El doxing, que es la abreviatura de “dóxing dox” (“dox” en inglés de documentos), es la práctica maliciosa de recopilar y divulgar públicamente la información personal de alguien, como sus direcciones particulares, números de teléfono, información financiera u otros datos personales, sin el consentimiento de la víctima.
Índice
Definición de doxing
El doxing se produce cuando alguien analiza información personal sobre una persona, como su nombre real, dirección o mensajes privados, y la comparte públicamente sin su consentimiento. A menudo se hace para intimidar, avergonzar o poner en riesgo a alguien.
El término comenzó a llamar la atención en la década de 1990, cuando los hackers expondrían las identidades de los rivales que se escondían detrás de los nombres de usuario. Al revelar quiénes eran realmente, estos hackers podían eliminar su anonimato y hacerlos vulnerables a otros, incluidas las autoridades.
Hoy en día, el doxing es, por desgracia, una táctica común en los conflictos online. A menudo se utiliza para dirigirse a las personas por sus creencias u opiniones, especialmente cuando esos puntos de vista entran en conflicto con la agenda de otra persona.
¿Es el doxing ilegal en el Reino Unido?
En el Reino Unido, el doxing puede ser ilegal dependiendo de las circunstancias. Si bien no existe una ley específica contra el doxing, puede estar incluida en la Ley de protección de datos de 2018, la Ley de comunicaciones maliciosas de 1988 o la Ley de protección frente al acoso de 1997. Si el doxing implica compartir datos personales sin consentimiento, provoca acoso, amenazas o daños, puede considerarse un delito penal.
Aquellos declarados culpables podrían enfrentarse a multas o penas de prisión. Para mantenerse protegidos, las personas deben limitar su exposición en línea e informar de incidentes a las autoridades. A medida que crecen las preocupaciones sobre la privacidad en línea, las leyes del Reino Unido están evolucionando para combatir el doxing de forma más efectiva.
Cómo funciona el doxing
Los doxers emplean una serie de tácticas para recopilar información personal de fuentes de acceso público o mal protegidas:
Rastreo de nombres de usuario
Los nombres de usuario coherentes en todas las plataformas facilitan a los atacantes la conexión de perfiles en línea y la creación de una imagen completa de la actividad en línea de un objetivo.
Perfiles de redes sociales
Si sus cuentas de redes sociales son públicas, cualquiera puede encontrar información que usted publique en estas cuentas. Esto puede incluir detalles como etiquetas de ubicación, fotos de familiares o amigos, detalles del trabajo e incluso algo tan simple como el nombre de su mascota. Esta información puede proporcionar pistas valiosas que los doxers pueden utilizar para agrupar perfiles personales o incluso ayudar a los doxers a responder preguntas de seguridad para secuestrar otras cuentas que usted posee.
Seguimiento de direcciones IP
Los doxers pueden utilizar varios métodos para descubrir la dirección IP de un objetivo para aproximarse a su ubicación. A continuación, pueden utilizar técnicas de ingeniería social en el proveedor de servicios de Internet (ISP) del objetivo para obtener más información sobre la víctima.
Rascado y agregación de datos
Los atacantes utilizan software para recopilar y compilar pequeños puntos de datos de diferentes fuentes, creando un perfil detallado de su objetivo a partir de detalles aparentemente insignificantes.
Anular búsqueda de teléfono móvil
Al introducir un número de teléfono en los servicios de búsqueda, los doxers pueden asociar ese número a un nombre, dirección y posiblemente otra información confidencial.
Ejecutar una búsqueda WHOIS en un nombre de dominio
Si un objetivo posee un nombre de dominio, su información se almacenará en un registro. Si el objetivo no ha elegido ocultar sus datos en el registro, los doxers pueden utilizar una sencilla búsqueda WHOIS que puede revelar información de contacto registrada como nombre, número de teléfono, direcciones, correo electrónico y otra información personal.
Phishing
Los correos electrónicos o mensajes falsos se pueden utilizar para engañar a los objetivos para que revelen detalles privados como credenciales de inicio de sesión o información de contacto, que los atacantes utilizarán para aprovechar aún más a su víctima.
olfateo de paquetes
Si un Doxer puede obtener acceso a su red, puede utilizar el análisis de paquetes para supervisar e interceptar paquetes de datos específicos que pueden contener información confidencial como contraseñas, datos de cuentas bancarias, números de tarjetas de crédito y otra información que le gustaría obtener.
Uso de agentes de datos
Los corredores de datos recopilan, analizan y venden o licencian información de consumidores a otras empresas generalmente con fines de marketing. Estos brokers de datos suelen crear un perfil para una persona que contiene cosas como intereses, aficiones, datos demográficos y otros datos a los que pueden acceder.
Normalmente obtienen información de fuentes públicas, empresas externas, encuestas y otras fuentes.
Desafortunadamente, esta información puede acabar en la web oscura y luego puede ser utilizada por los doxers por una pequeña tarifa.
¿Qué información buscan los doxers?
Los doxers suelen buscar varios tipos de información personal para crear un perfil completo en su objetivo, a menudo con una intención perjudicial:
Direcciones particulares
Uno de los puntos de datos más comunes que buscan los doxers es la dirección particular de una persona. El acceso a esta información les permite escalar el acoso o las amenazas a un nivel físico, haciendo que la víctima se sienta insegura en casa.
Números de teléfono
Los números de teléfono permiten a los doxers acosar directamente a las víctimas mediante llamadas o mensajes de texto. También pueden utilizar servicios de búsqueda inversa para descubrir detalles personales adicionales o realizar ataques de ingeniería social haciéndose pasar por el objetivo.
Direcciones de correo electrónico
Las direcciones de correo electrónico son una puerta de entrada a más acoso, ataques de phishing y spam. Con un correo electrónico, los doxers pueden intentar piratear las cuentas en línea del objetivo, lo que a menudo conduce a más filtraciones de datos.
Empleo y cargo
Saber dónde trabaja alguien permite a los doxers centrarse en su vida profesional, a veces poniéndose en contacto con el empleador de la víctima para difundir información falsa. Este tipo de acoso puede dañar la reputación e incluso poner en peligro el empleo.
Información financiera
Los datos financieros confidenciales, como la información de la cuenta bancaria o los números de las tarjetas de crédito, son muy valiosos para los doxers. El acceso a los datos financieros puede provocar robo de identidad, transacciones no autorizadas o chantaje.
Número de la seguridad social (SSN) o números de identificación nacional
Con un número de Seguro Social o una identificación nacional, los doxers pueden cometer un robo de identidad, abrir cuentas de crédito en nombre de la víctima o hacerse pasar por la víctima para acceder a otros datos confidenciales, lo que provoca consecuencias financieras y legales a largo plazo.
Perspectivas éticas y legales sobre el doxing
La legalidad del doxing varía según la jurisdicción. En algunas regiones, las leyes prohíben explícitamente el doxing, mientras que en otras, entra en un área gris legal. Por ejemplo, EE. UU. tiene leyes contra el acoso y el ciberacoso que pueden aplicarse al doxing, pero no todos los casos cumplen los criterios legales para el enjuiciamiento. El Reglamento General de Protección de Datos (RGPD) de la Unión Europea también protege a las personas frente a la exposición de datos personales sin consentimiento, añadiendo otra capa de defensa contra el doxing.
Desde el punto de vista ético, el doxing está ampliamente condenado como una invasión dañina de la privacidad. Aunque algunas personas abogan por la transparencia o la “libertad de información”, la exposición de la información de otra persona sin su consentimiento generalmente se considera peligrosa y poco ética.
Cómo protegerse frente al doxing
La prevención del doxing comienza con prácticas proactivas de privacidad en línea:
Revise la configuración de privacidad de las redes sociales
Restrinja la visibilidad del perfil y sea selectivo con las solicitudes de amistad. Limite la cantidad de información personal que se muestra públicamente.
Utilice contraseñas seguras y autenticación de dos factores (2FA)
Proteja sus cuentas con contraseñas seguras y habilite 2FA para una capa adicional de seguridad.
Limite la información personal compartida en línea
Evite publicar datos como su dirección particular, número de teléfono o ubicación en redes sociales u otras plataformas públicas.
Usar VPN
Una red privada virtual (VPN) puede ocultar su dirección IP, lo que dificulta que los atacantes realicen un seguimiento de sus actividades en línea o le localicen físicamente.
Supervisar regularmente la presencia en línea
Busque su nombre y datos personales periódicamente para comprobar si hay información no autorizada publicada en línea.
Ocultar registros de dominio
Utilice la protección de privacidad de dominio para ocultar información personal en los registros WHOIS, reduciendo el riesgo de que los doxers accedan a sus datos de contacto.
Al adoptar estas prácticas, las personas pueden reducir el riesgo de doxing y mantener un mayor control sobre su información personal.
Pasos a seguir si ha sido doxado
Si descubre que ha sido víctima de doxing, es fundamental que tome medidas inmediatas:
Póngase en contacto con la plataforma o el sitio web
Solicite la eliminación de su información de cualquier sitio donde se haya publicado.
Informe del incidente a las autoridades
Para casos que impliquen amenazas o acoso, presente un informe ante las fuerzas de seguridad locales o las agencias de cibercrimen.
Notificar a amigos, familiares o compañeros
Informe a las personas cercanas a usted de la situación, especialmente si existe la posibilidad de que también sean objetivo.
Monitoree cuentas e informes de crédito en línea
Compruebe si hay alguna actividad inusual en sus cuentas o informe de crédito, ya que el doxing puede provocar robo de identidad o fraude financiero.
Busque ayuda profesional si es necesario
En casos graves, considere ponerse en contacto con un experto en ciberseguridad para obtener más ayuda y orientación.
Protéjase frente al doxing con Trend Micro CREM
El doxing destaca cómo la información personal o empresarial expuesta puede convertirse rápidamente en una amenaza grave. Cuando los datos confidenciales se hacen públicos, abren la puerta al acoso, al robo de identidad y a ciberataques aún más avanzados.
Trend Micro CREM (Cyber Risk Exposure Management), que forma parte de la plataforma Trend Vision One™, ayuda a las organizaciones a detectar, evaluar y reducir los riesgos de exposición antes de que se exploten. Con información proactiva e impulsada por inteligencia, CREM identifica vulnerabilidades, incluidas las relacionadas con filtraciones de datos o configuraciones erróneas, y fortalece su postura de seguridad general.
Joe Lee es Vice President of Product Management en Trend Micro, donde lidera la estrategia global y el desarrollo de productos para soluciones de seguridad de red y email empresarial.
Preguntas frecuentes (FAQ)
¿Qué significa doxing?
Doxing es el acto de exponer la información personal de alguien en línea sin su consentimiento.
¿Qué es doxing a alguien?
Significa revelar detalles privados sobre una persona, como su nombre o dirección, para dañarla o intimidarla.
¿Es el doxing ilegal?
Sí, en muchos lugares. Puede infringir las leyes de privacidad y tener consecuencias legales.
¿Qué es el doxing en las redes sociales?
Es cuando la información privada se comparte en plataformas como Twitter o Facebook, a menudo para avergonzar o acosar a alguien.
¿Cuál es el castigo por doxing?
Los castigos varían, pero pueden incluir multas, acciones legales o penas de cárcel, dependiendo de la gravedad y la ubicación.
¿Cómo parar el doxing?
Proteja la información personal, ajuste la configuración de privacidad e informe de cualquier doxing a las autoridades y plataformas.