Ciclo de vida de un nombre de dominio: expiración, protección y buenas prácticas

Por CaptainDNS
Publicado el 17 de marzo de 2026

Diagrama del ciclo de vida de un nombre de dominio: registro, expiración, grace period, redemption, pending delete, liberación

TL;DR

Un dominio atraviesa 7 fases de vida distintas, del registro a la liberación. Cada fase es identificable por sus códigos EPP en una consulta RDAP.
Tras la expiración, dispones de 30 a 45 días (grace period) y luego 30 días (redemption) para recuperar tu dominio, pero las tarifas de restauración alcanzan entre 80 y 200 EUR según el registrar.
El domain hijacking explota cinco vectores principales: ingeniería social, email comprometido, fallo del registrar, secuestro DNS y toma de dominio expirado. En 2024, más de 70 000 dominios fueron secuestrados mediante el ataque "Sitting Ducks" que explotaba delegaciones DNS mal configuradas.
Tres niveles de bloqueo protegen tu dominio: registrar lock (gratuito), full lock (gratuito) y registry lock (de 50 a 300 EUR/año para los dominios críticos).

Cada día, más de 150 000 nombres de dominio expiran en todo el mundo. La mayoría son dominios abandonados voluntariamente. Pero una fracción no despreciable corresponde a dominios activos cuyo titular simplemente olvidó renovar, dejó que un medio de pago expirara o ignoró las notificaciones del registrar. Las consecuencias son inmediatas: sitio inaccesible, emails perdidos, servicios de terceros fuera de servicio. En 2024, la tasa de renovación de los .com y .net se situaba en el 73,9 %, lo que significa que más de uno de cada cuatro dominios no fue renovado.

Esta guía cubre el ciclo de vida completo de un nombre de dominio, los riesgos concretos en cada etapa y las protecciones que debes implementar. Si gestionas dominios para una empresa, una marca o un proyecto personal, estos mecanismos son esenciales. Utiliza el RDAP Lookup para verificar en tiempo real los estados EPP y las fechas de expiración de tus dominios.

Para entender el protocolo RDAP y los códigos EPP en detalle, consulta nuestra guía RDAP vs WHOIS en la sección "Guías relacionadas" al final del artículo.

Prueba tus dominios ahora

Verificar con RDAP Lookup Auditar tu dominio

Las 7 etapas del ciclo de vida de un dominio

Un nombre de dominio sigue un ciclo de vida estandarizado, definido por las políticas de ICANN para los gTLDs (.com, .net, .org) y por cada registro nacional para los ccTLDs (.fr, .de, .uk). Estas son las siete etapas, con los códigos EPP que observarás en los resultados RDAP en cada fase.

1. Registro (Available hacia Registered)

El dominio está disponible en la base del registro. Un titular lo registra a través de un registrar acreditado por un periodo de 1 a 10 años. El registro se hace efectivo en pocos minutos.

Código EPP: addPeriod (durante los 5 primeros días, el dominio puede eliminarse con reembolso completo a través del Add Grace Period definido por ICANN), luego ok o clientTransferProhibited si el registrar activa automáticamente el transfer lock.

Coste típico: de 10 a 15 EUR/año para un .com, variable según el TLD y el registrar.

Detalle importante: ICANN establece un bloqueo de transferencia obligatorio de 30 días (720 horas) sobre los dominios recién creados. Esta regla, derivada de la Transfer Policy revisada en 2024, reemplaza el antiguo bloqueo de 60 días y será aplicada por todos los registrars antes de 2026.

2. Periodo activo (Registered)

El dominio está operativo. El titular puede configurar los servidores de nombres, los registros DNS, las redirecciones de email y los servicios asociados. Esta fase dura el tiempo del registro (de 1 a 10 años, renovable).

Códigos EPP típicos: ok (sin restricciones), o una combinación de locks de protección como clientTransferProhibited, clientDeleteProhibited, clientUpdateProhibited.

Acción recomendada: activar la renovación automática y los bloqueos de transferencia desde el registro.

3. Expiración (Expired)

La fecha de expiración ha pasado y el dominio no se ha renovado. El registrar puede suspender inmediatamente la resolución DNS (estado clientHold) o dejar un plazo de gracia antes de la suspensión. El comportamiento exacto varía según el registrar.

Códigos EPP: autoRenewPeriod (si el registrar ha renovado automáticamente pero espera el pago) o clientHold (resolución DNS suspendida).

Impacto inmediato: el sitio web, los emails y todos los servicios vinculados al dominio pueden dejar de funcionar. En la práctica, la mayoría de los registrars dejan un breve plazo (de 1 a 5 días) antes de suspender la resolución DNS, pero este comportamiento no está garantizado.

4. Grace period (Auto-Renew Grace Period, aproximadamente de 0 a 45 días)

Tras la expiración, el titular dispone de un plazo para renovar el dominio a la tarifa normal. La duración de este periodo varía según el registrar y el TLD. ICANN autoriza una Auto-Renew Grace Period de 0 a 45 días para los gTLDs, pero cada registrar define su propia política dentro de ese rango.

Duraciones por registrar (gTLDs):

GoDaddy: 18 días de grace period, luego 19 días de "parking" (total 37 días antes de redemption)
Namecheap: 30 días
OVHcloud: 30 días (variable según el TLD)
Gandi: 30 días
Cloudflare: 40 días (registrar at-cost, sin cargos por retraso)

Código EPP: autoRenewPeriod persiste mientras el registrar mantiene el dominio en espera de pago.

Coste: tarifa de renovación estándar. Algunos registrars añaden cargos por retraso (de 10 a 30 EUR). Cloudflare, como registrar at-cost, no cobra ningún suplemento.

5. Redemption period (aproximadamente 30 días)

Si el dominio no se renueva durante la grace period, el registrar lo elimina de su base. El registro coloca entonces el dominio en redemptionPeriod. Durante 30 días, solo el titular original puede restaurarlo, pero a un coste significativamente más alto.

Código EPP: redemptionPeriod. El dominio ya no resuelve, ningún servicio funciona.

Tarifas de restauración por registrar (para un .com):

Registrar	Tarifa de restauración	¿Renovación incluida?	Total aproximado
GoDaddy	80 USD	No (se añade 1 año)	100 USD
Namecheap	de 110 a 180 USD según el TLD	Sí	de 110 a 180 USD
OVHcloud	de 70 a 120 EUR según el TLD	Variable	de 80 a 140 EUR
Gandi	de 90 a 150 EUR según el TLD	Variable	de 100 a 170 EUR
Cloudflare	Coste del registro (aprox. 80 USD para .com)	No (se añade 1 año)	de 90 a 100 USD

Estas tarifas incluyen los costes que el registro cobra al registrar por el procedimiento de restauración (restore command). El registro Verisign cobra aproximadamente 80 USD por restore en los .com. Los registrars añaden un margen variable. Cloudflare, como registrar at-cost, repercute el precio del registro sin margen. Estas tarifas no son negociables.

6. Pending delete (aproximadamente 5 días)

Tras la redemption period, el registro coloca el dominio en pendingDelete durante 5 días. Ya nadie puede recuperarlo. El dominio está en espera de eliminación definitiva de la base del registro.

Código EPP: pendingDelete. Irreversible.

Ninguna acción posible: ni el titular, ni el registrar, ni el registro pueden impedir la eliminación. Es precisamente durante estos 5 días cuando los servicios de drop catching posicionan sus sistemas automatizados para intentar registrar el dominio en cuanto quede libre.

7. Liberación (Available)

El dominio se elimina de la base del registro y vuelve a estar disponible para registro. Cualquier persona puede registrarlo a la tarifa estándar.

Riesgo principal: los dominios expirados con tráfico residual, backlinks o una reputación establecida son objetivo de servicios de "domain drop catching" que los registran automáticamente en los segundos posteriores a la liberación.

Código EPP: ninguno (el dominio ya no existe en la base del registro).

Diagrama del ciclo de vida de un nombre de dominio: las 7 etapas del registro a la liberación con los códigos EPP correspondientes

¿Qué pasa cuando un dominio expira?

La expiración de un dominio activo provoca una cascada de fallos. Esto es lo que deja de funcionar, en qué orden y por qué.

Impacto en el sitio web

En cuanto el registrar suspende la resolución DNS (estado clientHold), el nombre de dominio ya no apunta a ninguna dirección IP. Los visitantes ven un error DNS (NXDOMAIN o SERVFAIL) o son redirigidos a una página de parking del registrar.

Si el sitio usa HTTPS, el certificado TLS sigue siendo técnicamente válido, pero ya no se servirá porque el dominio no resuelve. Las renovaciones automáticas de certificados (Let's Encrypt, por ejemplo) fallarán porque dependen de la resolución DNS para la validación.

Impacto en los emails

Los registros MX del dominio ya no resuelven. Todos los emails entrantes son rechazados por los servidores emisores con un error del tipo "host not found". Los emails no se ponen en cola indefinidamente: tras algunas horas o días de intentos, los servidores emisores devuelven un bounce definitivo al remitente.

Las consecuencias son críticas para las empresas:

Pérdida de comunicaciones con clientes y proveedores
Fallo en los restablecimientos de contraseña en los servicios de terceros vinculados a direcciones del dominio
Pérdida de flujos de notificaciones (alertas de monitoring, facturas, confirmaciones)

Impacto en los servicios (API, certificados SSL, etc.)

Más allá del sitio y los emails, un dominio expirado rompe todos los servicios que dependen de él:

API y webhooks: los endpoints que usan el dominio se vuelven inaccesibles. Las integraciones de terceros fallan en cascada.
Certificados TLS: los certificados no pueden renovarse. Los certificados existentes siguen siendo válidos hasta su propia expiración, pero el dominio ya no resuelve.
DKIM, SPF, DMARC: los registros de autenticación de email desaparecen. Si el dominio se recupera, los emails enviados durante la caída habrán fallado en las verificaciones de autenticación.
MTA-STS: la política MTA-STS del dominio ya no es accesible, lo que desactiva el cifrado TLS obligatorio para los emails entrantes.
Servicios de terceros: todo servicio configurado con el dominio (OAuth callbacks, verificación de propiedad Google/Bing, CDN) deja de funcionar.

Línea temporal concreta: día a día tras la expiración

Día	Lo que ocurre	Código EPP
D+0	Expiración. El registrar renueva automáticamente el dominio internamente, pero espera el pago. El sitio sigue funcionando en la mayoría de los registrars.	`autoRenewPeriod`
D+1 a D+5	El registrar envía las primeras notificaciones de expiración. Algunos suspenden la resolución DNS desde D+1, otros mantienen el servicio. GoDaddy redirige a una página de parking desde D+1. Cloudflare mantiene el DNS activo durante 40 días.	`autoRenewPeriod` o `clientHold`
D+5 a D+30	Grace period. La mayoría de los registrars han suspendido el DNS. La renovación sigue siendo posible a la tarifa normal, a veces con un recargo por retraso (de 10 a 30 EUR).	`autoRenewPeriod` + `clientHold`
D+30 a D+45	Fin de la grace period según el registrar. El registrar elimina el dominio de su base y el registro lo coloca en redemption.	Transición a `redemptionPeriod`
D+45 a D+75	Redemption period. Restauración posible únicamente por el titular original, con tarifas de 80 a 200 EUR. El dominio ya no resuelve.	`redemptionPeriod`
D+75 a D+80	Pending delete. Ninguna recuperación posible. Los servicios de drop catching se preparan.	`pendingDelete`
D+80+	Liberación. El dominio está disponible para cualquiera. Los bots de drop catching intentan el registro en pocos milisegundos.	Ninguno

Las duraciones exactas varían según el registrar y el TLD. Para los ccTLDs, los ciclos pueden ser muy diferentes: el .fr (AFNIC) aplica una cuarentena de 30 días tras la eliminación, durante la cual solo el titular anterior puede volver a registrar el dominio. El .de (DENIC) no ofrece redemption period: el dominio se libera inmediatamente tras la eliminación.

El drop catching: cómo se recuperan los dominios expirados

Cuando un dominio de valor llega a la fase de liberación, rara vez está disponible más de unos segundos. Servicios especializados, llamados "drop catchers", utilizan sistemas automatizados que envían solicitudes de registro al registro a alta frecuencia, a veces varias decenas de veces por segundo, para capturar el dominio en el instante exacto de su eliminación.

Cómo funciona el backordering

El backordering consiste en reservar un dominio antes de su liberación. El usuario coloca un "backorder" en un servicio especializado, que se encargará de intentar el registro automático en el segundo en que el dominio sea eliminado del registro.

Los principales actores del mercado:

DropCatch: backorder a 59 USD, facturación solo en caso de éxito. Si varios usuarios han colocado un backorder, el dominio pasa a subasta pública de 3 días.
SnapNames: especialista histórico del backorder. Mismo funcionamiento, con subastas privadas en caso de competencia.
Pool.com: respaldado por Tucows (registrar importante), lo que da una ventaja en rapidez de registro.

Para maximizar las probabilidades de captura, los inversores en dominios colocan backorders simultáneos en varios servicios. La tasa de éxito depende de la competencia sobre el dominio objetivo y de la proximidad técnica del servicio con el registro.

Por qué los dominios expirados tienen valor

Un dominio expirado conserva temporalmente sus atributos adquiridos a lo largo de los años: perfil de backlinks, autoridad de dominio, historial de indexación y tráfico residual. Esto es lo que hace lucrativo el mercado de dominios expirados. En 2024, el mercado secundario de nombres de dominio registró aproximadamente 144 700 ventas por un volumen total de 185 millones USD.

Los compradores se dividen en dos categorías: los inversores legítimos que desarrollan un proyecto sobre un dominio con historial, y los actores maliciosos que explotan la reputación del dominio con fines de spam, phishing o manipulación SEO.

Dominios expirados y posicionamiento: los riesgos SEO

La expiración de un dominio tiene consecuencias directas en su posicionamiento en los motores de búsqueda. Estos efectos son a veces irreversibles.

Desindexación por Google

Cuando un dominio ya no resuelve (estado clientHold o NXDOMAIN), los robots de Google intentan revisitar las páginas habituales. Ante los errores DNS repetidos, Google retira progresivamente las páginas de su índice. El proceso tarda algunas semanas para los sitios pequeños y a veces varios meses para los sitios voluminosos. Cuanto más dura la interrupción, más larga e incierta es la recuperación.

Pérdida de backlinks y autoridad

Todos los enlaces entrantes hacia el dominio expirado devuelven un error. Los sitios que enlazan no corrigen espontáneamente sus enlaces: el dominio pierde su perfil de backlinks y la autoridad que derivaba de ellos. Incluso tras la renovación, la recuperación del posicionamiento puede tardar semanas o meses, sin garantía de alcanzar el nivel inicial.

Abuso de dominios expirados: el problema del SEO parásito

Google ha formalizado la lucha contra el abuso de dominios expirados en su actualización de marzo de 2024 (March 2024 Spam Update). La política es explícita: la compra de un dominio expirado con el propósito principal de manipular el posicionamiento alojando contenido de baja calidad constituye spam.

Ejemplos identificados por Google:

Contenido de afiliados reemplazando un sitio de agencia gubernamental
Productos médicos comerciales en un antiguo dominio de asociación benéfica
Contenido de casino alojado en un antiguo dominio de escuela primaria

Las consecuencias: acción manual (desindexación completa) o penalización algorítmica (caída de posicionamiento). La recuperación tras una acción manual tarda varios meses, si es que se logra.

Precisión importante: reutilizar legítimamente un dominio expirado para un nuevo proyecto original no está penalizado. Google se dirige específicamente a los casos en que el historial del dominio se explota para dar una visibilidad artificial a contenido sin valor.

Proteger tu posicionamiento

Para evitar la pérdida SEO ligada a una expiración accidental:

Activa la renovación automática en todos los dominios indexados por Google
Vigila tus fechas de expiración independientemente del registrar
En caso de expiración accidental, renueva en los 5 primeros días: la mayoría de los registrars aún no han suspendido el DNS, y Google todavía no ha empezado la desindexación

Proteger tu dominio contra el robo (domain hijacking)

El domain hijacking consiste en tomar el control de un nombre de dominio sin la autorización de su titular legítimo. Las consecuencias van desde la simple interrupción de servicio hasta el robo de tráfico, el phishing dirigido y la pérdida definitiva del dominio.

Los 5 vectores de ataque

1. Ingeniería social

El atacante contacta al registrar haciéndose pasar por el titular. Utiliza información pública (antiguos datos WHOIS, redes sociales, organigramas de empresa) para convencer al soporte técnico de modificar los parámetros del dominio o proporcionar el código de autorización de transferencia.

2. Email comprometido

La dirección de email asociada al dominio en el registrar es el punto de control crítico. Si un atacante accede a esa bandeja de email (phishing, credential stuffing, fuga de datos), puede iniciar una transferencia, validar las confirmaciones y tomar el control del dominio. La mayoría de los registrars envían los códigos de transferencia y las confirmaciones de modificación por email.

3. Fallo o compromiso del registrar

El propio registrar puede ser comprometido. Vulnerabilidad en la interfaz de gestión, API mal asegurada, acceso de administrador comprometido. En julio de 2024, la migración de Google Domains a Squarespace ilustró este riesgo: la falta de verificación de email durante la creación de cuentas permitió a atacantes apoderarse de dominios de plataformas crypto como Compound Finance, Celer Network y Pendle Finance.

4. Secuestro DNS (DNS hijacking)

Sin tomar el control del dominio en sí, el atacante modifica los registros DNS para redirigir el tráfico. Esto puede hacerse mediante el compromiso de la cuenta del registrar, del proveedor DNS, o mediante un ataque al protocolo DNS (envenenamiento de caché, ataque BGP a los servidores de nombres).

5. Toma de dominio expirado (expired domain takeover)

El atacante vigila los dominios próximos a la expiración y los registra en cuanto quedan libres. Si el dominio tenía tráfico, emails activos o backlinks, el atacante los hereda. Este vector es particularmente insidioso para los subdominios olvidados que apuntan a servicios de terceros desactivados (dangling DNS).

Los 5 vectores de domain hijacking: ingeniería social, email comprometido, fallo del registrar, DNS hijacking, expired domain takeover

Los 3 niveles de protección

Nivel 1: Registrar lock (transfer lock)

El bloqueo básico, activable con un clic en la interfaz de tu registrar. Añade el estado EPP clientTransferProhibited al dominio: no se puede iniciar ninguna transferencia sin desactivar manualmente el lock previamente.

Coste: gratuito en la práctica totalidad de los registrars. Activación recomendada en todos tus dominios sin excepción.

Nivel 2: Full lock (registrar)

Además del transfer lock, el full lock añade los estados clientDeleteProhibited (impide la eliminación) y clientUpdateProhibited (impide la modificación de los servidores de nombres y los contactos). El dominio queda congelado: ninguna modificación es posible sin desactivar los locks manualmente.

Coste: generalmente gratuito, pero rara vez activado por defecto. Verifica en la interfaz de tu registrar.

Nivel 3: Registry lock

El bloqueo más robusto. El registro (Verisign, AFNIC, etc.) añade los estados serverTransferProhibited, serverDeleteProhibited y serverUpdateProhibited. Cualquier modificación requiere un procedimiento manual con verificación de identidad ante el registro, a menudo por teléfono o correo postal.

Coste: de 50 a 300 EUR/año según el TLD y el registrar. Reservado a los dominios críticos: marcas, sitios e-commerce, infraestructura DNS.

Un registry lock habría impedido los compromisos durante el incidente Squarespace/Google Domains de 2024: incluso con acceso a la cuenta del registrar, los atacantes no habrían podido modificar los DNS sin pasar por el procedimiento manual del registro.

Caso real n.º 1: la migración Squarespace/Google Domains (julio de 2024)

En junio de 2023, Squarespace adquirió la actividad de Google Domains, incluyendo aproximadamente 10 millones de nombres de dominio. La migración técnica se extendió a lo largo de varios meses en 2024.

Entre el 9 y el 12 de julio de 2024, atacantes explotaron un fallo crítico en el proceso de migración. El análisis realizado por los investigadores de MetaMask y Paradigm reveló el mecanismo: Squarespace había previsto que los usuarios migrados se conectarían mediante OAuth (botón "Continue with Google"). Pero la plataforma también permitía la creación de cuentas por email, sin verificación. Los atacantes crearon cuentas utilizando las direcciones de email asociadas a los dominios migrados, antes de que los titulares legítimos lo hicieran. Con ese acceso, modificaron los registros DNS para redirigir el tráfico hacia sitios de phishing que alojaban wallet drainers.

Entre las víctimas: Compound Finance, Celer Network, Pendle Finance y Unstoppable Domains, todas plataformas crypto cuyos usuarios manejan activos digitales. La autenticación multifactor no estaba activada por defecto en las cuentas migradas, y la plataforma no enviaba ninguna notificación por email ante modificaciones DNS.

Squarespace desplegó una corrección el 12 de julio eliminando la posibilidad de crear una cuenta únicamente por email.

Lecciones que retener:

Un cambio de registrar (voluntario o forzado) es un momento de vulnerabilidad máxima
Las protecciones EPP (clientUpdateProhibited) habrían bloqueado la modificación de los DNS
La autenticación multifactor debe activarse inmediatamente tras cualquier migración
Los dominios críticos necesitan un registry lock, independiente de la seguridad de la cuenta del registrar

Caso real n.º 2: el ataque "Sitting Ducks" (2024, 70 000 dominios secuestrados)

En noviembre de 2024, los investigadores de Infoblox revelaron una de las mayores campañas de domain hijacking jamás documentadas. Bautizada "Sitting Ducks", este ataque permitió el secuestro de aproximadamente 70 000 dominios legítimos pertenecientes a marcas conocidas, asociaciones, administraciones públicas y empresas de diversos sectores.

El mecanismo explotado es la delegación DNS "lame": un dominio apunta a servidores de nombres autoritativos que su propietario no controla o ya no controla. Los atacantes identifican estas configuraciones defectuosas y toman el control de los servidores de nombres objetivo. Entonces pueden responder a todas las consultas DNS del dominio y redirigir el tráfico como deseen.

En un periodo de tres meses, los investigadores identificaron cerca de 800 000 dominios vulnerables a este ataque, de los cuales aproximadamente un 9 % fueron efectivamente comprometidos. Los dominios secuestrados servían como soporte para campañas de phishing (páginas falsas de DHL), fraudes de inversión difundidos por Facebook Ads e infraestructuras de comando para malware. Los actores maliciosos, entre ellos varios grupos vinculados a organizaciones rusas, realizaban una rotación de los dominios comprometidos cada 30 a 60 días para evitar la detección.

Lecciones que retener:

La configuración DNS debe auditarse regularmente: verifica que tus servidores de nombres están bajo tu control
Las delegaciones "lame" (que apuntan a servidores que ya no gestionas) son explotables por terceros
DNSSEC habría hecho el ataque mucho más difícil al impedir la falsificación de respuestas DNS

Checklist de seguridad del dominio

Verifica estos puntos para cada uno de tus dominios:

Utiliza una herramienta RDAP para verificar en pocos segundos los estados EPP y las fechas de expiración de cada dominio.

Buenas prácticas de gestión de dominio

Renovación automática: ventajas e inconvenientes

Ventajas:

Elimina el riesgo de olvidar la renovación
Sin periodo de interrupción de servicio
El dominio permanece protegido sin intervención manual

Inconvenientes:

Requiere un medio de pago siempre válido (tarjeta expirada = renovación fallida)
Puede renovar dominios que deseabas abandonar
Algunos registrars facturan la renovación a la tarifa estándar sin aviso previo

Recomendación: activa la renovación automática en todos los dominios activos. Realiza una revisión anual para identificar los dominios que no deseas renovar y desactiva el auto-renew únicamente en esos, unas semanas antes de la expiración.

Contactos actualizados: por qué es crítico

La dirección de email de contacto en el registrar es el punto neurálgico de la seguridad de tu dominio:

Es la dirección que recibe las notificaciones de expiración
Es la dirección que recibe los códigos de transferencia y las solicitudes de confirmación
Es la dirección utilizada para el procedimiento de restablecimiento de contraseña de la cuenta del registrar
Es la dirección que ICANN utiliza para la verificación anual WDRP (WHOIS Data Reminder Policy)

Si esta dirección está obsoleta (antiguo empleado, dominio de email expirado, bandeja llena), pierdes la capacidad de controlar tu dominio. Utiliza una dirección de email en un dominio diferente del que gestionas, idealmente una dirección de grupo accesible a varias personas de confianza.

Monitoring de expiración

No cuentes únicamente con las notificaciones del registrar. Implementa un seguimiento independiente:

Consultas RDAP periódicas: interroga tus dominios críticos para verificar las fechas de expiración y los estados EPP. El campo eventDate del evento expiration en la respuesta RDAP proporciona la fecha exacta.
Calendario dedicado: añade recordatorios a 90, 60 y 30 días antes de la expiración de cada dominio crítico.
Inventario centralizado: mantén una hoja de cálculo o herramienta de gestión que liste todos tus dominios, sus registrars, fechas de expiración y niveles de protección.

Estrategia multi-registrar

Para las empresas que gestionan un portfolio de dominios importante, repartir los dominios entre varios registrars limita el riesgo de punto único de fallo. Si un registrar es comprometido (como en el incidente Squarespace), solo una parte del portfolio queda expuesta.

En la práctica:

Agrupa los dominios críticos (producción, marcas) en un registrar premium con registry lock
Coloca los dominios secundarios (proyectos, landing pages) en un registrar fiable y económico
Conserva un registrar de respaldo para poder migrar rápidamente en caso de problema

Documentación interna y presupuesto previsional

Mantén un registro de dominios documentado y compartido con las personas autorizadas:

Información	Detalle
Nombre de dominio	captaindns.com
Registrar	Nombre del registrar
Fecha de expiración	2027-01-15
Auto-renew	Sí
Locks activos	Transfer, Delete, Update
Registry lock	No
Contacto responsable	contact@captaindns.com
Criticidad	Alta
Coste anual	12 EUR

Este registro permite anticipar el presupuesto anual de renovación. Para un portfolio de 20 dominios, el coste puede variar de 200 EUR (TLDs estándar) a más de 5 000 EUR (TLDs premium con registry lock). Integra estos costes en el presupuesto de infraestructura para evitar olvidos de pago.

DNSSEC: la protección DNS completa

DNSSEC (DNS Security Extensions) firma criptográficamente tus registros DNS. Sin DNSSEC, un atacante puede falsificar las respuestas DNS (envenenamiento de caché) para redirigir el tráfico hacia un servidor que controla, sin tocar el dominio ni el registrar.

DNSSEC no protege contra el domain hijacking a nivel del registrar, pero protege la integridad de las respuestas DNS entre los servidores de nombres y los resolvers. Es una capa complementaria a los bloqueos EPP. El ataque Sitting Ducks de 2024 habría sido considerablemente más difícil de realizar si los dominios objetivo hubieran activado DNSSEC.

Verifica el estado DNSSEC de tus dominios con el verificador DNSSEC. Si la cadena de confianza está ausente o rota, activa DNSSEC con tu proveedor DNS y publica los registros DS en tu registrar.

Plan de acción recomendado

Cinco pasos para asegurar tus dominios, por orden de prioridad:

1. Auditar todos tus dominios

Lista todos tus dominios (producción, staging, proyectos antiguos, marcas registradas). Para cada uno, verifica mediante RDAP: fecha de expiración, estados EPP activos, registrar, servidores de nombres. Identifica los dominios sin protección (estado ok solo) y aquellos cuya expiración se acerca. Verifica también que los servidores de nombres delegados están bajo tu control para eliminar los riesgos de tipo Sitting Ducks.

2. Activar la renovación automática y los transfer locks

En cada dominio activo: activa la renovación automática, verifica que el medio de pago es válido, activa clientTransferProhibited como mínimo. Para los dominios críticos, añade clientDeleteProhibited y clientUpdateProhibited.

3. Configurar alertas de expiración

Implementa un calendario de recordatorios independiente del registrar. Añade alertas a 90, 60 y 30 días antes de la expiración. Verifica trimestralmente que los contactos de email están actualizados y que las bandejas están activas.

4. Activar DNSSEC

Activa DNSSEC en todos los dominios donde tu proveedor DNS lo soporte. Publica los registros DS en el registrar. Verifica la cadena de confianza con una herramienta de validación DNSSEC. Supervisa las alertas de firma expirada.

5. Documentar y presupuestar

Crea un inventario que incluya: nombre de dominio, registrar, fecha de expiración, niveles de lock activos, contacto responsable, criticidad (alta/media/baja), coste anual. Comparte este documento con las personas autorizadas. Integra los costes de renovación en el presupuesto anual de infraestructura. Revísalo al menos una vez al año.

FAQ

¿Cuánto tiempo tengo para recuperar un dominio expirado?

Tras la expiración, generalmente dispones de 30 a 45 días de grace period para renovar a la tarifa normal, y luego de 30 días de redemption period para restaurar el dominio con unas tarifas de 80 a 200 EUR. En total, aproximadamente de 60 a 75 días antes de la eliminación definitiva. Las duraciones exactas varían según el registrar y el TLD. Cloudflare ofrece la grace period más larga (40 días), mientras que GoDaddy limita a 18 días antes de aplicar restricciones.

¿Cuánto cuesta la restauración de un dominio expirado?

Las tarifas de restauración (redemption) varían de 70 a 200 EUR según el registrar y el TLD. Para un .com: aproximadamente 100 USD en GoDaddy (80 USD de restore + renovación), de 90 a 100 USD en Cloudflare (coste del registro sin margen), de 110 a 180 USD en Namecheap, y de 80 a 140 EUR en OVHcloud. Estas tarifas son impuestas por el registro (Verisign cobra aproximadamente 80 USD por restore en los .com) y no son negociables. La restauración requiere también el pago de la renovación de al menos un año.

¿Qué significa el estado EPP redemptionPeriod?

El estado redemptionPeriod indica que el dominio ha sido eliminado por el registrar y se encuentra en la fase de recuperación a nivel del registro. Solo el titular original puede restaurarlo durante este periodo de 30 días, previo pago de tarifas de restauración. El dominio ya no resuelve y ningún servicio funciona.

Mi dominio ha expirado, ¿se han perdido mis emails?

Los emails enviados durante el periodo de expiración son rechazados por los servidores emisores (error "host not found" en los registros MX). Estos emails no se almacenan en ningún sitio a la espera: tras varios intentos (generalmente de 24 a 72 horas), el emisor recibe un bounce definitivo. Si renuevas el dominio rápidamente durante la grace period, los nuevos emails volverán a funcionar, pero los enviados durante la caída se han perdido irremediablemente.

¿El transfer lock impide todos los ataques contra mi dominio?

No. El transfer lock (clientTransferProhibited) impide únicamente la transferencia no autorizada hacia otro registrar. No protege contra la modificación de los registros DNS, la eliminación del dominio o los ataques al protocolo DNS. Para una protección completa, combina transfer lock, delete lock, update lock y DNSSEC. Para los dominios críticos, añade un registry lock.

¿Cuál es la diferencia entre registrar lock y registry lock?

El registrar lock lo establece tu revendedor (registrar) y es modificable desde tu interfaz de gestión. Añade los estados client*Prohibited. El registry lock lo establece el registro (Verisign, AFNIC) y requiere un procedimiento manual con verificación de identidad para cualquier modificación. El registry lock es de pago (de 50 a 300 EUR/año) pero ofrece una protección independiente de la seguridad de tu cuenta del registrar.

¿Se puede recuperar un dominio en pendingDelete?

No. El estado pendingDelete significa que el dominio será eliminado en los 5 días siguientes. Ninguna acción de recuperación es posible, ni por el titular, ni por el registrar, ni por el registro. La única opción es esperar la liberación del dominio e intentar volver a registrarlo, en competencia con los servicios de domain drop catching. Para un dominio codiciado, las probabilidades de recuperación son bajas sin recurrir a un servicio de backorder (coste: aproximadamente 59 USD o más).

¿Se puede recuperar un dominio tras su liberación (post pending delete)?

Técnicamente sí, pero en la práctica es muy difícil para los dominios de valor. Tras la eliminación, el dominio vuelve a estar disponible para registro. Si eres el primero en enviar la solicitud de registro, puedes recuperarlo a la tarifa estándar. Pero los dominios con tráfico, backlinks o un historial son objetivo de servicios de drop catching que utilizan robots automatizados para capturarlos en pocos milisegundos. Para maximizar tus probabilidades, coloca backorders en varios servicios especializados (DropCatch, SnapNames) antes de la liberación.

¿Cómo verificar los estados EPP y la fecha de expiración de mi dominio?

Utiliza una herramienta RDAP para consultar tu dominio. La respuesta JSON incluye los estados EPP en el campo status y la fecha de expiración en los eventos (events con eventAction: expiration). Puedes usar el RDAP Lookup de CaptainDNS para obtener esta información en pocos segundos.

¿Es suficiente la renovación automática para proteger mi dominio?

La renovación automática protege contra la expiración accidental, pero no contra otros riesgos: tarjeta de pago expirada, cuenta del registrar comprometida, domain hijacking. Combina la renovación automática con alertas de expiración independientes, bloqueos EPP y una supervisión regular de tus estados RDAP.

Glosario

Grace period (Auto-Renew Grace Period): periodo posterior a la expiración de un dominio durante el cual el titular puede renovar a la tarifa normal. Duración: de 0 a 45 días según el registrar y el TLD, conforme a la política de ICANN.
Redemption period: periodo de 30 días tras la eliminación de un dominio por el registrar, durante el cual solo el titular original puede restaurarlo previo pago de tarifas de restauración elevadas (de 80 a 200 EUR).
Pending delete: periodo de 5 días previo a la eliminación definitiva de un dominio. Ninguna recuperación posible.
Domain hijacking: toma de control no autorizada de un nombre de dominio, mediante compromiso de la cuenta del registrar, ingeniería social o explotación de un fallo técnico.
Transfer lock: bloqueo que impide la transferencia de un dominio a otro registrar. Corresponde al estado EPP clientTransferProhibited.
Registry lock: bloqueo aplicado a nivel del registro, que requiere un procedimiento manual para cualquier modificación. Estados server*Prohibited.
EPP (Extensible Provisioning Protocol): protocolo estandarizado (RFC 5730) utilizado entre registrars y registros para gestionar las operaciones sobre los dominios.
ERRP (Expired Registration Recovery Policy): política de ICANN que regula el proceso de recuperación de dominios expirados para los gTLDs. Actualizada en febrero de 2024.
Drop catching: técnica que consiste en registrar automáticamente un dominio en los segundos posteriores a su liberación, utilizando sistemas automatizados que consultan el registro continuamente.
Backordering: reserva anticipada de un dominio en proceso de expiración a través de un servicio especializado, que intentará el registro automático en el momento de la liberación.
Dangling DNS: registro DNS que apunta a un recurso que ya no existe (servidor desactivado, servicio de terceros cancelado), explotable por un atacante que toma el control del recurso objetivo.
Lame delegation: delegación DNS en la que el servidor de nombres autoritativo designado no responde o no está configurado para el dominio, creando una vulnerabilidad explotable (cf. ataque Sitting Ducks).

Guías de RDAP y gestión de dominios relacionadas

RDAP vs WHOIS: la guía completa de la transición: entender el protocolo RDAP, los códigos EPP en detalle, el RGPD y la migración desde WHOIS.
Ciclo de vida de un nombre de dominio: expiración, protección y buenas prácticas (este artículo): las 7 etapas del ciclo de vida, los riesgos en cada fase y las protecciones concretas.