Definición de Doxing
La palabra «doxing» (también deletreada «doxxing») deriva del término «dropping dox», o «documentos». El doxing es una forma de ciberacoso que utiliza información sensible o secreta, declaraciones o registros para acosar, exponer, perjudicar económicamente o explotar de otro modo a las personas objetivo.
Este significado de doxing implica tomar información específica sobre alguien y luego difundirla por Internet o a través de algún otro medio para hacerla pública. Esta práctica ha sido fervorosa durante muchos años, simplemente porque los documentos contienen registros permanentes de hechos sobre personas y cosas que han hecho y dicho, que pueden ser armas poderosas contra ellas.
Sin embargo, el término «doxing» ganó popularidad por primera vez en la década de 1990, cuando los hackers empezaron a dejar caer documentos sobre personas que se habían escondido tras nombres falsos. De este modo, los hackers podían desenmascarar a otros atacantes con los que habían estado compitiendo. Al eliminar su anonimato, quedaban expuestos a las autoridades y a otras personas que trataban de localizarlos.
El doxing ha adquirido un papel destacado en las guerras culturales modernas, en las que se ataca a quienes apoyan una causa o sostienen una creencia contraria a la que se intenta impulsar.
¿Cómo funciona el doxing?
El doxing se basa en el hecho de que casi todo el mundo tiene datos sobre sí mismo circulando por Internet, protegidos por distintos niveles de seguridad y, en algunos casos, por ninguno en absoluto. Una vez que se encuentran estos datos, se convierten en armas y se utilizan contra el objetivo.
Rastreo de nombres de usuario
A menudo, las personas utilizan el mismo nombre de usuario o nombres similares en diferentes cuentas de diversos sitios y aplicaciones web. Por lo tanto, es relativamente fácil para los ciberdelincuentes, activistas u otras personas utilizar los nombres de usuario que tienes para localizar las cuentas que te pertenecen. Los datos de cada una de estas cuentas se pueden tomar para compilar una cartera más completa de documentos que revelen información sobre ti.
Realizar una búsqueda WHOIS en un nombre de dominio
Si eres propietario de un nombre de dominio, tiene información sobre ti almacenada en un registro. Este registro suele estar disponible con una simple búsqueda WHOIS. Normalmente, tienes la opción de ocultar tu información al registrar un dominio. Si optas por no hacerlo, cualquiera podrá acceder fácilmente a tu nombre, número de teléfono, dirección, dirección profesional y correo electrónico, todo ello sin ninguna tecnología especial.
Phishing
Si caes en una estafa de phishing o alguien es capaz de infiltrarse en tu correo electrónico, puede obtener información confidencial sobre ti o acceder a tu cuenta y utilizar tus correos electrónicos para un ataque de doxing. En una estafa de phishing, se te pide que hagas clic en un enlace a un sitio web falso y que introduzcas información confidencial.
Si pones tus cuentas de redes sociales a disposición del público, cualquier información que publiques sobre ti o que tengas en tu perfil puede ser vista por otros. Esto puede incluir dónde trabajas, tus amigos, fotos, miembros de tu familia, cosas que te gusta hacer, lugares en los que has estado, mascotas y mucho más.
Un doxer puede incluso utilizar este tipo de información para deducir tus respuestas a preguntas de seguridad habituales, como «¿Cómo se llama mi padrino?» o «¿Cómo se llama tu mascota favorita?».
Escudriñar en los registros gubernamentales
Los sitios web gubernamentales y los que mantienen registros, licencias comerciales, licencias de matrimonio e información de registro de votantes, tienen datos que podrían ser utilizados en un ataque de doxing.
Rastreo de direcciones IP
Los doxers pueden averiguar tu dirección de Protocolo de Internet (IP) y luego utilizar el hecho de que está vinculada al lugar donde se encuentra físicamente para ejecutar un ataque. Por ejemplo, podrían ponerse en contacto con tu proveedor de servicios de Internet (ISP) y hacerse pasar por ti, haciéndole preguntas que les proporcionen más información sobre usted.
Búsqueda inversa de teléfonos móviles
En cuanto un hacker conoce tu número de teléfono móvil, puede indagar para encontrar más información sobre ti. Por ejemplo, podrían utilizar un servicio de búsqueda inversa de teléfono, como Whitepages, para averiguar quién eres. Puede que tengan que pagar para obtener algo más que tu comunidad y ciudad, pero a menudo, obtienen suficiente información que puede ser útil en un ataque de doxing.
Escaneo de paquetes
Al hacer doxing a alguien, los atacantes pueden utilizar el rastreo de paquetes en su beneficio. Los datos se organizan en paquetes a medida que viajan por tu router a través de Internet. Cuando se intercepta un paquete, el atacante puede saber qué tipo de información contiene. De este modo, pueden hacerse con contraseñas, información de cuentas bancarias, números de tarjetas de crédito y mucho más.
Para ello, los doxers se conectan a una red, burlan su seguridad y capturan los datos que se transmiten a través de ella.
Corredores de datos
Como su nombre indica, los corredores de datos recopilan información y luego la venden a otros para obtener un beneficio. Un corredor de datos recopila información sobre objetivos potenciales visitando varios sitios web que contienen registros públicos. Esto puede incluir sitios web de tarjetas de fidelización, que hacen un seguimiento de sus hábitos en línea o de su historial de búsqueda, para obtener los datos que necesitan sobre ti.
En algunos casos, un corredor de datos adquirirá datos de otro corredor de datos y luego los venderá a un comprador en la web oscura.
¿Qué información buscan los doxers?
Algunos ejemplos de información que suelen buscar los doxers son:
- Números de teléfono: Pueden utilizarse para ponerse en contacto directamente con la víctima haciéndose pasar por otra persona y luego haciendo preguntas para obtener más información. También pueden utilizarse para acceder a cuentas de usuario seguras.
- Números de la seguridad social: Un número de la seguridad social es necesario para validar la identidad de una persona en una variedad de sitios web y con una amplia gama de empresas que poseen datos privados.
- Domicilio: La dirección del domicilio no sólo puede utilizarse para verificar la identidad de alguien que intenta acceder a una cuenta privada, sino que también puede ser utilizada por un atacante para solicitar nuevas cuentas haciéndose pasar por la víctima.
- Datos de tarjetas de crédito: La información de las tarjetas de crédito puede ser utilizada como arma para obtener beneficios o para dañar la calificación crediticia de la víctima, así como para obtener acceso a otra información sensible.
- Datos de cuentas bancarias: Dado que los datos de las cuentas bancarias sólo suelen estar disponibles después de que alguien haya satisfecho las medidas de seguridad, pueden utilizarse para que alguien que se haga pasar por ti «verifique» su identidad. También pueden utilizarse para transferir dinero de tu cuenta a la de otra persona o publicarse en un ataque de doxing para hacer más vulnerable al objetivo.
¿Es ilegal el doxing?
En muchos casos, el doxing no es ilegal, sobre todo porque la información que se expone ya está disponible públicamente en Internet. Esto significa que, en algún momento, el objetivo concedió a una entidad el derecho legal a publicarla. Sin embargo, la forma en que se utiliza la información puede hacer que el acto en su conjunto sea ilegal, sobre todo si implica acechar, amenazar o acosar al objetivo.
El doxing también puede ser ilegal si se revela determinada información. En Estados Unidos, por ejemplo, es ilegal hacer doxing a un empleado del gobierno. Se trata de un delito federal. Y aunque no es «ilegal», el doxing se considera poco ético porque la información se revela sin el permiso de la víctima.
¿Cómo protegerse del doxing?
Es casi imposible evitar ser víctima de un doxing porque la mayoría de la gente tiene una gran cantidad de información personal publicada en Internet. Sin embargo, hay medidas que puedes tomar para asegurarte de que la información más delicada (la que podría causar más daño) no sea objeto de abuso por parte de un doxer.
Utiliza una VPN
Una red privada virtual (VPN) toma sus transmisiones de Internet, las cifra y las envía de forma segura a través de Internet. En el otro extremo, los datos se descifran para que puedan ser leídos o utilizados por la otra parte o entidad. Sin embargo, mientras los datos están en tránsito, un doxer no puede utilizarlos a menos que tenga el algoritmo de descifrado.
Utiliza contraseñas seguras
Una contraseña débil (como una derivación de su nombre, una serie predecible de números o una palabra) es fácil de adivinar por un doxer. Sin embargo, hay medidas que puedes tomar para que sea mucho más difícil que un doxer te ataque. Por ejemplo, utilizar contraseñas diferentes para cada una de tus cuentas, emplear combinaciones oscuras de letras, números y símbolos, o utilizar un gestor de contraseñas que genere y almacene contraseñas muy difíciles de adivinar.
Cambia tu configuración de privacidad de vez en cuando
Si utilizas las redes sociales y publicas información potencialmente sensible o privada, deberías revisar de vez en cuando tu configuración de privacidad y cambiarla. Cuando utilizas las redes sociales con fines profesionales, a veces puede ser útil mantener pública parte de la información de tu cuenta.
Cambiar la configuración de privacidad de vez en cuando puede ayudar a evitar que cualquier persona que pueda ver la información de tu perfil, fotos, publicaciones o lo que te gusta o no te gusta acceda a información de la que no quieres que se abuse.
Mantente alejado de los correos electrónicos de phishing
Siempre que recibas un correo electrónico que parezca proceder de un banco o de una empresa de tarjetas de crédito, ten cuidado, sobre todo si te piden información privada. Además, ten cuidado al hacer clic en un enlace a cualquier sitio web enviado a través de un correo electrónico. Si, después de llegar al sitio web, te piden que introduzcas información, puedes exponerte al riesgo de doxing si accedes.
Crea cuentas de correo electrónico separadas para fines distintos
Es posible que desees considerar el uso de diferentes direcciones de correo electrónico para las interacciones sociales, el trabajo y el spam. Tu correo electrónico de trabajo, sobre todo si eres autónomo, se utilizaría para intercambios profesionales.
Sin embargo, siempre que te apuntes a una oferta o te suscribas a algo, puedes utilizar tu dirección de spam. Las interacciones personales y casuales pueden gestionarse en tu dirección de correo electrónico social. Utilizar diferentes nombres de usuario y contraseñas para cada una de ellas hace que sea más difícil para un doxer descifrar tu dirección de correo electrónico, y si lo hacen, es posible que no puedan acceder a todo lo que necesitan.
Ten en cuenta que un correo electrónico de spam a menudo puede utilizarse para ir directamente a una cuenta de usuario con detalles en el perfil de la cuenta. Por lo tanto, es importante hacer que tu correo electrónico de spam sea especialmente difícil de piratear.
Cuando publicas algo en las redes sociales, lo pones a la vista del público y, en algunos casos, pueden hacerse con él antes de que tengas la oportunidad de retirarlo.
Incluso si utilizas un seudónimo, es fácil para los «doxers» averiguar tu identidad real cruzando una cuenta de redes sociales con otra, sobre todo utilizando a tus amigos y cómo te mencionan. Pueden referirse a ti por tu nombre real en lugar de por tu seudónimo, exponiendo así tu identidad. Además, cuando una cuenta de una red social tiene tu nombre real, pero otras tienen nombres falsos, un doxer puede deducir fácilmente quién eres.
Ocultar la información de registro de dominio de la búsqueda WHOIS
Debido a que WHOIS contiene información de contacto, incluyendo información sobre su dirección física, es mejor ocultar su información cuando te registras para un Localizador Uniforme de Recursos (URL) o nombre de dominio. Hacer que tu información sea privada es sencillo, y si no está seguro de cómo hacerlo, pregunte a tu registrador de dominios.
Ten cuidado con los permisos de la aplicación
Cuando realices un cuestionario en línea, es posible que se administre mediante una aplicación. Para registrarte en la aplicación, es posible que te ofrezcan la opción de dar permiso para acceder a la información de tus redes sociales. Si le das permisos a un doxer, puede utilizar lo que encuentre para atacarte. Además, si la aplicación no tiene la seguridad adecuada, un hacker de doxing puede penetrar en tu sistema y obtener toda tu información. A menudo es mejor registrarse proporcionando un nombre de usuario y una contraseña únicos en lugar de dar acceso a la aplicación a una de tus cuentas de redes sociales.
Protege tus cuentas financieras
Un doxer puede publicar tu información financiera, así que toma medidas para asegurarte de que está a salvo. Sin embargo, si lo consiguen, ponte inmediatamente en contacto con tu banco o proveedor de tarjetas de crédito y asegúrate de que tus cuentas están cerradas o protegidas de otro modo.
Comprueba lo fácil que es hacerte un dox
Si para ti es fácil hacer un doxing, para un doxer experimentado es igual o más fácil. Puedes intentar hacer una búsqueda en Google, una búsqueda inversa de imágenes utilizando tu foto, revisar tus perfiles en las redes sociales o comprobar que la información de tu cuenta de correo electrónico no se ha visto comprometida en una filtración de datos publicada.
También puedes comprobar la información de tu perfil profesional, incluidos tu currículum vitae, para ver si estás de acuerdo con que esa información esté a disposición del público.
Configurar alertas de Google
Puedes configurar Google para que te avise en caso de que tu nombre, número, dirección, dirección del trabajo o cualquier otra información personal aparezca en Internet. De este modo, puedes detener inmediatamente un ataque de doxing.
¿Qué hacer en caso de ser doxed?
Si descubres que has sido objeto de un doxing, debes seguir los siguientes pasos:
- Denúncialo: Informa inmediatamente de lo ocurrido a las partes pertinentes, como las entidades financieras.
- Involucra a las fuerzas de seguridad: Si el ataque implica amenazas o si la información se ha obtenido de forma potencialmente ilegal, debes ponerte en contacto con la policía y comunicárselo.
- Documenta lo ocurrido: Utiliza capturas de pantalla, descarga páginas web y tómate tu tiempo para escribir lo sucedido. Esta información puede ayudarle a hacer un seguimiento de la información que se compartió, así como a ayudar a las autoridades y a otras personas a abordar el ataque.
- Protege tus cuentas financieras: Ponte inmediatamente en contacto con la entidad emisora de tu tarjeta de crédito o con tu banco para evitar que utilicen tu información financiera para robarte.
- Protege tus cuentas: Refuerza tu configuración de privacidad y cambia las contraseñas de todas tus cuentas, especialmente las que contengan información que pueda ser utilizada por un doxer.
- Busca el apoyo de familiares o amigos: Puedes acudir a alguien de confianza para que te ayude y te brinde apoyo emocional para que no tengas que enfrentarte a ello tú solo.
Preguntas frecuentes
¿Qué significa doxear a alguien?
El doxing es una forma de ciberacoso que utiliza información sensible o secreta, declaraciones o registros para acosar, exponer, perjudicar económicamente o explotar de otro modo a la víctima. Consiste en tomar información específica sobre alguien y difundirla por Internet o por cualquier otro medio para hacerla pública.
¿Es ilegal el doxing?
En muchos casos, el doxing no es ilegal, sobre todo porque la información que se expone ya está disponible públicamente en Internet. Esto significa que, en algún momento, el objetivo concedió a una entidad el derecho a publicarla. Sin embargo, la forma en que se utiliza la información puede hacer que el acto en su conjunto sea ilegal, sobre todo si implica acechar, amenazar o acosar al objetivo.
¿Se puede ir a la cárcel por doxing?
Si alguien utiliza medios ilegales para captar la información o si la utiliza para amenazar a la víctima, sí, puede ir a la cárcel por doxxing. En algunos casos, la víctima puede argumentar que la información difundida es falsa, lo que puede implicar una demanda por difamación, que puede conllevar penas de cárcel.
¿Por qué da tanto miedo el doxing?
El doxing da miedo porque implica la exposición de información potencialmente sensible al público de una manera que podría dañar la reputación de la víctima o exponerla a robo o fraude de identidad. Un ataque de doxing también puede utilizarse para chantajear al objetivo o para avergonzar a la familia o los amigos de alguien. Además, el doxing puede ser un arma para conseguir que alguien sea despedido de un trabajo por haber hecho cosas con las que su empleador no está de acuerdo.
Ingeniero informático de profesión y curioso por naturaleza. Me apasiona programar y gestionar hardware.
También soy un apasionado de las nuevas tecnologías y el marketing digital. Me encanta crear webs y redactar artículos con el objetivo de ofrecer el mejor contenido posible al lector.