Recientemente aprendí acerca de una nueva forma de filtrar tu privacidad y es preocupante. No soy ingeniero de redes, quizá si trabajas en ese campo lo conozcas desde hace años, pero para mí fue una revelación. Comparto aquí el problema y las posibles soluciones para que puedas valorar el riesgo en tu entorno.
Situación típica: poseo un dominio propio y he creado varios subdominios. Algunos apuntan a servicios en línea, uno a un túnel privado de Cloudflare para Home Assistant y otro a un NAS alojado en casa. Ese NAS recibe peticiones que pasan por mi router y, a su vez, el proveedor de Internet me asigna una IP pública. En la Unión Europea las direcciones IP se consideran datos personales. En Francia revelar ese tipo de dato puede constituir delito según el artículo 226-2 del código penal, con penas severas.
El problema clave viene de los certificados TLS. Para proteger la conexión uso Let's Encrypt para obtener certificados gratuitos. La ventaja económica tiene un coste de privacidad: los emisores públicos de certificados registran las solicitudes en un registro público llamado Certificate Transparency. No es exclusivo de Let's Encrypt: Google, Cloudflare y otros emisores también generan entradas. Existe una herramienta pública para consultar esos registros: crt.sh. Desde ahí es trivial ver cuáles son los subdominios asociados a un dominio y, a partir del subdominio, resolver las DNS para obtener la IP. Si un subdominio apunta a tu red doméstica, cualquiera puede rastrear la IP pública de tu router.
Además la trazabilidad es duradera. Los registros pueden conservarse durante años y aparecen entradas antiguas, lo que significa que una solicitud de certificado pasada puede seguir revelando información sensible incluso tiempo después.
Opciones para mitigar el riesgo:
Eliminar el subdominio Si no necesitas acceso externo, quitar el subdominio elimina la exposición directa, aunque no siempre es práctico.
Eliminar HTTPS Mala idea por razones de seguridad y privacidad: renunciar a TLS expone comunicaciones y credenciales.
Ofuscar el subdominio Usar nombres crípticos reduce la exposición casual, pero no evita que un atacante inspeccione lista tras lista.
Usar Cloudflare Tunnel En algunos casos Cloudflare Tunnel no deja registros visibles en crt.sh porque gestiona certificados de forma diferente. Es una solución práctica, pero implica depender de un tercero para la conectividad remota y la gestión del túnel.
Solicitar certificados wildcard Un certificado comodín para *.midominio.com aparece en los registros como tal y no revela subdominios individuales. Es una alternativa sólida que mantiene HTTPS sin enumerar tus hostnames.
Evaluando pros y contras, dos soluciones que combinan seguridad y privacidad suelen destacar: usar túneles gestionados tipo Cloudflare Tunnel o emplear certificados wildcard. Cada organización debe decidir en función de su modelo de amenaza, su tolerancia a la dependencia de terceros y su capacidad operativa.
En Q2BSTUDIO, empresa especializada en desarrollo de software y aplicaciones a medida, ayudamos a clientes a diseñar arquitecturas seguras y privadas. Ofrecemos servicios de ciberseguridad y pentesting para evaluar exposición de dominios, auditorías de red y recomendaciones para proteger servicios remotos. También implementamos soluciones gestionadas y arquitecturas en la nube como parte de nuestros servicios cloud aws y azure, usando las mejores prácticas para minimizar fugas de datos y asegurar la infraestructura.
Si necesitas una solución completa, en Q2BSTUDIO trabajamos con software a medida y aplicaciones a medida integrando inteligencia artificial para empresas, agentes IA, servicios de inteligencia de negocio y herramientas como power bi para explotación y visualización segura de datos. Podemos diseñar desde la capa de red y certificados hasta la automatización de despliegues y la implantación de políticas de gobernanza de datos.
Resumen práctico: cualquier solicitud de certificado pública queda registrada en Certificate Transparency y puede permitir trazar subdominios hasta una IP pública mediante DNS. Las opciones para recuperar privacidad son limitar la exposición de subdominios, adoptar túneles gestionados, usar certificados wildcard, o cambiar físicamente de red o de proveedor de Internet para obtener una nueva IP si la entrada histórica ya existe. Si quieres asesoramiento sobre cómo proteger tus subdominios, reducir riesgos y diseñar soluciones seguras a medida, en Q2BSTUDIO ofrecemos consultoría técnica y desarrollo especializado para empresas que requieren privacidad y resiliencia.
Para más información sobre cómo proteger infraestructuras y diseñar soluciones seguras con aplicaciones a medida, inteligencia artificial y servicios cloud, contacta con nuestro equipo y te guiaremos en la mejor estrategia según tus necesidades.