Privacidad para subdominios: el problema

La transparencia de certificados TLS puede exponer subdominios y la IP pública de tu red. Descubre riesgos, mitigaciones como túneles gestionados y certificados wildcard, y cómo Q2BSTUDIO diseña arquitecturas seguras.

28 sept 2025 • 4 min read • Q2BSTUDIO Team

Inteligencia-Artificial-

Recientemente aprendí acerca de una nueva forma de filtrar tu privacidad y es preocupante. No soy ingeniero de redes, quizá si trabajas en ese campo lo conozcas desde hace años, pero para mí fue una revelación. Comparto aquí el problema y las posibles soluciones para que puedas valorar el riesgo en tu entorno.

Situación típica: poseo un dominio propio y he creado varios subdominios. Algunos apuntan a servicios en línea, uno a un túnel privado de Cloudflare para Home Assistant y otro a un NAS alojado en casa. Ese NAS recibe peticiones que pasan por mi router y, a su vez, el proveedor de Internet me asigna una IP pública. En la Unión Europea las direcciones IP se consideran datos personales. En Francia revelar ese tipo de dato puede constituir delito según el artículo 226-2 del código penal, con penas severas.

El problema clave viene de los certificados TLS. Para proteger la conexión uso Let's Encrypt para obtener certificados gratuitos. La ventaja económica tiene un coste de privacidad: los emisores públicos de certificados registran las solicitudes en un registro público llamado Certificate Transparency. No es exclusivo de Let's Encrypt: Google, Cloudflare y otros emisores también generan entradas. Existe una herramienta pública para consultar esos registros: crt.sh. Desde ahí es trivial ver cuáles son los subdominios asociados a un dominio y, a partir del subdominio, resolver las DNS para obtener la IP. Si un subdominio apunta a tu red doméstica, cualquiera puede rastrear la IP pública de tu router.

Además la trazabilidad es duradera. Los registros pueden conservarse durante años y aparecen entradas antiguas, lo que significa que una solicitud de certificado pasada puede seguir revelando información sensible incluso tiempo después.

Opciones para mitigar el riesgo:

Eliminar el subdominio Si no necesitas acceso externo, quitar el subdominio elimina la exposición directa, aunque no siempre es práctico.

Eliminar HTTPS Mala idea por razones de seguridad y privacidad: renunciar a TLS expone comunicaciones y credenciales.

Ofuscar el subdominio Usar nombres crípticos reduce la exposición casual, pero no evita que un atacante inspeccione lista tras lista.

Usar Cloudflare Tunnel En algunos casos Cloudflare Tunnel no deja registros visibles en crt.sh porque gestiona certificados de forma diferente. Es una solución práctica, pero implica depender de un tercero para la conectividad remota y la gestión del túnel.

Solicitar certificados wildcard Un certificado comodín para *.midominio.com aparece en los registros como tal y no revela subdominios individuales. Es una alternativa sólida que mantiene HTTPS sin enumerar tus hostnames.

Evaluando pros y contras, dos soluciones que combinan seguridad y privacidad suelen destacar: usar túneles gestionados tipo Cloudflare Tunnel o emplear certificados wildcard. Cada organización debe decidir en función de su modelo de amenaza, su tolerancia a la dependencia de terceros y su capacidad operativa.

En Q2BSTUDIO, empresa especializada en desarrollo de software y aplicaciones a medida, ayudamos a clientes a diseñar arquitecturas seguras y privadas. Ofrecemos servicios de ciberseguridad y pentesting para evaluar exposición de dominios, auditorías de red y recomendaciones para proteger servicios remotos. También implementamos soluciones gestionadas y arquitecturas en la nube como parte de nuestros servicios cloud aws y azure, usando las mejores prácticas para minimizar fugas de datos y asegurar la infraestructura.

Si necesitas una solución completa, en Q2BSTUDIO trabajamos con software a medida y aplicaciones a medida integrando inteligencia artificial para empresas, agentes IA, servicios de inteligencia de negocio y herramientas como power bi para explotación y visualización segura de datos. Podemos diseñar desde la capa de red y certificados hasta la automatización de despliegues y la implantación de políticas de gobernanza de datos.

Resumen práctico: cualquier solicitud de certificado pública queda registrada en Certificate Transparency y puede permitir trazar subdominios hasta una IP pública mediante DNS. Las opciones para recuperar privacidad son limitar la exposición de subdominios, adoptar túneles gestionados, usar certificados wildcard, o cambiar físicamente de red o de proveedor de Internet para obtener una nueva IP si la entrada histórica ya existe. Si quieres asesoramiento sobre cómo proteger tus subdominios, reducir riesgos y diseñar soluciones seguras a medida, en Q2BSTUDIO ofrecemos consultoría técnica y desarrollo especializado para empresas que requieren privacidad y resiliencia.

Para más información sobre cómo proteger infraestructuras y diseñar soluciones seguras con aplicaciones a medida, inteligencia artificial y servicios cloud, contacta con nuestro equipo y te guiaremos en la mejor estrategia según tus necesidades.

A BREAK?

Play for a moment before you go

OUR SERVICES

How we can help you

Artificial intelligence

AI agents, chatbots, and intelligent assistants that automate tasks and serve your customers 24/7 to improve the efficiency of your business.

More info

Software Development

Web, mobile, and desktop applications, intranets, e-commerce, SaaS, and management platforms designed for your company's specific needs.

More info

Cloud services

Migration, infrastructure, managed hosting, high availability, and security on Microsoft Azure and Amazon Web Services to help your business scale without limits.

More info

Cybersecurity and pentesting

Security audits, penetration testing and protection of applications, data and infrastructure on-premise and cloud, with ethical hacking and regulatory compliance.

More info

Business Intelligence

Dashboards and data analysis with Power BI: we integrate your sources, design dashboards and KPIs and turn your data into decisions.

More info

Process automation

We automate repetitive tasks and connect your applications with n8n, Power Automate, Make, and RPA, eliminating manual work and increasing productivity.

More info

Training for Companies

We train your teams in technology with criteria: web development, databases, Git, best practices and security, automation with n8n, artificial intelligence for companies and creation of AI solutions with Azure AI Foundry.

More info

Code Auditing

We audit the code that you, your team or an AI create: we tell you what is good and what to improve, we secure it and make it ready for production, web or app.

More info

AI Image Generation

We create for you the images that your business needs with artificial intelligence: product, networks, advertising, illustration and avatars. You tell us what you want and we deliver it ready to use.

More info

AI Video Generation

We create videos with artificial intelligence for you: promotional, networking, virtual presenters, dubbing and animations. You tell us the idea and we will deliver it assembled and ready to publish.

More info

AI Conversational Avatars

We create conversational avatars with AI – digital humans with a face and voice – that serve your customers and teams with the knowledge of your company, on your website, interactive monitors, WhatsApp or Teams.

More info

Online Marketing and AI

Google Ads, Meta Ads, LinkedIn Ads and AI Engine Positioning (GEO/AEO): we attract customers and make your brand appear where they search for you, also on ChatGPT, Gemini and Perplexity.

More info

Do you have a project in mind?

Tell us your vision and we'll turn it into a software solution. Whatever the scope, we make your idea real.

Live Chat