Ir al contenido
GProxy
Registro
Глоссарий 9 min de lectura 35 vistas

WPAD

Descubre WPAD (Detección Automática de Proxy Web), el protocolo que automatiza la configuración de proxy para clientes de red. Comprende su papel en la configuración de red y sus posibles vulnerabilidades.

WPAD

Nuestros proxies

Ilimitados
HTTP/SOCKS5, desde $3/día
Residenciales
IPs reales, desde $0.49/GB
Rotación IPv6
Pool de 1000 IP, desde $2.50/día
Todas las tarifas →

WPAD (Web Proxy Auto-Discovery) es un protocolo que permite a los navegadores web y sistemas operativos descubrir automáticamente la ubicación de un archivo de Configuración Automática de Proxy (PAC), el cual define cómo las aplicaciones cliente deben conectarse a un servidor proxy para acceder a internet.

Descripción general de WPAD

WPAD simplifica la configuración del proxy del lado del cliente al eliminar la necesidad de ajustes manuales. En lugar de configurar cada aplicación cliente (por ejemplo, navegadores web, configuraciones de proxy a nivel de sistema) con la dirección IP y el puerto de un servidor proxy, los administradores pueden publicar un único archivo PAC. Los clientes configurados para usar WPAD localizarán y descargarán automáticamente este archivo, y luego ejecutarán su lógica JavaScript para determinar el servidor proxy apropiado para una URL determinada. Esto es particularmente útil en grandes organizaciones o entornos de red dinámicos donde la configuración del proxy puede cambiar con frecuencia o variar según la ubicación de la red.

Cómo funciona WPAD: Métodos de descubrimiento

WPAD emplea dos métodos principales para descubrir el archivo PAC: DHCP y DNS. Los clientes suelen intentar primero el descubrimiento DHCP, recurriendo a DNS si DHCP falla o no proporciona la información de WPAD.

Descubrimiento DHCP

El método DHCP (Dynamic Host Configuration Protocol) implica que el servidor DHCP proporcione a los clientes la URL del archivo PAC.

  1. Solicitud del cliente: Cuando un cliente configurado para WPAD obtiene una dirección IP de un servidor DHCP, solicita opciones DHCP específicas.
  2. Opción DHCP 252: El servidor DHCP puede configurarse para incluir la Opción 252 (Proxy Auto-Discovery) en su oferta de arrendamiento. El valor de esta opción es una cadena que contiene la URL del archivo wpad.dat (por ejemplo, http://wpad.example.com/wpad.dat).
  3. Recuperación del archivo PAC: El cliente recibe la URL e intenta descargar el archivo wpad.dat desde la ubicación especificada.

Descubrimiento DNS

Si el descubrimiento DHCP no tiene éxito o no está configurado, los clientes suelen intentar el descubrimiento basado en DNS.

  1. Construcción del nombre de host: El cliente construye una serie de posibles nombres de host para el servidor WPAD eliminando progresivamente componentes de su propio nombre de dominio. Por ejemplo, si el FQDN de un cliente es host.sub.example.com, intentará resolver wpad.sub.example.com, luego wpad.example.com, y finalmente wpad.com (aunque este último a menudo está bloqueado por razones de seguridad).
  2. Consulta DNS: Para cada nombre de host construido (por ejemplo, wpad.example.com), el cliente realiza una consulta DNS para un registro A (o registro AAAA para IPv6).
  3. Recuperación del archivo PAC: Si una resolución DNS es exitosa, el cliente forma una URL http://<resolved_IP_address>/wpad.dat o http://<resolved_hostname>/wpad.dat e intenta descargar el archivo PAC.

Comparación del descubrimiento DHCP vs. DNS

Característica Descubrimiento por Opción DHCP 252 Descubrimiento DNS (wpad.dominio.tld)
Configuración Se configura en el servidor DHCP (opción de ámbito). Se configura en el servidor DNS (registro A o CNAME para wpad).
Prioridad Generalmente preferido e intentado primero por los clientes. Se usa como respaldo si DHCP falla o no está configurado.
Mecanismo URL proporcionada directamente por el servidor DHCP. El cliente infiere el nombre de host y lo resuelve vía DNS.
Seguridad Requiere confianza en el servidor DHCP. Requiere confianza en la infraestructura DNS. Más susceptible a la suplantación de DNS si no está asegurado.
Facilidad de configuración Relativamente sencillo para los administradores de red. Requiere gestión de registros DNS y configuración de servidor web.
Problemas comunes Valor de Opción 252 incorrecto, mala configuración del servidor DHCP. Problemas de orden de búsqueda DNS, envenenamiento de DNS, bloqueo del nombre de host wpad, problemas de tipo MIME.

El archivo PAC (Proxy Auto-Configuration)

El núcleo de WPAD es el archivo PAC, típicamente llamado wpad.dat. Este archivo es un script JavaScript que define una única función: FindProxyForURL(url, host). Cuando un cliente necesita acceder a una URL, llama a esta función, pasando la URL de destino y su nombre de host. El valor de retorno de la función dicta cómo debe proceder el cliente.

Requisitos del archivo PAC

  • Nombre de archivo: Debe llamarse wpad.dat.
  • Tipo MIME: El servidor web que aloja wpad.dat debe servirlo con el tipo MIME correcto: application/x-ns-proxy-autoconfig. Sin esto, algunos clientes pueden negarse a procesar el archivo.

Ejemplo básico de archivo PAC

function FindProxyForURL(url, host) {
    // Acceso directo para dominios internos
    if (isPlainHostName(host) ||
        dnsDomainIs(host, ".example.com") ||
        isInNet(myIpAddress(), "192.168.1.0", "255.255.255.0")) {
        return "DIRECT";
    }

    // Proxy para tráfico específico a través de un proxy principal
    if (shExpMatch(url, "*.google.com/*")) {
        return "PROXY proxy1.example.com:8080";
    }

    // Todo el demás tráfico pasa por un proxy primario con conmutación por error a uno secundario
    return "PROXY proxy1.example.com:8080; PROXY proxy2.example.com:8080; DIRECT";
}

Valores de retorno comunes del archivo PAC

  • DIRECT: Conectar directamente al destino sin usar un proxy.
  • PROXY host:port: Usar el servidor proxy HTTP especificado. Se pueden especificar múltiples proxies para la conmutación por error (por ejemplo, PROXY proxy1:8080; PROXY proxy2:8080).
  • SOCKS host:port: Usar el servidor proxy SOCKS especificado.

Ventajas de WPAD para servicios de proxy

  • Gestión centralizada: Los administradores pueden gestionar la configuración del proxy para toda una red desde una única ubicación (el archivo wpad.dat en un servidor web).
  • Configuración dinámica: La configuración del proxy puede cambiar según la dirección IP del cliente, la URL de destino, la hora del día u otra lógica definida en el archivo PAC. Esto soporta requisitos de enrutamiento complejos.
  • Movilidad: Las computadoras portátiles o dispositivos móviles reconfiguran automáticamente sus ajustes de proxy al moverse entre diferentes redes (por ejemplo, LAN de oficina, Wi-Fi de invitado) que proporcionan diferentes configuraciones de WPAD.
  • Balanceo de carga y conmutación por error: Los archivos PAC pueden especificar múltiples servidores proxy, permitiendo a los clientes distribuir el tráfico o cambiar automáticamente a un proxy alternativo si el principal no está disponible.
  • Control granular: Tipos específicos de tráfico (por ejemplo, recursos internos, sitios seguros) pueden omitir el proxy, mientras que otros se enrutan a través de él, optimizando el rendimiento y la seguridad.

Desventajas y preocupaciones de seguridad

Aunque WPAD ofrece comodidad, introduce varios riesgos de seguridad y desafíos operativos:

  • Ataques de intermediario (Man-in-the-Middle - MITM):
    • Suplantación de DNS: Un atacante puede suplantar las respuestas DNS para wpad.dominio.tld, dirigiendo a los clientes a un servidor WPAD malicioso.
    • Suplantación de DHCP: Un atacante puede configurar un servidor DHCP malicioso para proporcionar a los clientes una URL WPAD maliciosa.
    • Archivos PAC maliciosos: Si un cliente descarga un archivo PAC malicioso, el atacante puede redirigir todo el tráfico a través de su proxy, interceptando o modificando datos, o incluso bloqueando el acceso a servicios críticos.
  • Punto único de fallo: Si el servidor WPAD o el servidor web que aloja el archivo wpad.dat deja de estar disponible, los clientes perderán su configuración de proxy y potencialmente el acceso a internet, a menos que la lógica del archivo PAC contemple la conmutación por error a DIRECT.
  • Vulnerabilidad del orden de búsqueda DNS: Los clientes a menudo añaden sus sufijos de dominio a wpad al realizar el descubrimiento DNS. Si un cliente está en una red con un sufijo de dominio corto (por ejemplo, empresa.local), podría consultar wpad.local o incluso wpad.com (si local no está configurado). Un atacante que controle estos dominios genéricos podría alojar un archivo wpad.dat malicioso. Muchos navegadores y sistemas operativos modernos mitigan esto impidiendo el descubrimiento de WPAD para dominios de nivel superior como .com o .local.
  • Sobrecarga de rendimiento: El proceso de descubrimiento de WPAD (DHCP, búsquedas DNS) y la ejecución del archivo PAC pueden introducir un ligero retraso al establecer conexiones, aunque esto suele ser insignificante.
  • Potencial de bypass: Usuarios sofisticados o malware pueden omitir la configuración de WPAD, especialmente si no se aplica a través de otros controles de red.
  • Mala configuración del tipo MIME: Un tipo MIME incorrecto en el servidor web (por ejemplo, text/plain en lugar de application/x-ns-proxy-autoconfig) puede hacer que los clientes ignoren el archivo wpad.dat.

Configuración de WPAD para un servicio de proxy

La implementación de WPAD implica varios pasos para asegurar que los clientes puedan descubrir y utilizar su servicio de proxy.

  1. Crear el archivo PAC (wpad.dat):

    • Desarrollar la lógica JavaScript para FindProxyForURL que defina sus reglas de enrutamiento de proxy.
    • Probar el archivo PAC a fondo utilizando herramientas o consolas de desarrollador del navegador para asegurar que se comporta como se espera.

  2. Alojar el archivo PAC en un servidor web:

    • Implementar wpad.dat en un servidor web accesible (por ejemplo, Apache, Nginx, IIS).
    • Asegurarse de que el servidor web esté configurado para servir wpad.dat con el tipo MIME application/x-ns-proxy-autoconfig.
      • Apache: Añadir AddType application/x-ns-proxy-autoconfig .dat a httpd.conf o a un archivo .htaccess.
      • Nginx: Añadir types { application/x-ns-proxy-autoconfig dat; } a nginx.conf.
      • IIS: Añadir una entrada de tipo MIME para la extensión .dat con el tipo application/x-ns-proxy-autoconfig.

  3. Configurar DHCP:

    • En su servidor DHCP, configurar la Opción 252 (Proxy Auto-Discovery) para los ámbitos relevantes.
    • Establecer el valor de la cadena a la URL completa de su archivo PAC (por ejemplo, http://wpad.example.com/wpad.dat).

  4. Configurar DNS:

    • En su servidor DNS interno, crear un registro A (o CNAME) para wpad.<su_dominio.tld> que apunte a la dirección IP del servidor web que aloja wpad.dat.
    • Ejemplo: Un registro A para wpad.example.com que apunte a 192.168.1.100.

  5. Configuración del cliente:

    • Asegurarse de que los sistemas operativos y navegadores de los clientes estén configurados para "Detectar la configuración automáticamente" o "Usar script de configuración automática de proxy". Esta suele ser la configuración predeterminada.
    • Para clientes Windows, esta configuración se encuentra típicamente en Opciones de Internet -> Conexiones -> Configuración de LAN.

Deshabilitar WPAD

En entornos donde WPAD presenta riesgos de seguridad inaceptables o no es necesario, se puede deshabilitar:

  • Política de grupo (Windows): Los administradores pueden usar Objetos de Política de Grupo (GPO) para deshabilitar la detección automática de proxy para máquinas unidas al dominio.
  • Registro (Windows): Las ediciones manuales del registro pueden deshabilitar WPAD. La clave HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections contiene configuraciones como DefaultConnectionSettings y SavedLegacySettings donde se pueden alterar las banderas de WPAD.
  • Configuración del navegador: La mayoría de los navegadores tienen una configuración para deshabilitar explícitamente la detección automática de proxy.
  • Configuración de red: No configurar la Opción DHCP 252 y no crear un registro DNS wpad.

Mejores prácticas para servicios de proxy con WPAD

  • Asegurar el punto final de WPAD: Asegurarse de que el servidor web que aloja wpad.dat esté endurecido y parcheado regularmente. Considerar el uso de HTTPS para la entrega de wpad.dat, aunque no todos los clientes soportan completamente HTTPS para el descubrimiento de WPAD, especialmente los más antiguos.
  • Validar los archivos PAC: Revisar regularmente el contenido de su archivo wpad.dat para verificar su corrección y prevenir la inyección de código malicioso.
  • Monitorear el uso de WPAD: Registrar las solicitudes de wpad.dat en su servidor web para detectar patrones de acceso inusuales o posibles ataques.
  • Implementar segmentación de red: Aislar el servidor WPAD y la infraestructura del proxy de las redes de usuarios generales.
  • Educar a los usuarios: Informar a los usuarios sobre la importancia de la configuración del proxy y los riesgos asociados con su desactivación o la conexión a redes no confiables.
  • Considerar alternativas para entornos sensibles: Para entornos altamente seguros o sensibles, considerar la configuración explícita del proxy a través de la Política de Grupo o soluciones de Gestión de Dispositivos Móviles (MDM), que ofrecen un control más directo y una menor dependencia de los protocolos de descubrimiento.
  • Bloquear WPAD para dominios externos: Configurar los servidores DNS internos para evitar la resolución de wpad para dominios fuera de su control organizacional (por ejemplo, wpad.com, wpad.org). Esto mitiga la vulnerabilidad del orden de búsqueda DNS.
Actualizado: 03.03.2026
Volver a la categoría

Leer también

Глоссарий 1 min

CDN y Proxies: Cómo Funcionan

CDN y proxies — cómo funcionan juntos — un término del campo de los proxies y las tecnologías de red.
Глоссарий 1 min

Enrutamiento de Tráfico BGP y Proxy

El enrutamiento de tráfico BGP y proxy es un término del campo de las tecnologías de proxy y de red.
Глоссарий 1 min

Peering de ISP y su impacto en los proxies

Peering de ISP y su impacto en los proxies — un término del campo de las tecnologías de proxy y red.
Глоссарий 1 min

Puerta de Enlace Residencial

La Puerta de Enlace Residencial es un término del campo de las tecnologías de proxy y de red.
Глоссарий 1 min

Piscina Cálida vs. Piscina Fría

Piscina Cálida vs. Piscina Fría — un término del ámbito de las tecnologías de proxy y redes.
Глоссарий 1 min

Proxy de comprobación de estado

El proxy de comprobación de estado es un término del campo de las tecnologías de proxy y de red.

Pruebe nuestros proxies

20,000+ proxies en 100+ países del mundo

Proxies ilimitados Proxies residenciales
support_agent
GProxy Support
Usually replies within minutes
Hi there!
Send us a message and we'll reply as soon as possible.