La palabra “doxing” se refiere a un tipo de amenaza a la privacidad en la que un actor malicioso revela información privada sobre una víctima. Desafortunadamente, el entorno digital actual en el que tantos usuarios comparten gran cantidad de información en plataformas de redes sociales facilita el trabajo de los delincuentes. Sin embargo, hay muchas cosas que un usuario promedio puede hacer para evitar convertirse en víctima de doxing.
La palabra “doxing” es una abreviatura de “dropping documents” (soltar documentos). Se refiere a un hacker u otro actor malicioso que investiga a otra persona u organización y luego publica sus hallazgos sin permiso. En los últimos años, hemos visto cómo los influencers, políticos y celebridades son doxeados. Ellos son objetivos de alto perfil, por supuesto, pero cualquier persona puede convertirse en víctima de doxing.
La información específica que un perpetrador elige publicar depende de sus objetivos. Por ejemplo, puede incluir desde la dirección de casa hasta información de contacto o bancaria.
Este artículo explicará qué es el doxing y cómo ocurre en detalle completo. Comprenderlo te ayudará a protegerte exitosamente. Como suele suceder con la seguridad digital, la conciencia es la primera línea de defensa.
¿Cómo funciona el doxing?
El doxing (también conocido como “doxxing”) es un acto malicioso realizado por un actor que tiene como objetivo exponer la identidad o actividades digitales de otra persona a alguien que preferiría mantenerse anónimo y privado. Todo se trata de acoso y/o humillación.
Hoy en día, nuestra información personal está flotando en el éter digital más de lo que nos gustaría (o de lo que somos conscientes). Por lo tanto, un doxer puede obtener mucha información para divulgar sobre sus víctimas sin necesidad de utilizar recursos criminales.
¿Alguna vez has subido un currículum a un sitio web de búsqueda de empleo? Es probable que ese documento exponga tu dirección de correo electrónico, dirección de casa y número de teléfono a cualquier persona que pueda encontrarlo en línea. Algo similar se aplica si eres dueño de un nombre de dominio o lo has registrado anteriormente. Estos son solo dos ejemplos, pero piensa en tus cuentas de Facebook, Instagram, Twitter y otras, y en cuánta información revelan sobre ti.
¿Qué métodos estándar hay para doxear?
Entonces, ¿cómo puede ocurrir esto? Desafortunadamente, cualquier persona con cierto grado de conocimiento digital tiene numerosos recursos para investigarte en línea. Aquí hay algunas de las cosas que pueden hacer.
Cuidadosa observación de las redes sociales
Una vez que el perfil de una red social en cualquier plataforma se configura como público, toda su información está disponible para cualquier usuario de Internet. Y alguien lo suficientemente curioso puede descubrir cosas que pensabas que solo conocían tus amigos más cercanos y familiares.
Y recuerda tus preguntas de seguridad. A menudo se basan en nombres de hermanos, mascotas, el nombre de tu escuela secundaria, etc. Toda esa información podría estar en tus redes sociales, disponible para el público, proporcionando pistas sobre tus preguntas de seguridad en otros sitios web.
Búsquedas WHOIS
Cada nombre de dominio en Internet tiene un propietario registrado en las bases de datos WHOIS. Esa base de datos a menudo incluye información sensible sobre la persona u organización propietaria de un dominio, como números de teléfono y direcciones (de correo electrónico o físicas). Buscar esta información es sencillo y no requiere casi ningún conocimiento especializado.
Rastreo de nombres de usuario
A los doxers también les gusta estar al tanto de los nombres de usuario individuales en diferentes aplicaciones, sitios web y plataformas. Luego, reúnen toda esa información para crear un perfil de alguien.
Registros Públicos
Hay muchas cosas en la vida de una persona que son de dominio público. ¿Tienes una licencia? ¿Te has casado? Bueno, piensa en el Departamento de Vehículos Motorizados, los registros del municipio, los problemas de licencia comercial, las oficinas de matrimonio y otros guardianes de la memoria institucional. Además, muchos sitios web gubernamentales con registros públicos disponibles para buscar proporcionan información desde registros de conducción hasta antecedentes penales. ¡Y todo es público! ¡Cualquiera puede buscarlo!
Phishing
Los hackers han estado utilizando la técnica de phishing para robar datos personales desde que Internet se volvió popular. Entonces, si un doxer no pudiera obtener un dato en particular que desea especialmente, podría intentar un ataque de phishing para obtenerlo de una víctima. Por ejemplo, podrían hacerse pasar por funcionarios de una agencia gubernamental o una institución financiera. O podrían intentar que la víctima haga clic en un enlace enviado en un correo electrónico de phishing que lo llevará a un sitio web malicioso.
Rastreo de domicilios IP
Si un hacker tiene tu número IP, sabe dónde te encuentras, más o menos. Esa información, a su vez, les puede decir quién es tu proveedor de servicios de internet (ISP) o cuál es el punto de acceso público de WiFi que prefieres. Luego podrían orquestar un ciberataque dirigido a ese lugar.
Por otro lado, si obtienen tu dirección física, entonces tienen un gran punto de partida para cruzar referencias y obtener aún más información.
Búsquedas telefónicas inversas
¿Está disponible tu número de móvil en línea? Entonces es un objetivo fácil para el vishing o estafas mediante mensajes de texto. Además, ese número puede conducir a la identidad del propietario en una búsqueda inversa de teléfono móvil.
Y, al igual que sucede con la dirección física, una vez que obtienes un dato crucial, puedes utilizarlo para profundizar y obtener cada vez más información.
Sniffing: olfateo de paquetes
Un sniffing u olfateo de paquetes es una herramienta digital para monitorear el tráfico de red.
Los hackers pueden ajustar un sniffer para filtrar los paquetes que se originan en un dispositivo específico. Si logran interceptar y leer esos paquetes, pueden descubrir contraseñas, nombres de usuario, números de tarjetas de crédito y todo lo demás que escribas en línea.
Compra de datos
Los sitios de corredores de datos están aquí. Son toda una industria. Sus clientes son principalmente anunciantes dirigidos, pero están en el negocio de vender datos a cualquiera dispuesto a pagar por ellos. Y tu doxer podría ser uno de esos clientes inusuales.
¿Qué meta persigue un doxer?
El objetivo del doxer puede variar ampliamente, pero es seguro asumir que los siguientes elementos les interesan:
- Tweets (publicaciones en Twitter)
- Publicaciones en sitios web de redes sociales
- Fotos personales
- Cuentas de redes sociales
- Información financiera
- Detalles de tarjetas de crédito o débito
- Búsquedas en línea
- Miembros de la familia
- Direcciones físicas
- Número de seguro social
¿Es doxear una actividad criminal?
No hay una respuesta general sobre la legalidad del doxing, ya que cada situación es diferente. Pero lo principal a considerar es lo siguiente: siempre y cuando la información se haya recopilado de manera legal, también es legal hacer doxing con ella.
El doxing puede cruzar la línea de la legalidad cuando publica algo privado que nunca estuvo destinado a ser visto por el público, como un número de teléfono no listado, detalles de tarjetas de crédito o información de cuentas bancarias.
También puede volverse delictivo si habilita el ciberacoso hacia la víctima u otros tipos de amenazas personales.
La gravedad también es un factor en cómo se considera un caso de doxing. Por ejemplo, ¿en qué se diferencia de la publicidad si un hacker publica el teléfono comercial de alguien? Las autoridades suelen tomar en serio el doxing cuando el material publicado es más privado y potencialmente dañino.
Las mejores medidas para protegerte contra el doxing
Ahora que sabes qué es el doxing y cómo se hace, probablemente puedas pensar que cualquiera puede convertirse en un objetivo siempre que alguien esté dispuesto a hacer el trabajo. Y estarías en lo correcto. Si alguna vez has publicado un comentario en publicaciones o artículos en redes sociales, has chateado en una plataforma en línea, has dejado comentarios en sitios de redes sociales o has publicado en ellos, estás en riesgo de ser víctima de doxing. Y para mantenerte protegido, debes convertir las mejores prácticas de seguridad y privacidad en internet en tus aliados.
¿Y qué puedes hacer para evitar ser doxeado? Veamos.
Falsifica tu domicilio de IP con una VPN
Si un hacker puede obtener tu dirección IP, tiene mucha información para comenzar. Pero puedes asegurarte de que nunca la vean.
Una buena VPN mantiene tu dirección IP oculta del resto de Internet. En su lugar, te proporciona una nueva dirección IP correspondiente a su red de servidores. Además, la VPN cifra todo tu tráfico, lo que hace que la interceptación sea inútil.
Adopta ciberseguridad de primera clase
El ransomware ha crecido exponencialmente últimamente y ha sido frecuente en las noticias. Esto ha motivado a muchos usuarios que antes eran indiferentes a tomar la seguridad digital más en serio.
Así que obtén un suite de antivirus premium. Por favor, paga por la licencia y asegúrate de que esté en línea en todo momento. Esto te mantendrá protegido contra malware y otras amenazas maliciosas.
Diseña tus passwords con cuidado
La elección de contraseñas es fundamental. Debes tener una contraseña diferente para cada cuenta, y cada una de ellas debe ser sólida. Con sólida nos referimos a que no debe ser una palabra común que se pueda encontrar en un diccionario, y utilizar una combinación de letras minúsculas, números, símbolos y letras mayúsculas.
Si no puedes recordar tantas contraseñas, obtén un administrador de contraseñas premium.
Guarda cierta privacidad en tus redes sociales
Usar tu nombre y apellido como nombre de usuario en cualquier cuenta es terrible, incluso si agregas números u otras cosas. Eso solo facilita las cosas para los hackers.
Sí, algunos sitios web requieren que uses tu nombre real, especialmente si están relacionados con actividades profesionales. Pero en ese caso, asegúrate de establecer la privacidad de tus redes sociales al nivel más alto posible. Tu información personal es solo para tus contactos más cercanos.
Considera esta regla: si no quieres que algo se haga público sobre ti, mantenlo alejado de tus cuentas en redes sociales.
Usa diferentes nombres de usuario
Usar el mismo nombre de usuario en Twitter, Facebook, Instagram, Reddit, Snapchat, TikTok y todas las demás plataformas es muy conveniente para los hackers. Les permite perfilar tu perfil de manera muy efectiva en cuestión de minutos.
Para aumentar tus posibilidades de mantener la seguridad en línea, utiliza diferentes nombres de usuario para cada plataforma. Al igual que con las contraseñas, utiliza un administrador de contraseñas si encuentras que es demasiado molesto, pero recuerda que es vital para tu seguridad.
Evita cuestionarios de desconocidos
Los cuestionarios de personalidad y otros tipos de cuestionarios pueden ser divertidos. Si los haces en un sitio donde no necesitas iniciar sesión, ¡adelante y disfrútalos! Pero si un sitio te pide que inicies sesión a través de Google, Facebook u otra plataforma para hacer el cuestionario, evítalo.
Esos cuestionarios no siempre son tan inocentes como parecen. Pueden hacerte revelar información que suele ser parte de las preguntas de seguridad de la cuenta, como el nombre de tu primera mascota.
Ejemplos
Los ejemplos de doxing son muy comunes. Sin embargo, muchas personalidades de alto perfil los han sufrido en todo el mundo. Aquí hay algunos casos destacados.
Ashley Madison
Ashley Madison se hizo famoso por promover relaciones amorosas ilícitas a través de la web. Luego, un masivo robo de datos afectó al sitio web. Los autores amenazaron con publicar los detalles personales de muchos usuarios que buscaban encuentros casuales. Para empeorar las cosas, la política de Ashley Madison nunca eliminaba la información de los usuarios. Cuando la empresa no pudo cumplir con las demandas del hacker, toda esa información se hizo pública.
Maratón de Boston
Después del atentado en el Maratón de Boston en 2013, muchas personas inocentes se convirtieron en víctimas de doxing, ya que algunos usuarios de Reddit intentaron identificar a los sospechosos.
Protestas en Hong Kong
Después de los ataques contra oficiales antidisturbios y policías en Hong Kong, algunos seguidores de Beijing tomaron represalias contra los doxers. Los disidentes comenzaron a divulgar información personal de los familiares durante las manifestaciones contra el gobierno. Todo esto resultó en una polémica ley contra el doxing que hace más daño a la privacidad individual que el propio doxing. Esta ley obligó a Google, Twitter y Facebook a abandonar el antiguo protectorado británico.
Así que te doxearon. ¿Qué haces ahora?
Estar en el centro de un caso de doxing es desagradable e impactante. Pero tu prioridad es mantener la calma. A continuación, sigue estos pasos:
- Asegúrate de estar a salvo. Si la información revelada pone en riesgo tu seguridad, busca un lugar seguro para estar y contacta a las autoridades locales.
- Concéntrate en la documentación. Todo lo que hayan publicado sobre ti, documéntalo. Toma capturas de pantalla y guárdalas como referencia futura. Cualquier acción legal que tomes requerirá esa evidencia. Copia y guarda cada URL, nombre de usuario, información de cuenta y cualquier cosa relevante.
- Cambia tus contraseñas. Si el ataque de doxing incluyó el acceso no autorizado a alguna de tus cuentas, es posible que no te des cuenta hasta que sea demasiado tarde. Por eso, toma la iniciativa y cambia todas tus contraseñas de una vez.
- Revisa tu situación financiera. Si tu caso de doxing incluyó información financiera, cancela cualquier tarjeta comprometida y alerta a tus bancos.
- Realiza un informe. Reporta tu caso de doxing a la plataforma en la que ocurrió. La mayoría de ellas tienen políticas contra el doxing. Puedes solicitar a Google que elimine tu información personal en esta página del centro de ayuda de Google.
Conclusiones
El doxing puede ser extremadamente perjudicial, pero desafortunadamente no es totalmente ilegal. Puede tener un impacto prolongado en la vida de la víctima.
Nuestras aplicaciones y cuentas en línea nos han hecho sentir cómodos al compartir demasiada información sobre nosotros mismos. Muchos de nosotros no pensamos demasiado antes de compartir detalles personales en línea.
Sin embargo, el riesgo de doxing está presente y cualquiera puede convertirse en víctima, por lo que es importante proteger tu identidad digital.
Configura todas tus cuentas de redes sociales para obtener la máxima privacidad posible. Utiliza una VPN, un buen antivirus y un gestor de contraseñas adecuado. Mantén nombres de usuario y contraseñas únicos para cada sitio web.
Puedes mantenerte seguro si aceptas adoptar algunas medidas sencillas detalladas en este texto. Apréndelas, úsalas. Sí, conlleva cierta incomodidad, pero la seguridad siempre es la prioridad.
Preguntas frecuentes
Es la publicación de información personal maliciosa contra la voluntad del sujeto de la información
Depende del escenario específico, pero podría ser perfectamente legal si la información publicada se recopiló legalmente.
La protección contra el doxing requiere de un enfoque integral de seguridad que incluye la adopción de varias medidas preventivas. Usar una VPN es una de dichas medidas, pero no es la única, ni es suficiente en sí misma.
Desde que la información se publica, la pelota queda en la cancha de la víctima. Lo que suceda subsecuentemente depende exclusivamente de la forma en la que la víctima decida reaccionar.
