El doxing, que es la abreviatura de “dóxing dox” (“dox” en inglés de documentos), es la práctica maliciosa de recopilar y divulgar públicamente la información personal de alguien, como sus direcciones particulares, números de teléfono, información financiera u otros datos personales, sin el consentimiento de la víctima.
Con el auge de las redes sociales y los datos online fácilmente accesibles, el doxing se ha convertido en una táctica popular que a menudo se utiliza para acosar, intimidar o dañar a las personas. Esto suele estar motivado por venganzas personales, conflictos ideológicos o el deseo de causar daño a la víctima.
Los doxers emplean una serie de tácticas para recopilar información personal de fuentes de acceso público o mal protegidas:
Los nombres de usuario coherentes en todas las plataformas facilitan a los atacantes la conexión de perfiles en línea y la creación de una imagen completa de la actividad en línea de un objetivo.
Si sus cuentas de redes sociales son públicas, cualquiera puede encontrar información que usted publique en estas cuentas. Esto puede incluir detalles como etiquetas de ubicación, fotos de familiares o amigos, detalles del trabajo e incluso algo tan simple como el nombre de su mascota. Esta información puede proporcionar pistas valiosas que los doxers pueden utilizar para agrupar perfiles personales o incluso ayudar a los doxers a responder preguntas de seguridad para secuestrar otras cuentas que usted posee.
Los doxers pueden utilizar varios métodos para descubrir la dirección IP de un objetivo para aproximarse a su ubicación. A continuación, pueden utilizar técnicas de ingeniería social en el proveedor de servicios de Internet (ISP) del objetivo para obtener más información sobre la víctima.
Los atacantes utilizan software para recopilar y compilar pequeños puntos de datos de diferentes fuentes, creando un perfil detallado de su objetivo a partir de detalles aparentemente insignificantes.
Al introducir un número de teléfono en los servicios de búsqueda, los doxers pueden asociar ese número a un nombre, dirección y posiblemente otra información confidencial.
Si un objetivo posee un nombre de dominio, su información se almacenará en un registro. Si el objetivo no ha elegido ocultar sus datos en el registro, los doxers pueden utilizar una sencilla búsqueda WHOIS que puede revelar información de contacto registrada como nombre, número de teléfono, direcciones, correo electrónico y otra información personal.
Los correos electrónicos o mensajes falsos se pueden utilizar para engañar a los objetivos para que revelen detalles privados como credenciales de inicio de sesión o información de contacto, que los atacantes utilizarán para aprovechar aún más a su víctima.
Si un Doxer puede obtener acceso a su red, puede utilizar el análisis de paquetes para supervisar e interceptar paquetes de datos específicos que pueden contener información confidencial como contraseñas, datos de cuentas bancarias, números de tarjetas de crédito y otra información que le gustaría obtener.
Los corredores de datos recopilan, analizan y venden o licencian información de consumidores a otras empresas generalmente con fines de marketing. Estos corredores de datos suelen crear un perfil para una persona que contiene cosas como intereses, aficiones, datos demográficos y otros datos a los que pueden acceder.
Normalmente obtienen información de fuentes públicas, empresas externas, encuestas y muchas otras fuentes.
Desafortunadamente, esta información puede acabar en la web oscura y luego puede ser utilizada por los doxers por una pequeña tarifa.
Los doxers suelen buscar varios tipos de información personal para crear un perfil completo en su objetivo, a menudo con una intención perjudicial:
Uno de los puntos de datos más comunes que buscan los doxers es la dirección particular de una persona. El acceso a esta información les permite escalar el acoso o las amenazas a un nivel físico, haciendo que la víctima se sienta insegura en casa.
Los números de teléfono permiten a los doxers acosar directamente a las víctimas mediante llamadas o mensajes de texto. También pueden utilizar servicios de búsqueda inversa para descubrir detalles personales adicionales o realizar ataques de ingeniería social haciéndose pasar por el objetivo.
Las direcciones de correo electrónico son una puerta de entrada a más acoso, ataques de phishing y spam. Con un correo electrónico, los doxers pueden intentar piratear las cuentas en línea del objetivo, lo que a menudo conduce a más filtraciones de datos.
Saber dónde trabaja alguien permite a los doxers centrarse en su vida profesional, a veces poniéndose en contacto con el empleador de la víctima para difundir información falsa. Este tipo de acoso puede dañar la reputación e incluso poner en peligro el empleo.
Los datos financieros confidenciales, como la información de la cuenta bancaria o los números de las tarjetas de crédito, son muy valiosos para los doxers. El acceso a los datos financieros puede provocar robo de identidad, transacciones no autorizadas o chantaje.
Con un número de Seguro Social o una identificación nacional, los doxers pueden cometer un robo de identidad, abrir cuentas de crédito en nombre de la víctima o hacerse pasar por la víctima para acceder a otros datos confidenciales, lo que provoca consecuencias financieras y legales a largo plazo.
La legalidad del doxing varía según la jurisdicción. En algunas regiones, las leyes prohíben explícitamente el doxing, mientras que en otras, entra en un área gris legal. Por ejemplo, EE. UU. tiene leyes contra el acoso y el ciberacoso que pueden aplicarse al doxing, pero no todos los casos cumplen los criterios legales para el enjuiciamiento. El Reglamento General de Protección de Datos (RGPD) de la Unión Europea también protege a las personas frente a la exposición de datos personales sin consentimiento, añadiendo otra capa de defensa contra el doxing.
Desde el punto de vista ético, el doxing está ampliamente condenado como una invasión dañina de la privacidad. Aunque algunas personas abogan por la transparencia o la “libertad de información”, la exposición de la información de otra persona sin su consentimiento generalmente se considera peligrosa y poco ética.
Restrinja la visibilidad del perfil y sea selectivo con las solicitudes de amistad. Limite la cantidad de información personal que se muestra públicamente.
Proteja sus cuentas con contraseñas seguras y habilite 2FA para una capa adicional de seguridad.
Evite publicar datos como su dirección particular, número de teléfono o ubicación en redes sociales u otras plataformas públicas.
Una red privada virtual (VPN) puede ocultar su dirección IP, lo que dificulta que los atacantes realicen un seguimiento de sus actividades en línea o le localicen físicamente.
Busque su nombre y datos personales periódicamente para comprobar si hay información no autorizada publicada en línea.
Utilice la protección de privacidad de dominio para ocultar información personal en los registros WHOIS, reduciendo el riesgo de que los doxers accedan a sus datos de contacto.
Al adoptar estas prácticas, las personas pueden reducir el riesgo de doxing y mantener un mayor control sobre su información personal.
Solicite la eliminación de su información de cualquier sitio donde se haya publicado.
Para casos que impliquen amenazas o acoso, presente un informe ante las fuerzas de seguridad locales o las agencias de cibercrimen.
Informe a las personas cercanas a usted de la situación, especialmente si existe la posibilidad de que también sean objetivo.
Compruebe si hay alguna actividad inusual en sus cuentas o informe de crédito, ya que el doxing puede provocar robo de identidad o fraude financiero.
En casos graves, considere ponerse en contacto con un experto en ciberseguridad para obtener más ayuda y orientación.