIS funcionou como um registro público da internet: qualquer pessoa que registrasse um domínio tinha suas informações de contato publicadas abertamente, disponíveis para pesquisa por qualquer outro usuário. A transparência era total e irrestrita.
Em 28 de janeiro de 2025, no entanto, a ICANN tornou obrigatória a migração do WHOIS para um protocolo mais moderno chamado RDAP (Registration Data Access Protocol) para todas as entidades de registro e registrars de domínios genéricos de primeiro nível. A diferença não é meramente técnica. O RDAP retorna dados em formato JSON estruturado, suporta criptografia HTTPS por padrão e introduz um sistema de acesso em camadas: pesquisas públicas recebem dados redigidos, enquanto partes verificadas podem solicitar acesso a registros completos por meio do Serviço de Solicitação de Dados de Registro (RDRS) da ICANN, mediante justificativa documentada.
Na prática, quando você usa uma ferramenta de "pesquisa de WHOIS" hoje, ela quase sempre está executando uma pesquisa de RDAP em segundo plano. O nome antigo persiste no vocabulário popular, mas o protocolo subjacente evoluiu significativamente.
O Que Você Pode Encontrar em um Registro de Domínio
Mesmo com as restrições introduzidas pelo GDPR e regulamentos de privacidade semelhantes, uma pesquisa de domínio bem conduzida ainda gera uma quantidade substancial de informações. O que você encontra varia de acordo com o tipo de domínio (genérico ou código de país), o país do registrante e se o proprietário contratou um serviço de proteção de privacidade.
Em um registro com dados completos disponíveis, você pode acessar:
Nome do registrante (nome de pessoa física ou empresa)
E-mail de contato (frequentemente substituído por um proxy após 2018)
Endereço físico (país, estado e cidade geralmente permanecem visíveis mesmo sob redação parcial)
Nome da empresa de registro / registrar (GoDaddy, Cloudflare, Namecheap, HostGator, etc.)
Data de criação do domínio
Data de expiração
Data da última atualização
Servidores de nome (nameservers)
Status do domínio (ativo, clientTransferProhibited, redemptionPeriod, etc.)
Para domínios que utilizam serviços de privacidade ou pertencem a registrantes em jurisdições cobertas pelo GDPR, os campos de nome e e-mail geralmente aparecem com marcadores como "Redigido por Privacidade" ou mostram os dados de contato do próprio serviço de proxy do registrar. No entanto, informações como país, registrar, datas e servidores de nomes quase sempre permanecem acessíveis e são suficientes para construir a base de uma investigação.
Quem Precisa Encontrar o Proprietário de um Domínio
A necessidade de identificar o proprietário de um domínio abrange perfis profissionais e pessoais muito distintos. Entre os casos de uso mais comuns estão:
Profissionais de segurança e conformidade que precisam verificar se um domínio suspeito está associado a campanhas de phishing conhecidas, infraestrutura de malware ou operadores com histórico de abuso documentado. Para esse público, o registro de domínio é geralmente o primeiro passo em uma cadeia de conexões que vincula endereços de e-mail, endereços IP e outros domínios à mesma identidade.
Equipes jurídicas e de propriedade intelectual que identificaram violação de marca ou uso não autorizado de um nome comercial em um domínio de terceiros. Saber quem registrou o domínio é um pré-requisito para iniciar o processo UDRP da ICANN ou abrir uma ação civil.
Analistas de due diligence e prevenção a fraudes que precisam verificar a legitimidade de uma empresa antes de fechar um contrato, conceder crédito ou aprovar uma parceria. Um domínio registrado recentemente e associado a um registrante anônimo é um indicador de risco imediato.
Investigadores de fraude e jornalistas que rastreiam operações fraudulentas, esquemas de golpes digitais ou redes coordenadas de desinformação frequentemente precisam mapear grupos de domínios vinculados à mesma entidade subjacente.
Pessoas físicas que receberam um e-mail suspeito, foram abordadas por um site desconhecido ou querem verificar se um serviço online é legítimo antes de inserir dados pessoais ou realizar um pagamento.
Como Descobrir Quem é o Dono de um Domínio: Passo a Passo
A pesquisa de propriedade de domínio pode ser realizada em diferentes níveis de profundidade, desde uma pesquisa básica que leva segundos até uma investigação completa que cruza múltiplas fontes abertas. O processo abaixo descreve ambos os níveis.
Nível 1: Pesquisa Básica de WHOIS/RDAP
Passo 1: Use a ferramenta de pesquisa oficial da ICANN
Visite lookup.icann.org e digite o domínio que deseja pesquisar. Esta é a fonte oficial, que consulta diretamente o endpoint RDAP de cada registrar. O resultado inclui o registrar, as datas de registro e expiração, os servidores de nome e, quando disponíveis, os dados do registrante.
Passo 2: Identifique o registrar
O nome do registrar é sempre público. Com ele, você pode ir diretamente ao site do registrar e usar a ferramenta própria de WHOIS dele, que pode revelar mais detalhes do que uma pesquisa genérica.
Passo 3: Consulte ferramentas de pesquisa complementares
Sites como who.is, whois.domaintools.com e whoisfreaks.com agregam dados de múltiplas fontes e frequentemente oferecem registros históricos de registro, o que é especialmente útil quando o atual proprietário está oculto, mas transferências passadas deixaram rastros em registros anteriores.
Passo 4: Verifique os dados históricos do WHOIS
O serviço de privacidade que protege um domínio hoje pode não ter existido na época do registro original. Ferramentas de histórico de WHOIS fornecem capturas de registros anteriores que podem conter os dados reais do proprietário de antes da ativação do serviço de privacidade.
Passo 5: Analise os servidores de nome (nameservers)
Os servidores de nomes raramente são cobertos por serviços de privacidade e aparecem em quase todas as respostas de WHOIS/RDAP. Para os investigadores, os servidores de nomes são valiosos porque operadores de infraestruturas maliciosas frequentemente reutilizam os mesmos servidores em múltiplos domínios. Encontrar outros domínios que compartilham o mesmo servidor de nomes é uma técnica clássica de correlação em investigações de OSINT.
Nível 2: Investigação Profunda com OSINT
Quando uma pesquisa básica retorna dados redigidos ou insuficientes, a investigação passa para o cruzamento de informações de múltiplas fontes abertas.
Passo 6: Execute uma pesquisa de IP reverso
Identificar o endereço IP associado ao domínio e correlacioná-lo com outros domínios hospedados no mesmo servidor pode revelar padrões. Operadores de domínios fraudulentos frequentemente hospedam múltiplos alvos na mesma infraestrutura.
Passo 7: Verifique os registros de transparência de certificados SSL/TLS
Bancos de dados de transparência de certificados, como o crt.sh, registram cada certificado SSL emitido para um domínio e seus subdomínios. Esses dados não estão sujeitos às mesmas restrições de privacidade que o WHOIS e podem revelar subdomínios não documentados, padrões de infraestrutura e associações organizacionais.
Passo 8: Revise os registros de DNS passivo
Consultar dados de DNS passivo (pDNS) permite que você veja para quais endereços IP um domínio apontou ao longo do tempo, mesmo que a configuração atual seja diferente. Mudanças repentinas de IP são frequentemente associadas a tentativas de ocultar a infraestrutura após a detecção de abusos.
Passo 9: Use o Sherlockeye para consolidar a investigação
Quando a profundidade e a velocidade de uma investigação importam, agregar manualmente dados de dezenas de fontes abertas consome muito tempo e aumenta o risco de perder conexões críticas. O Sherlockeye foi projetado exatamente para esse cenário: a plataforma pesquisa mais de 800 fontes abertas simultaneamente, cruza registros de WHOIS, DNS, certificados, reputação de IP, perfis de redes sociais e dados de vazamentos, e retorna um perfil digital consolidado do domínio sob investigação. Para profissionais que realizam investigações recorrentes, análises de due diligence ou triagem de ameaças em escala, automatizar esse processo representa uma diferença significativa tanto em eficiência quanto em amplitude de cobertura.
Passo 10: Verifique a reputação e o status em listas de bloqueio
Pesquise o domínio em listas públicas de bloqueio, como Spamhaus, VirusTotal e URLhaus. Verifique se ele aparece em relatórios de abuso, fóruns de segurança ou bancos de dados de phishing. Um domínio com histórico de abuso, mesmo que atualmente pareça limpo, merece maior escrutínio.
Sinais de Alerta: Quando um Domínio Merece Atenção Imediata
Nem toda investigação começa com uma suspeita clara. Às vezes, o próprio dado de registro é o sinalizador. Vale a pena conhecer vários padrões que se repetem consistentemente entre domínios maliciosos:
Idade de registro muito recente. Domínios registrados há menos de 30 dias apresentam um risco significativamente elevado de estarem associados a campanhas ativas. Conforme documentado pelo APWG, a maioria dos domínios de phishing é colocada em operação em até uma semana após o registro.
Registrar de alto risco. Análises do Cybercrime Information Center mostram que uma parcela desproporcionalmente grande de domínios denunciados por phishing está concentrada em um pequeno número de registrars com políticas de verificação mais permissivas. Identificar o registrar e verificar seu histórico de abusos é uma etapa de triagem relevante.
TLD de alto risco. Extensões como .xyz, .top, .tk, .club e .icu aparecem constantemente nos rankings de extensões de domínio com maior proporção de atividade maliciosa. Elas não são inerentemente suspeitas de forma isolada, mas combinadas com outros fatores aumentam substancialmente o perfil de risco.
Proteção completa de privacidade combinada com comportamento suspeito. Ter a privacidade do WHOIS ativada é algo legítimo e comum. Porém, um domínio com proteção total de privacidade, um TLD de alto risco, data de registro recente e conteúdo suspeito forma uma combinação que justifica investigação.
Dados de registrante inconsistentes. Quando dados parciais estão disponíveis e incluem nomes genéricos, endereços de e-mail descartáveis ou endereços físicos claramente inválidos, isso sugere informações de registro deliberadamente falsas.
Mudanças frequentes de servidores de nome. Rotacionar a infraestrutura de DNS é uma técnica bem estabelecida para escapar de monitoramentos. Domínios legítimos raramente alteram seus servidores de nomes várias vezes em curtos períodos de tempo.
O Impacto do GDPR e das Leis Globais de Privacidade na Pesquisa de Domínios
Para entender por que tantos registros de domínio hoje aparecem com dados redigidos, é necessário compreender as mudanças regulatórias dos últimos anos.
Antes de maio de 2018, qualquer pessoa podia pesquisar o WHOIS de qualquer domínio e encontrar o nome completo, endereço, e-mail e telefone do registrante. A transparência era total. Quando o GDPR entrou em vigor na União Europeia, estabeleceu que esses dados constituem informações de identificação pessoal e não podem ser publicados sem uma base legal clara. A reação da maioria das empresas de registro foi adotar a ocultação padrão para todos os registrantes individuais, independentemente de sua localização geográfica, a fim de simplificar a conformidade global.
O resultado prático é que hoje a maioria dos registros públicos de domínios exibe apenas o registrar, as datas e os servidores de nomes, substituindo os dados pessoais por marcadores como "Redigido por Privacidade".
Estruturas legais semelhantes em outras jurisdições reforçaram essa mudança. A LGPD no Brasil, a CCPA na Califórnia e a PIPEDA no Canadá seguem princípios semelhantes de minimização de dados, contribuindo para uma tendência global de práticas de registro de domínios focadas na privacidade.
A transição para o protocolo RDAP, tornada obrigatória pela ICANN em janeiro de 2025, introduziu uma solução parcial para investigadores legítimos. O sistema RDRS da ICANN permite que pesquisadores de segurança, titulares de marcas registradas e outros profissionais com justificativa documentada solicitem formalmente o acesso aos dados completos do registrante diretamente aos registrars. A aprovação não é automática e exige fundamentação jurídica, mas o canal existe e funciona.
Para domínios que utilizam serviços comerciais de proxy ou privacidade em vez da ocultação padrão do GDPR, o caminho formal é entrar em contato com o registrar apresentando a justificativa e solicitar que a informação seja encaminhada ao real proprietário do domínio. Em contextos de marcas ou litígios, a OMPI (WIPO) pode conduzir procedimentos de UDRP mesmo sem que o registrante seja identificado previamente.
Considerações Legais e Éticas
Pesquisar quem registrou um domínio é, por si só, uma atividade totalmente lícita. Os dados de registro de domínio são públicos por design, e pesquisá-los é um direito acessível a qualquer usuário de internet. O que varia entre as jurisdições é o que pode ser feito com esses dados posteriormente.
Nos Estados Unidos, não há lei federal que restrinja a pesquisa de dados públicos de WHOIS, embora o uso de dados pessoais obtidos através dessas pesquisas para assediar, perseguir ou prejudicar um indivíduo possa gerar responsabilidade civil sob leis estaduais de privacidade e leis federais contra o assédio. Na União Europeia, o GDPR rege o que acontece com qualquer dado pessoal coletado, mesmo de fontes públicas, uma vez que ele entra em um fluxo de processamento de dados.
Para investigadores, profissionais de compliance e equipes jurídicas, aplicam-se alguns princípios práticos:
Pesquisar e registrar dados públicos de WHOIS/RDAP é legítimo para fins de due diligence, segurança da informação, proteção de marca e investigação de fraudes. O cruzamento de dados de WHOIS com outras fontes abertas é uma prática aceita no campo de OSINT. No entanto, tentar obter dados protegidos pelo GDPR por canais não oficiais, ou usar dados obtidos em pesquisas legítimas para assédio ou monitoramento não autorizado, constitui uma violação legal.
A linha entre a investigação legítima e a violação de privacidade passa pela intenção e pelo método. Investigadores profissionais devem documentar a finalidade de cada pesquisa e garantir que a cadeia de custódia de qualquer informação coletada seja preservada, principalmente quando os dados puderem ser usados em processos judiciais.
Limitações da Pesquisa de Domínios em 2026
É importante manter expectativas realistas sobre o que uma pesquisa de domínio pode e não pode revelar em 2026.
A limitação mais significativa é a ampla ocultação de dados pessoais. Para domínios registrados por indivíduos em jurisdições com legislação de proteção de dados, os campos de nome, e-mail e telefone raramente são visíveis. Mesmo para organizações, a cobertura varia conforme o registrar e o TLD.
A segunda limitação relevante é o uso de dados falsos no registro. Criminosos que registram domínios para fins maliciosos frequentemente preenchem os campos obrigatórios com informações inventadas. As práticas de validação dos registrars variam muito, e muitos não verificam a veracidade das informações fornecidas no momento do registro.
Terceiro, há a limitação temporal: dados históricos de WHOIS são preservados por serviços especializados, mas nem sempre de forma abrangente. Quando um domínio é excluído ou transferido, partes do histórico podem ser perdidas dependendo do registrar e do período em questão.
Finalmente, os domínios de código de país (ccTLDs) seguem suas próprias políticas nacionais, que variam significativamente. Um domínio .io, por exemplo, opera sob políticas totalmente diferentes de um .de ou de um .uk. Não existe uma resposta única que se aplique uniformemente a todos os domínios.
Perguntas Frequentes
É legal pesquisar quem registrou um domínio?
Sim. Pesquisar dados de registro de domínio publicamente disponíveis via WHOIS ou RDAP é totalmente lícito em qualquer jurisdição. Esses dados são públicos por design e o acesso a eles não requer nenhuma autorização especial. O que varia de acordo com a jurisdição é como os dados pessoais obtidos através da pesquisa podem ser processados, armazenados e compartilhados posteriormente, especialmente quando envolvem informações identificáveis de pessoas físicas.
Por que o WHOIS da maioria dos domínios mostra "Redigido por Privacidade"?
A partir de 2018, com a entrada em vigor do GDPR na União Europeia, as empresas de registro começaram a ocultar por padrão os dados pessoais dos registrantes, substituindo as informações reais por marcações de privacidade. A maioria dos grandes registrars aplicou essa política globalmente, e não apenas para registrantes europeus, para simplificar a conformidade. O resultado prático é que a maior parte dos registros de domínios públicos hoje não mostra mais o nome, e-mail ou telefone do real proprietário.
Como posso encontrar o proprietário de um domínio quando os dados estão ocultos?
Quando os dados pessoais estão redigidos, vários caminhos investigativos continuam viáveis. Você pode consultar registros históricos de WHOIS para verificar se os dados foram expostos antes da ativação da privacidade. Você pode analisar os servidores de nomes, o endereço IP e os certificados SSL associados ao domínio para conectá-lo a outros ativos registrados pela mesma entidade. Se houver uma base legal legítima, como violação de marca registrada ou investigação de fraude, você pode solicitar formalmente os dados do registrante ao registrar através do sistema RDRS da ICANN.
O GDPR impede totalmente a identificação do proprietário de um domínio?
Não. O GDPR limita a publicação de dados pessoais de registrantes em pesquisas públicas, mas não elimina o acesso por completo. Órgãos de aplicação da lei podem obter dados completos por meio de ordens judiciais ou solicitações legais formais. Titulares de marcas registradas e pesquisadores de segurança verificados podem solicitar dados por meio do RDRS da ICANN. A proteção de privacidade oculta as informações do público geral, mas não de autoridades competentes ou de partes com interesse legítimo documentado.
O que são servidores de nome (nameservers) e por que são úteis em investigações de domínio?
Os servidores de nomes são os servidores responsáveis por traduzir um nome de domínio em um endereço IP. Eles raramente são cobertos por serviços de privacidade e aparecem em quase todas as respostas de WHOIS/RDAP. Para os investigadores, os servidores de nomes são valiosos porque os operadores de infraestruturas maliciosas frequentemente reutilizam os mesmos servidores em múltiplos domínios. Identificar outros domínios que compartilham a mesma configuração de servidores de nomes é uma técnica clássica de pivotamento que pode revelar todo o portfólio de ativos de um operador.
Um domínio com proteção de privacidade é automaticamente suspeito?
Não. A proteção de privacidade no WHOIS é uma prática comum e legítima utilizada por empresas, jornalistas, ativistas e indivíduos que preferem não ter seus dados pessoais expostos publicamente. A presença de proteção de privacidade, por si só, não indica má intenção. O que eleva o nível de suspeita é a combinação de proteção total de privacidade com outros fatores de risco, como registro muito recente, um TLD com alto índice de abuso e conteúdo ou comportamento suspeito do site.
Qual é a diferença entre WHOIS e RDAP?
O WHOIS é o protocolo original de pesquisa de dados de domínio, criado em 1982, que retorna texto livre não estruturado que varia de forma imprevisível entre os registrars. O RDAP (Registration Data Access Protocol) é seu substituto oficial, obrigatório desde janeiro de 2025 para todos os domínios genéricos de primeiro nível, incluindo .com, .net e .org. O RDAP retorna dados em formato JSON padronizado, opera sobre HTTPS com criptografia e suporta controle de acesso federado, o que permite diferentes níveis de visibilidade para pesquisas públicas versus autenticadas. A maioria das ferramentas de pesquisa populares já utiliza o RDAP internamente, tornando a transição praticamente invisível para os usuários finais.
Consigo encontrar o proprietário de um domínio mesmo após ele ter sido transferido ou expirado?
Em alguns casos, sim. Serviços especializados em histórico de WHOIS arquivam registros de registro ao longo do tempo, capturando versões antes de transferências de domínios, mudanças de propriedade ou expiração. Se o registrante original ainda não tivesse ativado a proteção de privacidade no momento em que esses registros foram salvos, seus dados ainda podem estar acessíveis no arquivo histórico. A disponibilidade dessas informações depende de quais serviços de arquivamento estavam rastreando ativamente o registrar no período correspondente, portanto a cobertura não é garantida.
Conclusão
Descobrir quem está por trás de um domínio nunca foi tão necessário e, ao mesmo tempo, nunca foi tão desafiador. O volume crescente de domínios maliciosos, o impacto do GDPR e de leis de privacidade equivalentes na visibilidade dos dados e a transição para o RDAP transformaram o que antes era uma pesquisa de dois minutos em um processo que frequentemente exige o cruzamento de múltiplas fontes, análise de padrões históricos e aplicação de técnicas de OSINT para chegar a conclusões confiáveis.
Para a maioria das situações cotidianas, as ferramentas públicas descritas neste guia oferecem um excelente ponto de partida. Para investigações profissionais que exigem profundidade, velocidade e consulta a centenas de fontes simultaneamente, o Sherlockeye oferece o ambiente ideal: um motor de busca OSINT com criptografia de ponta a ponta, política de retenção de dados de no máximo 30 dias e a capacidade de correlacionar automaticamente registros de domínios com e-mails, números de telefone, endereços IP, perfis de redes sociais e dados de vazamentos em uma única plataforma.
Independentemente do nível de sofisticação da sua investigação, o ponto de partida é sempre o mesmo: questione, verifique e nunca presuma que um site é legítimo apenas porque ele tem uma aparência profissional.
Comece sua investigação agora em www.sherlockeye.io
Por Que a Pesquisa de Propriedade de Domínio Importa Mais do Que Nunca
Você recebeu um e-mail de um site desconhecido. Você encontrou um domínio que imita de forma suspeita a marca da sua empresa. Você está prestes a assinar um contrato com uma empresa cujo site foi registrado há seis dias. Em cada uma dessas situações, a primeira pergunta é idêntica: quem está realmente por trás desse domínio?
Essa pergunta nunca foi tão urgente quanto hoje. Um estudo publicado pela Interisle Consulting em novembro de 2025 revelou que os ataques cibernéticos envolvendo malware, phishing e spam cresceram 60% em um único ano, ultrapassando 26 milhões de eventos únicos. Durante esse mesmo período, os registros de domínios maliciosos aumentaram 149% em relação ao ano anterior, e o registro de domínios em lote para fins criminosos disparou 177%. Mais de 7,3 milhões de domínios usados em ataques cibernéticos foram registrados em lotes, frequentemente com dados de identidade falsos ou deliberadamente ocultos.
O cenário se torna ainda mais impressionante quando analisamos o nível das campanhas. Uma pesquisa do Anti-Phishing Working Group documentou que mais de 60% dos domínios de phishing são registrados menos de sete dias antes de serem utilizados em ataques. Um domínio recém-criado é, por si só, um sinal de risco significativo que justifica uma investigação.
Saber quem registrou um domínio é o ponto de partida de qualquer investigação digital séria, seja o objetivo proteger uma marca, verificar a legitimidade de um parceiro de negócios, investigar fraudes ou simplesmente decidir se deve confiar em um site que apareceu na sua caixa de entrada.
O Que São WHOIS e RDAP e Como Eles Funcionam
Desde os primórdios da internet, cada domínio registrado está associado a um conjunto de metadados públicos que identificam seu proprietário, a empresa de registro (registrar) responsável, as datas de criação e expiração e os servidores de nome (DNS) configurados. Esses dados são armazenados em um sistema chamado WHOIS, um protocolo de pesquisa pública criado em 1982.
Por décadas, o WHOIS funcionou como um registro público da internet: qualquer pessoa que registrasse um domínio tinha suas informações de contato publicadas abertamente, disponíveis para pesquisa por qualquer outro usuário. A transparência era total e irrestrita.
Em 28 de janeiro de 2025, no entanto, a ICANN tornou obrigatória a migração do WHOIS para um protocolo mais moderno chamado RDAP (Registration Data Access Protocol) para todas as entidades de registro e registrars de domínios genéricos de primeiro nível. A diferença não é meramente técnica. O RDAP retorna dados em formato JSON estruturado, suporta criptografia HTTPS por padrão e introduz um sistema de acesso em camadas: pesquisas públicas recebem dados redigidos, enquanto partes verificadas podem solicitar acesso a registros completos por meio do Serviço de Solicitação de Dados de Registro (RDRS) da ICANN, mediante justificativa documentada.
Na prática, quando você usa uma ferramenta de "pesquisa de WHOIS" hoje, ela quase sempre está executando uma pesquisa de RDAP em segundo plano. O nome antigo persiste no vocabulário popular, mas o protocolo subjacente evoluiu significativamente.
O Que Você Pode Encontrar em um Registro de Domínio
Mesmo com as restrições introduzidas pelo GDPR e regulamentos de privacidade semelhantes, uma pesquisa de domínio bem conduzida ainda gera uma quantidade substancial de informações. O que você encontra varia de acordo com o tipo de domínio (genérico ou código de país), o país do registrante e se o proprietário contratou um serviço de proteção de privacidade.
Em um registro com dados completos disponíveis, você pode acessar:
Nome do registrante (nome de pessoa física ou empresa)
E-mail de contato (frequentemente substituído por um proxy após 2018)
Endereço físico (país, estado e cidade geralmente permanecem visíveis mesmo sob redação parcial)
Nome da empresa de registro / registrar (GoDaddy, Cloudflare, Namecheap, HostGator, etc.)
Data de criação do domínio
Data de expiração
Data da última atualização
Servidores de nome (nameservers)
Status do domínio (ativo, clientTransferProhibited, redemptionPeriod, etc.)
Para domínios que utilizam serviços de privacidade ou pertencem a registrantes em jurisdições cobertas pelo GDPR, os campos de nome e e-mail geralmente aparecem com marcadores como "Redigido por Privacidade" ou mostram os dados de contato do próprio serviço de proxy do registrar. No entanto, informações como país, registrar, datas e servidores de nomes quase sempre permanecem acessíveis e são suficientes para construir a base de uma investigação.
Quem Precisa Encontrar o Proprietário de um Domínio
A necessidade de identificar o proprietário de um domínio abrange perfis profissionais e pessoais muito distintos. Entre os casos de uso mais comuns estão:
Profissionais de segurança e conformidade que precisam verificar se um domínio suspeito está associado a campanhas de phishing conhecidas, infraestrutura de malware ou operadores com histórico de abuso documentado. Para esse público, o registro de domínio é geralmente o primeiro passo em uma cadeia de conexões que vincula endereços de e-mail, endereços IP e outros domínios à mesma identidade.
Equipes jurídicas e de propriedade intelectual que identificaram violação de marca ou uso não autorizado de um nome comercial em um domínio de terceiros. Saber quem registrou o domínio é um pré-requisito para iniciar o processo UDRP da ICANN ou abrir uma ação civil.
Analistas de due diligence e prevenção a fraudes que precisam verificar a legitimidade de uma empresa antes de fechar um contrato, conceder crédito ou aprovar uma parceria. Um domínio registrado recentemente e associado a um registrante anônimo é um indicador de risco imediato.
Investigadores de fraude e jornalistas que rastreiam operações fraudulentas, esquemas de golpes digitais ou redes coordenadas de desinformação frequentemente precisam mapear grupos de domínios vinculados à mesma entidade subjacente.
Pessoas físicas que receberam um e-mail suspeito, foram abordadas por um site desconhecido ou querem verificar se um serviço online é legítimo antes de inserir dados pessoais ou realizar um pagamento.
Como Descobrir Quem é o Dono de um Domínio: Passo a Passo
A pesquisa de propriedade de domínio pode ser realizada em diferentes níveis de profundidade, desde uma pesquisa básica que leva segundos até uma investigação completa que cruza múltiplas fontes abertas. O processo abaixo descreve ambos os níveis.
Nível 1: Pesquisa Básica de WHOIS/RDAP
Passo 1: Use a ferramenta de pesquisa oficial da ICANN
Visite lookup.icann.org e digite o domínio que deseja pesquisar. Esta é a fonte oficial, que consulta diretamente o endpoint RDAP de cada registrar. O resultado inclui o registrar, as datas de registro e expiração, os servidores de nome e, quando disponíveis, os dados do registrante.
Passo 2: Identifique o registrar
O nome do registrar é sempre público. Com ele, você pode ir diretamente ao site do registrar e usar a ferramenta própria de WHOIS dele, que pode revelar mais detalhes do que uma pesquisa genérica.
Passo 3: Consulte ferramentas de pesquisa complementares
Sites como who.is, whois.domaintools.com e whoisfreaks.com agregam dados de múltiplas fontes e frequentemente oferecem registros históricos de registro, o que é especialmente útil quando o atual proprietário está oculto, mas transferências passadas deixaram rastros em registros anteriores.
Passo 4: Verifique os dados históricos do WHOIS
O serviço de privacidade que protege um domínio hoje pode não ter existido na época do registro original. Ferramentas de histórico de WHOIS fornecem capturas de registros anteriores que podem conter os dados reais do proprietário de antes da ativação do serviço de privacidade.
Passo 5: Analise os servidores de nome (nameservers)
Os servidores de nomes raramente são cobertos por serviços de privacidade e aparecem em quase todas as respostas de WHOIS/RDAP. Para os investigadores, os servidores de nomes são valiosos porque operadores de infraestruturas maliciosas frequentemente reutilizam os mesmos servidores em múltiplos domínios. Encontrar outros domínios que compartilham o mesmo servidor de nomes é uma técnica clássica de correlação em investigações de OSINT.
Nível 2: Investigação Profunda com OSINT
Quando uma pesquisa básica retorna dados redigidos ou insuficientes, a investigação passa para o cruzamento de informações de múltiplas fontes abertas.
Passo 6: Execute uma pesquisa de IP reverso
Identificar o endereço IP associado ao domínio e correlacioná-lo com outros domínios hospedados no mesmo servidor pode revelar padrões. Operadores de domínios fraudulentos frequentemente hospedam múltiplos alvos na mesma infraestrutura.
Passo 7: Verifique os registros de transparência de certificados SSL/TLS
Bancos de dados de transparência de certificados, como o crt.sh, registram cada certificado SSL emitido para um domínio e seus subdomínios. Esses dados não estão sujeitos às mesmas restrições de privacidade que o WHOIS e podem revelar subdomínios não documentados, padrões de infraestrutura e associações organizacionais.
Passo 8: Revise os registros de DNS passivo
Consultar dados de DNS passivo (pDNS) permite que você veja para quais endereços IP um domínio apontou ao longo do tempo, mesmo que a configuração atual seja diferente. Mudanças repentinas de IP são frequentemente associadas a tentativas de ocultar a infraestrutura após a detecção de abusos.
Passo 9: Use o Sherlockeye para consolidar a investigação
Quando a profundidade e a velocidade de uma investigação importam, agregar manualmente dados de dezenas de fontes abertas consome muito tempo e aumenta o risco de perder conexões críticas. O Sherlockeye foi projetado exatamente para esse cenário: a plataforma pesquisa mais de 800 fontes abertas simultaneamente, cruza registros de WHOIS, DNS, certificados, reputação de IP, perfis de redes sociais e dados de vazamentos, e retorna um perfil digital consolidado do domínio sob investigação. Para profissionais que realizam investigações recorrentes, análises de due diligence ou triagem de ameaças em escala, automatizar esse processo representa uma diferença significativa tanto em eficiência quanto em amplitude de cobertura.
Passo 10: Verifique a reputação e o status em listas de bloqueio
Pesquise o domínio em listas públicas de bloqueio, como Spamhaus, VirusTotal e URLhaus. Verifique se ele aparece em relatórios de abuso, fóruns de segurança ou bancos de dados de phishing. Um domínio com histórico de abuso, mesmo que atualmente pareça limpo, merece maior escrutínio.
Sinais de Alerta: Quando um Domínio Merece Atenção Imediata
Nem toda investigação começa com uma suspeita clara. Às vezes, o próprio dado de registro é o sinalizador. Vale a pena conhecer vários padrões que se repetem consistentemente entre domínios maliciosos:
Idade de registro muito recente. Domínios registrados há menos de 30 dias apresentam um risco significativamente elevado de estarem associados a campanhas ativas. Conforme documentado pelo APWG, a maioria dos domínios de phishing é colocada em operação em até uma semana após o registro.
Registrar de alto risco. Análises do Cybercrime Information Center mostram que uma parcela desproporcionalmente grande de domínios denunciados por phishing está concentrada em um pequeno número de registrars com políticas de verificação mais permissivas. Identificar o registrar e verificar seu histórico de abusos é uma etapa de triagem relevante.
TLD de alto risco. Extensões como .xyz, .top, .tk, .club e .icu aparecem constantemente nos rankings de extensões de domínio com maior proporção de atividade maliciosa. Elas não são inerentemente suspeitas de forma isolada, mas combinadas com outros fatores aumentam substancialmente o perfil de risco.
Proteção completa de privacidade combinada com comportamento suspeito. Ter a privacidade do WHOIS ativada é algo legítimo e comum. Porém, um domínio com proteção total de privacidade, um TLD de alto risco, data de registro recente e conteúdo suspeito forma uma combinação que justifica investigação.
Dados de registrante inconsistentes. Quando dados parciais estão disponíveis e incluem nomes genéricos, endereços de e-mail descartáveis ou endereços físicos claramente inválidos, isso sugere informações de registro deliberadamente falsas.
Mudanças frequentes de servidores de nome. Rotacionar a infraestrutura de DNS é uma técnica bem estabelecida para escapar de monitoramentos. Domínios legítimos raramente alteram seus servidores de nomes várias vezes em curtos períodos de tempo.
O Impacto do GDPR e das Leis Globais de Privacidade na Pesquisa de Domínios
Para entender por que tantos registros de domínio hoje aparecem com dados redigidos, é necessário compreender as mudanças regulatórias dos últimos anos.
Antes de maio de 2018, qualquer pessoa podia pesquisar o WHOIS de qualquer domínio e encontrar o nome completo, endereço, e-mail e telefone do registrante. A transparência era total. Quando o GDPR entrou em vigor na União Europeia, estabeleceu que esses dados constituem informações de identificação pessoal e não podem ser publicados sem uma base legal clara. A reação da maioria das empresas de registro foi adotar a ocultação padrão para todos os registrantes individuais, independentemente de sua localização geográfica, a fim de simplificar a conformidade global.
O resultado prático é que hoje a maioria dos registros públicos de domínios exibe apenas o registrar, as datas e os servidores de nomes, substituindo os dados pessoais por marcadores como "Redigido por Privacidade".
Estruturas legais semelhantes em outras jurisdições reforçaram essa mudança. A LGPD no Brasil, a CCPA na Califórnia e a PIPEDA no Canadá seguem princípios semelhantes de minimização de dados, contribuindo para uma tendência global de práticas de registro de domínios focadas na privacidade.
A transição para o protocolo RDAP, tornada obrigatória pela ICANN em janeiro de 2025, introduziu uma solução parcial para investigadores legítimos. O sistema RDRS da ICANN permite que pesquisadores de segurança, titulares de marcas registradas e outros profissionais com justificativa documentada solicitem formalmente o acesso aos dados completos do registrante diretamente aos registrars. A aprovação não é automática e exige fundamentação jurídica, mas o canal existe e funciona.
Para domínios que utilizam serviços comerciais de proxy ou privacidade em vez da ocultação padrão do GDPR, o caminho formal é entrar em contato com o registrar apresentando a justificativa e solicitar que a informação seja encaminhada ao real proprietário do domínio. Em contextos de marcas ou litígios, a OMPI (WIPO) pode conduzir procedimentos de UDRP mesmo sem que o registrante seja identificado previamente.
Considerações Legais e Éticas
Pesquisar quem registrou um domínio é, por si só, uma atividade totalmente lícita. Os dados de registro de domínio são públicos por design, e pesquisá-los é um direito acessível a qualquer usuário de internet. O que varia entre as jurisdições é o que pode ser feito com esses dados posteriormente.
Nos Estados Unidos, não há lei federal que restrinja a pesquisa de dados públicos de WHOIS, embora o uso de dados pessoais obtidos através dessas pesquisas para assediar, perseguir ou prejudicar um indivíduo possa gerar responsabilidade civil sob leis estaduais de privacidade e leis federais contra o assédio. Na União Europeia, o GDPR rege o que acontece com qualquer dado pessoal coletado, mesmo de fontes públicas, uma vez que ele entra em um fluxo de processamento de dados.
Para investigadores, profissionais de compliance e equipes jurídicas, aplicam-se alguns princípios práticos:
Pesquisar e registrar dados públicos de WHOIS/RDAP é legítimo para fins de due diligence, segurança da informação, proteção de marca e investigação de fraudes. O cruzamento de dados de WHOIS com outras fontes abertas é uma prática aceita no campo de OSINT. No entanto, tentar obter dados protegidos pelo GDPR por canais não oficiais, ou usar dados obtidos em pesquisas legítimas para assédio ou monitoramento não autorizado, constitui uma violação legal.
A linha entre a investigação legítima e a violação de privacidade passa pela intenção e pelo método. Investigadores profissionais devem documentar a finalidade de cada pesquisa e garantir que a cadeia de custódia de qualquer informação coletada seja preservada, principalmente quando os dados puderem ser usados em processos judiciais.
Limitações da Pesquisa de Domínios em 2026
É importante manter expectativas realistas sobre o que uma pesquisa de domínio pode e não pode revelar em 2026.
A limitação mais significativa é a ampla ocultação de dados pessoais. Para domínios registrados por indivíduos em jurisdições com legislação de proteção de dados, os campos de nome, e-mail e telefone raramente são visíveis. Mesmo para organizações, a cobertura varia conforme o registrar e o TLD.
A segunda limitação relevante é o uso de dados falsos no registro. Criminosos que registram domínios para fins maliciosos frequentemente preenchem os campos obrigatórios com informações inventadas. As práticas de validação dos registrars variam muito, e muitos não verificam a veracidade das informações fornecidas no momento do registro.
Terceiro, há a limitação temporal: dados históricos de WHOIS são preservados por serviços especializados, mas nem sempre de forma abrangente. Quando um domínio é excluído ou transferido, partes do histórico podem ser perdidas dependendo do registrar e do período em questão.
Finalmente, os domínios de código de país (ccTLDs) seguem suas próprias políticas nacionais, que variam significativamente. Um domínio .io, por exemplo, opera sob políticas totalmente diferentes de um .de ou de um .uk. Não existe uma resposta única que se aplique uniformemente a todos os domínios.
Perguntas Frequentes
É legal pesquisar quem registrou um domínio?
Sim. Pesquisar dados de registro de domínio publicamente disponíveis via WHOIS ou RDAP é totalmente lícito em qualquer jurisdição. Esses dados são públicos por design e o acesso a eles não requer nenhuma autorização especial. O que varia de acordo com a jurisdição é como os dados pessoais obtidos através da pesquisa podem ser processados, armazenados e compartilhados posteriormente, especialmente quando envolvem informações identificáveis de pessoas físicas.
Por que o WHOIS da maioria dos domínios mostra "Redigido por Privacidade"?
A partir de 2018, com a entrada em vigor do GDPR na União Europeia, as empresas de registro começaram a ocultar por padrão os dados pessoais dos registrantes, substituindo as informações reais por marcações de privacidade. A maioria dos grandes registrars aplicou essa política globalmente, e não apenas para registrantes europeus, para simplificar a conformidade. O resultado prático é que a maior parte dos registros de domínios públicos hoje não mostra mais o nome, e-mail ou telefone do real proprietário.
Como posso encontrar o proprietário de um domínio quando os dados estão ocultos?
Quando os dados pessoais estão redigidos, vários caminhos investigativos continuam viáveis. Você pode consultar registros históricos de WHOIS para verificar se os dados foram expostos antes da ativação da privacidade. Você pode analisar os servidores de nomes, o endereço IP e os certificados SSL associados ao domínio para conectá-lo a outros ativos registrados pela mesma entidade. Se houver uma base legal legítima, como violação de marca registrada ou investigação de fraude, você pode solicitar formalmente os dados do registrante ao registrar através do sistema RDRS da ICANN.
O GDPR impede totalmente a identificação do proprietário de um domínio?
Não. O GDPR limita a publicação de dados pessoais de registrantes em pesquisas públicas, mas não elimina o acesso por completo. Órgãos de aplicação da lei podem obter dados completos por meio de ordens judiciais ou solicitações legais formais. Titulares de marcas registradas e pesquisadores de segurança verificados podem solicitar dados por meio do RDRS da ICANN. A proteção de privacidade oculta as informações do público geral, mas não de autoridades competentes ou de partes com interesse legítimo documentado.
O que são servidores de nome (nameservers) e por que são úteis em investigações de domínio?
Os servidores de nomes são os servidores responsáveis por traduzir um nome de domínio em um endereço IP. Eles raramente são cobertos por serviços de privacidade e aparecem em quase todas as respostas de WHOIS/RDAP. Para os investigadores, os servidores de nomes são valiosos porque os operadores de infraestruturas maliciosas frequentemente reutilizam os mesmos servidores em múltiplos domínios. Identificar outros domínios que compartilham a mesma configuração de servidores de nomes é uma técnica clássica de pivotamento que pode revelar todo o portfólio de ativos de um operador.
Um domínio com proteção de privacidade é automaticamente suspeito?
Não. A proteção de privacidade no WHOIS é uma prática comum e legítima utilizada por empresas, jornalistas, ativistas e indivíduos que preferem não ter seus dados pessoais expostos publicamente. A presença de proteção de privacidade, por si só, não indica má intenção. O que eleva o nível de suspeita é a combinação de proteção total de privacidade com outros fatores de risco, como registro muito recente, um TLD com alto índice de abuso e conteúdo ou comportamento suspeito do site.
Qual é a diferença entre WHOIS e RDAP?
O WHOIS é o protocolo original de pesquisa de dados de domínio, criado em 1982, que retorna texto livre não estruturado que varia de forma imprevisível entre os registrars. O RDAP (Registration Data Access Protocol) é seu substituto oficial, obrigatório desde janeiro de 2025 para todos os domínios genéricos de primeiro nível, incluindo .com, .net e .org. O RDAP retorna dados em formato JSON padronizado, opera sobre HTTPS com criptografia e suporta controle de acesso federado, o que permite diferentes níveis de visibilidade para pesquisas públicas versus autenticadas. A maioria das ferramentas de pesquisa populares já utiliza o RDAP internamente, tornando a transição praticamente invisível para os usuários finais.
Consigo encontrar o proprietário de um domínio mesmo após ele ter sido transferido ou expirado?
Em alguns casos, sim. Serviços especializados em histórico de WHOIS arquivam registros de registro ao longo do tempo, capturando versões antes de transferências de domínios, mudanças de propriedade ou expiração. Se o registrante original ainda não tivesse ativado a proteção de privacidade no momento em que esses registros foram salvos, seus dados ainda podem estar acessíveis no arquivo histórico. A disponibilidade dessas informações depende de quais serviços de arquivamento estavam rastreando ativamente o registrar no período correspondente, portanto a cobertura não é garantida.
Conclusão
Descobrir quem está por trás de um domínio nunca foi tão necessário e, ao mesmo tempo, nunca foi tão desafiador. O volume crescente de domínios maliciosos, o impacto do GDPR e de leis de privacidade equivalentes na visibilidade dos dados e a transição para o RDAP transformaram o que antes era uma pesquisa de dois minutos em um processo que frequentemente exige o cruzamento de múltiplas fontes, análise de padrões históricos e aplicação de técnicas de OSINT para chegar a conclusões confiáveis.
Para a maioria das situações cotidianas, as ferramentas públicas descritas neste guia oferecem um excelente ponto de partida. Para investigações profissionais que exigem profundidade, velocidade e consulta a centenas de fontes simultaneamente, o Sherlockeye oferece o ambiente ideal: um motor de busca OSINT com criptografia de ponta a ponta, política de retenção de dados de no máximo 30 dias e a capacidade de correlacionar automaticamente registros de domínios com e-mails, números de telefone, endereços IP, perfis de redes sociais e dados de vazamentos em uma única plataforma.
Independentemente do nível de sofisticação da sua investigação, o ponto de partida é sempre o mesmo: questione, verifique e nunca presuma que um site é legítimo apenas porque ele tem uma aparência profissional.
Comece sua investigação agora em www.sherlockeye.io
