¿Qué es el doxing? ¿Es legal y cómo puedo prevenirlo?

¿Tienes prisa? ¡Haz clic aquí para un rápido resumen!

¿Qué es el doxing? Una guía rápida

El doxing es cuando un hacker o un usuario de Internet actuando de mala fe, encuentra información personal de una persona o grupo y la publica en línea sin su consentimiento. Cualquiera puede verse afectado, aunque los famosos, políticos, los magnates de los negocios y los influencers de las redes sociales ya han sido doxeados en los últimos años.

A través de varias vías legales, los doxers pueden obtener datos privados como:

• Números de teléfono, correos electrónicos y otra información de contacto
• Direcciones físicas de tu casa o negocio
• La identidad de miembros de la familia
• Historiales de búsqueda en línea
• Cuentas de redes sociales
• Fotos personales
• Tweets, publicaciones y estados
• Otros detalles personales

El primer paso para protegerte de un ataque de doxing es usar una VPN. Una red privada virtual (VPN en sus siglas en inglés) no dejaría que doxers y hackers averiguasen tu dirección IP, la cual les podría llevar a revelar la dirección de tu casa, la cuenta con el proveedor de servicios de Internet (ISP) y otros detalles privados. Sorprendentemente, ¡es legal!

NordVPN

Promoción

Sólo $3,29 al mes por una suscripción de 2 años más 3 meses gratis

Visitar NordVPN

¿Interesado en saber cómo funciona el doxing y qué puedes hacer para protegerte de ataques? Lee el artículo entero a continuación para averiguarlo.

El doxing (abreviatura en inglés de «dropping documents,» «docs,» o «dox», en castellano puede llamarse doxeo) es cuando un hacker o algún otro usuario de Internet captura información de alguien o de un grupo  y lo publica en línea sin su consentimiento. Aunque en los últimos años hemos visto a famosos, políticos e influencers de las redes sociales doxeados, cualquiera (y su información personal) puede convertirse en el objetivo de un plan malintencionado de alguien.

Dependiendo de cuales sean los objetivos del responsable, hay una amplia gama de datos personales, una dirección física, información de contacto o información de la cuenta del banco, que podría buscar desenterrar y mostrarla por todo Internet.

¿Pero qué es el doxing, exactamente? En este artículo, analizaremos en qué consiste el doxing y en cómo funciona, cómo protegernos y por qué hay una línea borrosa en si esta práctica es ilegal o no.

¿Cómo funciona el doxing?

El doxing (a veces escrito «doxxing») es un acto malintencionado en el que los hackers u otras amenazas en línea, están interesadas en exponer la identidad de alguien que está intentando permanecer anónimo, o quieren humillar o acosar a alguien que desea permanecer en privado.

Con toda nuestra información personal flotando por Internet, los doxers pueden acceder a un montón de esta información privada de formas completamente legales.

Si alguna vez has cargado tu CV en una web pública mientras buscabas trabajo, por ejemplo, tu dirección de correo electrónico, dirección física y número de móvil podrían estar disponibles públicamente para cualquiera que estuviese interesado.

De la misma forma, si alguna vez has sido propietario o registrado un nombre de dominio y una web, tal vez haya proporcionado una parte de información personal a la que puede accederse fácilmente con una simple, gratuita y rápida búsqueda.

Métodos usados para el doxing

Hay todo tipo de formas en que los hackers y los usuarios malintencionados pueden obtener tu información personal y tu identidad en línea. Para hackers y doxers determinados y con conocimientos técnicos, cazar datos en Internet puede ser muy fácil.

Estos son algunas de las formas más habituales y efectivas en que los doxers pueden obtener la información que quieren:

Ciberacoso en las redes sociales

Una vez establecida la compartición pública, las cuentas de las redes sociales están completamente abiertas a cualquiera que esté interesado en mirar a través de ellas. Un entrometido podría acceder a cualquier dato personal o privado que alguien cree que está compartiendo con su familia y amigos en línea.

Varias preguntas de seguridad de las cuentas suelen crearse a partir de relaciones con personas, familiares, nombres de mascotas y escuelas a las que fuiste. Si cualquiera de esas cosas se hace pública en Internet, un acosador puede rápidamente encontrarlas.

Realizar una búsqueda WHOIS en nombres de dominio

Cuando los propietarios de negocios registran un dominio para su web, pueden decidir si proporcionan o no información sensible como números de teléfono, dirección física de casa o de la empresa y direcciones de correo electrónico. Una rápida búsqueda puede hacer aparecer esta información sin necesidad de conocimientos técnicos.

Seguimiento de nombres de usuario

Los doxers pueden rastrear nombres de usuario a lo largo de aplicaciones y webs, y generar un perfil basado en el comportamiento del individuo. Esto es especialmente efectivo en las redes sociales como Reddit y Twitter, donde los usuarios objetivo creen que son anónimos, pero en realidad son bastante fáciles de localizar. Todos los datos se recogen juntos y se usan contra el objetivo.

Registros gubernamentales para robar información personal

Agencias de matrimonios, expendedores de licencias de negocios, proveedores de registros de la comarca, tráfico y otras muchas webs gubernamentales tienen registros públicos disponibles para realizar búsquedas. Mientras que los empleados pueden usarlas para comprobar los antecedentes penales o el carné de conducir, entre otras cosas, cualquiera puede acceder a esta información personal que se ponga a disposición del público.

Estafas a través de phishing para robar información personal

El phishing hace tiempo que es una forma con la que los hackers y ciberdelincuentes roban datos sensibles de sus víctimas. Si los doxers están buscando una información en concreto, podrían intentar pescarla. Podrían hacerse pasar por una importante institución financiera y pedir información específica de identificación a través del correo electrónico. O podrían intentar embaucar a las víctimas para que hicieran clic en un enlace malicioso que permitiría a los atacantes acceder a sus dispositivos y filtrar sus webs y aplicaciones.

Seguimiento de tu dirección IP

Una vez un hacker ha ubicado tu dirección IP, también encuentran tu ubicación física. Esto podría abrir a que tu Wi-Fi y el proveedor de servicios de Internet (ISP) sean víctimas de hackeos y ciberataques.

Una vez tienen tu dirección física, también podrían hacer referencias cruzadas con ella a través de otras salidas para desenterrar toda clase de información. Y eso sin considerar que las empresas de tarjetas de crédito suelen usar las direcciones y códigos postales para confirmar el uso de la tarjeta.

Servicios de búsqueda inversa de teléfonos

Si tu número de móvil está disponible en línea, será muy sencillo convertirlo en objetivo a través de estafas por SMS o vishing (phishing a través de llamadas). También una vez los ciberdelincuentes tienen el número, pueden usar servicios de búsqueda inversa de teléfonos móviles para averiguar más cosas sobre la persona detrás de este número.

Este número podría también causar un efecto dómino revelando más información valiosa en un ataque de doxing.

Analizador de paquetes

Los analizadores de paquetes son piezas de hardware o software que analizan y monitorean el tráfico de la red.

Los doxers podrían usarlos para filtrar información proveniente de una fuente en particular. Una vez han abierto una brecha en los protocolos de seguridad de la red, pueden recoger información como contraseñas, inicios de sesión de la cuenta bancaria y números de tarjetas de crédito.

Usar webs de brokers de información

Toda una industria entera está dedicada a servir a las agencias de publicidad dirigida agrupando datos de usuario, hábitos de búsqueda y tendencias.

Si bien la mayoría de compradores se encuentran dentro del mundo de la publicidad, cualquiera puede acceder a esta vasta colección de datos. Si un doxer está buscando a un usuario en concreto, puede fácilmente seguir un dispositivo a través de las coordenadas GPS y de las direcciones IP.

¿Qué información quieren los doxers?

Hay muchas cosas en las que los doxers pueden estar interesados mientras filtran la información personal de un objetivo, usando los métodos mencionados anteriormente. Puede ser más fácil de lo que crees encontrar y doxear:

• Números de teléfono, direcciones de correo electrónico y otra información de contacto
• Números de la seguridad social
• Direcciones físicas de casa o la empresa
• Miembros de la familia
• Historiales de búsquedas en línea
• Proveedor de la tarjeta de crédito, números y detalles
• Información de la cuenta bancaria
• Cuentas de redes sociales
• Fotos personales
• Tweets, publicaciones y estados
• Otros detalles personales

¿Es legal el doxing?

¿Resumidamente? Depende de la situación. El doxing no es ilegal si la recolección de información personal fue realizada de forma legal. Para que el doxing entre en territorio ilegal, los doxers deben publicar información privada que se suponía que nunca estaría disponible. Esto podría ser un número de una tarjeta de crédito, detalles de una cuenta bancaria o un número de teléfono que no figura en la guía.

Si el doxing acaba en ciberacoso o en amenazas personales a la víctima, podría considerarse también un delito y podría involucrar a los cuerpos policiales.

El doxing se gestiona de forma distinta según su severidad, también. Si un hacker reveló el nombre de alguien o el número de teléfono público de un negocio, podría no ser tomado tan seriamente a los ojos de la ley como el compartir la dirección física o las cuentas financieras de alguien.

Sin tener en cuenta cómo los gobiernos y los cuerpos policiales lo vean, muchas webs tiene reglas sobre el doxing en sus términos de servicio. Así que si un hacker usó una red social en concreto para doxear a alguien, su cuenta podría ser suspendida o borrada, aunque las repercusiones legales podrían ser mínimas.

Cómo protegerte del doxing

Con todas las maneras disponibles para los hackers expertos, y posibles doxers, parece que cualquiera puede convertirse en víctima. Si alguna vez has publicado en redes sociales, dejado comentarios en redes sociales, te has enredado en un chat en un foro o has sido activo en secciones de comentarios de artículos de los medios, podrías convertirte en un objetivo.

Mientras que las secuelas del doxing pueden ser devastadoras, hay algunas herramientas en línea a disposición de los usuarios que podrían ayudarte a protegerte del doxing:

1. Enmascara tu dirección IP con una VPN

Una vez el hacker ha averiguado tu dirección IP local, también se las ingeniarán para averiguar una dirección física y la correspondiente cuenta con el proveedor de servicios de Internet (ISP). Esto no solo revela tu dirección de casa y otra información, incluso puede hacer que la conexión Wi-Fi sea un objetivo para hackeos. También puedes usar sitios proxy para ocultar tu IP, aunque no siempre son efectivos.

Una red privada Virtual (VPN en sus siglas en inglés) oculta tu verdadera dirección IP y te asigna una nueva anónima de uno de sus miles de servidores ubicados alrededor del mundo. Las VPN también cifran todos tus datos de extremo a extremo en una red, así los hackers no podrán interceptar los datos en redes Wi-Fi no seguras.

Como primera línea de defensa contra los ataques de doxing, podemos recomendar NordVPN. Está, de forma consistente, en la parte superior de nuestros ránkings, reseñas y listas para seguridad y privacidad.

2. Saca ventaja de la ciberseguridad prémium

Con la reciente oleada de ransomware y otros ataques de malware, los usuarios se están tomando su ciberseguridad muy seriamente. Asegúrate de tener un buen antivirus que te proteja de los ataques de doxing que provienen de malware y descargas maliciosas.

Un buen software puede encontrar y poner en cuarentena las nuevas amenazas antes de que se introduzcan en tu sistema. De esa manera, puede garantizar tu protección contra amenazas activa y constantemente actualizada, en caso de que descargues por error archivos maliciosos o hagas clic en un enlace incorrecto.

3. Contraseñas fuertes

Asegúrate de elegir contraseñas con combinaciones de letras mayúsculas y minúsculas, números y símbolos. Recuerda de que sean distintas en todas las webs y otras cuentas. Uno de los peores errores que pueden hacer los usuarios es tener una contraseña robada en una brecha y tener a hackers que usen esa contraseña con éxito en otras cuentas.

También es una buena idea configurar cuentas de correo electrónico separadas para distintas plataformas.

Si tienes problemas creando y recordando contraseñas complejas, tal vez sea el momento de pensar en usar un gestor de contraseñas. Dale un vistazo a 1Password, nuestra recomendación de este año.

4. Cuentas privadas en redes sociales y nombres de usuario

Al crear nuevos nombres de usuario, asegúrate de que no es tu nombre y apellidos seguidos por un número. Si un hacker o un doxer consigue tu nombre, un rápido cruce de datos en LinkedIn o Instagram hará surgir ese nombre de usuario.

Para la mayoría de cuentas que están conectadas a tu vida profesional, como LinkedIn, Facebook y Twitter, querrás usar tu nombre real. En esos casos, asegúrate de comprobar la configuración de privacidad y establécela al mayor nivel.

Solo querrás que tu dirección, número de teléfono, historial laboral u otra información privada esté disponible para la gente con la que aceptes conectarte. Esto también vale para todas tus cuentas. Nunca compartas nada con lo que no te sientas seguro con alguien compartiéndolo en público.

5. Distintos nombres de usuario para distintas plataformas

Si usas el mismo nombre de usuario para Reddit, Snapchat, Twitter e Instagram, y eres activo en todas las plataformas, un doxer podría hacer un resumen de tu historial en cuestión de minutos.

Si eres activo en foros en línea y en secciones de comentarios, asegúrate de usar distintos nombres de usuario para distintos sitios y suscripciones. Para gente que de forma activa hace publicaciones políticas o expresa opiniones en foros de películas, algo que hayas dicho en un grupo podría usarse en tu contra en otro.

Recordar todos esos nombres de usuario y contraseñas puede ser una lata, así que esta es una nueva oportunidad en la que un gestor de contraseñas podría ser de ayuda.

6. No participes en tests de fuentes que no sean de confianza

Los test de personalidad u otros tipos de tests pueden ser divertidos si estás en una web conocida, como Buzzfeed, Mental Floss, o Zimbio que no requieren que inicies sesión. Pero sé cauteloso cuando una web aleatoria te pide que inicies sesión a través de Facebook, Google u otras formas.

Estos tests en línea suelen preguntar cosas que pueden sonsacar respuestas para varias preguntas de seguridad de cuentas, como el nombre de tu primera mascota, la escuela a la que fuiste y el nombre de tu amigo más antiguo.

Mientras crees que simplemente estás realizando un divertido test, los datos personales que estás exponiendo podrían ser un tesoro para doxers y ciberdelincuentes.

Ejemplos de doxing

Está lleno de casos de doxing de alto perfil alrededor del mundo. Ya sean ataques personalizados o masivos volcados de datos de brechas de webs, los ataques de doxing han conseguido aparecer en las noticias. Aquí tienes algunos ejemplos:

Protestas en Hong Kong

Las políticas respaldadas por Beijing en Hong Kong empezaron yendo tras los doxers que seguían ataques a la policía y a los antidisturbios. Los disidentes empezaron a publicar información como las direcciones y las identidades de miembros de las familias durante las protestas antigubernamentales. Los ataques llevaron a una controvertida ley antidoxing que muchos críticos dicen que infringe la privacidad de los ciudadanos. La ley incluso vio como Facebook, Twitter y Google amenazaron con dejar Hong Kong.

La brecha Ashley Madison

En 2015, una web hecha a medida para citas para gente casada y tener relaciones extramatrimoniales, sufrió una brecha masiva. Los hackers amenazaron de doxear nombres de usuario, correos electrónicos y otra información personal reveladora, incluyendo direcciones físicas y detalles privados obtenidos de las transacciones de tarjetas de crédito. Debido a la política de privacidad de Ashley Madison de nunca borrar la información de los usuarios, millones de personas fueron expuestas cuando la empresa rehusó acceder a las demandas de los hackers.

Maratón de Boston

En las frenéticas consecuencias del ataque con bomba en la maratón de Boston en 2013, muchos inocentes fueron doxeados por usuarios en Reddit intentando localizar a los sospechosos. Aunque la caza de los responsables tenía buenas intenciones, una persona identificada erróneamente acabó suicidándose después de ser doxeado y decir que era un sospechoso. Reddit pidió disculpas más adelante por el incidente.

Qué hacer si has sido doxeado

Ser doxeado puede ser una experiencia chocante y es esencial mantener la cabeza fría cuando te has convertido en una víctima. Si alguien ha expuesto tus datos privados con malas intenciones, hay algunos pasos que debes tomar:

• Seguridad: Lo primero es lo primero, si estás preocupado por tu seguridad por cualquier motivo, vete de direcciones y ubicaciones conocidas. Intenta encontrar a alguien que te ayude a instalarte y contacta con la policía local.
• Centrarse en la documentación: Incluso si la información que se ha publicado fuera algo embarazoso o información que realmente no querrías que estuviera por ahí fuera, debes hacer capturas de pantalla y guardarlas para más tarde. Las necesitarás si quieres tomar acciones legales. Asegúrate de conseguir las URL completas, nombres de usuario, información de la cuenta y cualquier otra cosa que pueda ayudar a las autoridades a identificar el doxer.
• Cambiar contraseñas: En los ataques de doxing, es posible que una cuenta haya sufrido una brecha. Si tienes la misma contraseña en distintas cuentas, podrían acceder a más información sensible. Asegúrate de que las contraseñas son fuertes (mayúsculas, minúsculas, números y símbolos) y distintas.
• Bloquea tus finanzas: Si tu información financiera personal ha sido esparcida por todo Internet, asegúrate de cancelar las tarjetas de crédito y débito, y alerta a tu banco u otras instituciones financieras.
• Informa de los ataques: Contacta con la plataforma donde has sido doxeado, ya que muchas empresas de redes sociales incluyen reglas antidoxing en sus términos de servicio. Google tiene una página donde puedes solicitar que se elimine tu información personal. Si te han doxeado, también puedes contactar con la policía local o, si vives en los EE. UU., rellenar una denuncia en el Internet Crime Complaint Center (IC3) del FBI.

Conclusiones clave

Mientras que tal vez no se considere completamente ilegal, el doxing puede tener efectos en la vida y en el largo plazo para las víctimas. En el mundo actual, tendemos a poner un montón de detalles personales en línea sin pensárnoslo dos veces. Todo lo que se necesita es una interacción con alguien en Internet, y todos esos detalles podrían convertirse en objetivos de usuarios malintencionados de Internet. Esto podría resultar con todo tipo de problemas, como por ejemplo el swatting. En resumen, necesitas proteger tu identidad en línea.

Asegúrate de ajustar la configuración de privacidad en tus redes sociales al nivel más alto, y toma precauciones, como conseguir una VPN y establecer contraseñas fuertes, para protegerte de los ataques de doxing.