El doxxing (o doxing) es un tipo de ciberataque que consiste en descubrir la verdadera identidad de un usuario de Internet. El atacante revela entonces los datos de esa persona para que otros puedan dirigirse a ella con ataques maliciosos. El Doxxing consiste en analizar la información publicada en línea por la víctima para identificar y posteriormente acosar a esa persona.
¿Qué es el Doxing?
El término “doxxing” viene de la expresión “dropping dox“, que era una táctica de venganza utilizada por los hackers en la que dejaban caer información maliciosa sobre un rival.
Hoy en día, el doxxing es una forma de OSINT y se utiliza para avergonzar o castigar a las personas que prefieren permanecer en el anonimato, debido a sus creencias controvertidas o a otro tipo de actividades no convencionales.
Como la mayoría de nosotros somos descuidados con la información que compartimos en Internet, tendemos a dejar un rastro de migas de pan que un ciberdelincuente puede utilizar para averiguar nuestra verdadera identidad, y luego desplegar una cadena de ataques maliciosos.
A esto se le llama doxxing, y ha arruinado la vida de más de una persona.
Casos Famosos de Doxing
Doxxing en Celebridades
No es raro que los periodistas se enteren de la información de la vida personal de un famoso y publiquen esos chismes en sus plataformas de medios. Sin embargo, el doxxing no es una noticia de entretenimiento habitual. En este caso, el hacker publica información sensible de la celebridad, como los datos de su tarjeta de pago, su dirección de correo electrónico, su número de seguridad social o sus números de teléfono.
Famosos como Paris Hilton, Kim Kardashian, Joe Biden, Hillary Clinton y el ex presidente Donald Trump -así como muchos otros- han sido víctimas de doxxing.
Ejemplo: En 2013, TMZ, informó de que un grupo de hackers rusos realizó doxxing a 12 celebridades y políticos de alto perfil al publicar sus números de la seguridad social, los importes de las hipotecas, la información de las tarjetas de crédito, los préstamos para automóviles, la información bancaria y otros datos en un sitio web.
Doxxing por venganza
A veces, la gente utiliza el doxing como medio de venganza. Publican en Internet algunos datos de identificación de su enemigo para avergonzarlo.
Ejemplo: En marzo de 2015, Curt Schilling, ex jugador de las Grandes Ligas de Béisbol, se vengó de las personas que publicaron comentarios sexualmente ofensivos sobre su hija en Twitter. Schilling investigó los verdaderos rostros detrás de los perfiles de Twitter de los trolls y realizó doxxing publicando sus verdaderas identidades en línea. Como resultado, uno de los acosadores fue despedido de su trabajo y otro fue suspendido de su colegio comunitario. Otros acosadores, cuyas identidades no se publicaron, se asustaron de este doxing y publicaron mensajes de disculpa. En este caso, Schilling utilizó el doxing para hacer justicia por mano propia.
Swatting Doxxing
Otra práctica relacionada con el doxxing es el Swatting. Swatting significa llamar en broma a la policía o a las unidades SWAT a la dirección de otra persona. En el ámbito de Internet, el doxxing de una víctima también puede dar lugar al swatting. Los hackers malintencionados encuentran la dirección de alguien y hacen falsas amenazas de bomba u otros incidentes graves, entonces la policía se presenta en la casa de las víctimas desprevenidas.
En diciembre de 2017, un incidente de este tipo provocó la muerte de Andrew Finch, de Kansas (Estados Unidos). Finch recibió un disparo mortal de un agente que respondía a una falsa disputa por violencia doméstica.
Finch, de 28 años, había jugado previamente a un juego de Call of Duty en línea y comenzó a pelearse con Tyler Barris, de 25 años. Otro jugador, bajo el nombre de usuario “Miruhcle”, intensificó el conflicto hasta alcanzar proporciones dramáticas. Proporcionó a Barris la dirección de la casa de Finch y le retó a hacer un swatting.
Barris ya había protagonizado dos incidentes de swatting, haciendo llamadas a la policía por falsas amenazas de bomba. Esta vez, el doxxing y el swatting dieron un giro hacia la tragedia. Barris envió a la policía a la casa de Finch informando falsamente de un asesinato y una situación de rehenes. La policía llegó a la casa de Finch y, cuando éste abrió la puerta, sucedió la tragedia.
Métodos de Doxing
Los ciberdelincuentes y los trolls pueden ser muy ingeniosos a la hora de hacer doxings. Pueden utilizar una sola pista, y luego seguirla hasta desentrañar lentamente tu persona en línea y revelar tu identidad.
Esto es lo que debes tener en cuenta si quieres permanecer en el anonimato en la red.
Revelar tu identidad a través de la información que publicas
Cuanto más escribas en foros y tableros de anuncios, más posibilidades tendrás de revelar accidentalmente información personal sobre ti. Si utilizas las redes sociales, es aún más peligroso.
Ni siquiera tienes que decir abiertamente dónde vives. En su lugar, es posible determinar aproximadamente tu ubicación por medio del descarte.
Por ejemplo, en un post dices que no vives en Europa. En otro dices que quieres visitar otro continente, así que eliges Asia.
Con sólo dos mensajes, el ciberdelincuente ha deducido que lo más probable es que vivas en América.
En otro post, dijiste que Stripe no está disponible en tu país, pero que Paypal es la pasarela de pago dominante.
A estas alturas, tu posible ubicación se ha reducido a 3-4 países.
A medida que el doxxer va examinando tu información, va descubriendo poco a poco en qué país vives, e incluso tu ciudad actual.
Packet sniffing
El packet sniffing es un método de hacking en el que el doxxer intercepta tus datos de Internet, buscando información valiosa sobre ti, como correos electrónicos, contraseñas, datos de tarjetas de crédito, etc.
Básicamente, el doxxer se conecta a una red, como una Wi-Fi, rompe sus medidas de seguridad y después intercepta todos los datos que entran y salen de la red.
Es más, el hacker malicioso tiene acceso a estos datos en tiempo real, por lo que todo lo que escribas en un formulario aparecerá simultáneamente en su pantalla.
Aquí tienes una guía más completa sobre cómo puedes protegerte de un ataque relacionado: el evil twin.
Cotejar información entre una persona en línea y un perfil en las redes sociales
Ross Ulbricht fue el fundador del infame sitio web de la red oscura Silk Road, que comerciaba con dr0g@s, @rm@s, etc.
Para ocultar su identidad, utilizaba el apodo de “Dread Pirate Roberts”.
La policía pudo relacionar a Ross Ulbricht y a Dread Pirate Roberts en parte porque ambos “personajes” decían ser a) libertarios b) seguidores del Instituto Mises c) ambos querían crear “una simulación económica de cómo sería vivir en un mundo sin el uso sistemático de la fuerza“.
Durante el juicio, Ross Ulbricht construyó su defensa alegando que él entregó la cuenta de Dread Pirate Roberts, y que alguien más convirtió a Silk Road en el punto neurálgico de Internet para el comercio ilícito.
En cuanto a las coincidencias, esto era demasiado para creer. El juez desestimó la defensa y condenó a Ross Ulbricht a una larga temporada en la cárcel.
Los Doxxers analizan los metadatos de los archivos
Los archivos de Microsoft Office, como los documentos de Word o Excel, tienen algo llamado “metadatos“.
Se trata de información sobre el documento, que se puede encontrar haciendo clic con el botón derecho en un archivo de Microsoft Office -> Propiedades -> Detalles.
Esta sección contiene datos sobre quién hizo el archivo, cuándo, desde qué ordenador, la empresa que lo hizo e incluso el tiempo total de edición.
Simplemente echando un vistazo a estos metadatos, un doxxer puede aprender mucho sobre ti. Aquí tienes una guía de Microsoft sobre cómo Ver, Editar y Eliminar Metadatos en Archivos de Word (y también para Libre Office).
Pero, no sólo los archivos de Microsoft Office recuerdan los metadatos, incluso las fotos tienen algo similar llamado datos EXIF. Estos contienen datos sobre el modelo de la cámara o del smartphone, la resolución, la ubicación (si has activado el GPS) y la hora en que se tomó.
Doxxing a través del registro de IP
Los registradores de IP son herramientas utilizadas en Internet para averiguar la dirección IP de una persona. En pocas palabras, estos registradores adjuntan un código invisible a un mensaje o correo electrónico, y una vez que el receptor abre el mensaje, el código rastrea su dirección IP y la envía en secreto al registrador de IP.
Prevención del Doxxing
Protege tu dirección IP con una VPN/Proxy
VPN es la abreviatura de Virtual Private Network o Red Privada Virtual, y actúa como un filtro para el tráfico de Internet. Básicamente, el tráfico de tu PC u otro dispositivo entra en la VPN y adquiere sus propiedades de identificación, es decir, su dirección IP, ubicación y cualquier otro dato similar. Incluso cifra tus datos y hace que ni siquiera tu ISP sea capaz de averiguar tu dirección IP.
Un registrador de IP, por ejemplo, no revelaría tu IP personal real, sino la IP de la VPN.
Un servidor proxy es un poco diferente a una VPN, aunque funciona más o menos con los mismos principios. Por un lado, un servidor proxy no cifra tus datos como lo hace una VPN, por lo que un ISP conoce tu dirección IP real en todo momento. Como tu tráfico de Internet no está cifrado, también es más vulnerable a la piratería y a otros métodos de interceptación.
No utilices los botones de inicio de sesión con Facebook/Google
La mayoría de las aplicaciones y sitios web que requieren que te registres utilizan ahora los botones “Iniciar sesión con Facebook” o “Iniciar sesión con Google“.
Estos métodos de inicio de sesión te registran en el sitio web utilizando el correo electrónico que utilizaste para crear tu cuenta de Facebook o Google.
Pero, además de eso, le darás automáticamente al sitio web información adjunta a tu cuenta de Facebook/Google, como la ciudad actual, el trabajo, el número de teléfono, tu idioma nativo, información familiar y más.
Claro que no es tan cómodo, pero al introducir tus datos manualmente, puedes controlar el tipo de información que el sitio web tiene sobre ti.
Es especialmente importante seguir las mejores prácticas de seguridad de Facebook, para asegurar todas tus cuentas de redes sociales, incluyendo Instagram, y ser consciente de cómo los ciberdelincuentes piratean las contraseñas de Facebook, Instagram y Snapchat.
No utilices tu correo electrónico personal para registrarte en foros u otros sitios web similares
Lo más probable es que tu correo electrónico principal sea algo así:
[nombre][apellido]@gmail.com/yahoo.com/outlook.comEs una combinación sencilla y de aspecto profesional. Sin embargo, delata inmediatamente tu identidad si alguien la aprende.
En la mayoría de los casos, los foros tienen medidas de seguridad débiles, por lo que los hackers malintencionados pueden entrar en ellos y filtrar los correos electrónicos utilizados para registrar las cuentas.
Pero, si el sitio web muestra públicamente los correos electrónicos de los usuarios, entonces todo lo que un atacante tiene que hacer es simplemente comprobar su perfil de usuario.
Así que, como consejo para llevar, utiliza un correo electrónico diferente al tuyo principal cuando te registres en foros u otros sitios webs. De hecho, puedes utilizar correos electrónicos desechables como EmailNow.one.
Ocultar tus datos personales del WHOIS de un sitio web
Para tener un blog o un sitio web es necesario registrar el dominio de Internet con algunos datos personales. Esta información se almacena en una base de datos llamada WHOIS.
El problema es que esta base de datos es pública, lo que significa que todo el mundo puede ver la información utilizada para registrar un sitio web, incluyendo direcciones, números de teléfono, etc.
Sin embargo, pagando una pequeña cuota, puedes ocultar parte de tu información personal de la búsqueda pública.
Para editar tu información, sólo tienes que ir a tu registrador de dominios y ver las opciones que te ofrecen para hacer privada tu información de WHOIS. Por ejemplo, Namecheap te ofrece Whois privado gratuito al registrar aquí tu dominio.
Darse de baja de los sitios web de intermediarios de datos
Algunos sitios web funcionan como una especie de Páginas Amarillas. Buscan datos en Internet y los reúnen en un solo lugar. Esto puede incluir una dirección, un perfil en las redes sociales, fotos, un número de teléfono y un correo electrónico.
Si te resulta difícil de creer, no tienes más que consultar peoplefinder.com o whitepages.com. Sin embargo, te advertimos que la cantidad de información almacenada en este tipo de bases de datos puede ser francamente espeluznante.
Afortunadamente, la mayoría de estas empresas ofrecen una forma de excluirse y eliminar cualquier información que tengan sobre ti. Desgraciadamente, esto es malo para el negocio, así que lo hacen tan difícil y lento como sea posible.
El servicio que recomendamos, DeleteMe, limpia toda esta información por ti, para que no tenga que hacerlo. En cuanto entre en vigor el Reglamento General de Protección de Datos europeo a nivel mundial, las empresas se verán obligadas a facilitarte la eliminación de tu información. Hasta que eso ocurra, tienes que confiar en esta guía para evitar ser doxxeado.
Asegúrate de que Google no tiene ninguna información personal sobre ti
Esto puede ser una tarea bastante difícil, ya que tendrías que enfrentarte a una de las mayores corporaciones del mundo.
Antes que nada, tenemos algunas guías útiles:
- Cómo eliminar información confidencial de tus fotos en Windows 10
- Windows 10: Esto es lo que tu PC envía a Microsoft
- Debotnet: Controlar Configuraciones de Privacidad en Windows 10
- Cómo borrar el historial de búsquedas por voz que almacena Google
Simplemente busca tu nombre en Google y comprueba si has revelado quién eres en foros de Internet, Reddit, redes sociales de nicho, o cualquier otro sitio web similar.
Elimina toda la información que encuentres, incluidas las cuentas si ya no son valiosas para ti. Si no tienes acceso, pide al administrador de la web que lo haga por ti.
¿Cuánta información tiene Google sobre ti? Comprueba tu historial de Google escribiendo https://myactivity.google.com/myactivity en tu navegador cuando estés conectado a una cuenta de Google. Google también conoce tu ubicación: puedes encontrar tu mapa personal de Google con todos los lugares que has visitado en la URL https://www.google.com/maps/timeline.
Además, asegúrate de seguir las mejores prácticas de seguridad de las contraseñas. Por último, no reveles demasiada información sobre ti cuando utilices tu smartphone. Debes comprobar los permisos de tus aplicaciones y seguir de cerca la guía de seguridad para smartphones.
También puedes consultar DeleteMe, un servicio que elimina tus datos personales de Internet.
Conoce tus derechos
Si vive en la UE o en Argentina, te beneficias del llamado “derecho al olvido“. Esto te permite solicitar a un motor de búsqueda que elimine los resultados de búsqueda que te conciernen.
Las opciones legales disponibles en los Estados Unidos son más limitadas, pero Google, por ejemplo, ofrece una opción para eliminar el contenido sobre ti.
Conclusión
Al leer esto, podrías decir que estás a salvo del doxxing porque no tienes nada que ocultar. ¿Es eso realmente cierto?
No estamos insinuando que puedas hacer algo inmoral o ilegal. Estamos diciendo que todo el mundo tiene algunos aspectos de su vida que preferiría mantener en privado. Esos aspectos pueden ser inofensivos, pero deben seguir siendo privados. Pueden ir desde ocultar una sorpresa o un comentario posiblemente insensible de tu cónyuge hasta ocultar una opinión política de tus compañeros de trabajo, etc. Todo el mundo tiene algo que quiere mantener para sí mismo o compartir con una comunidad específica.
Además, hay mucha gente enfadada en Internet que recurre al doxxing para “ganar” una discusión. Cualquier comentario tuyo aparentemente inocuo tiene el potencial de atraer la ira de una turba de Internet.
Evita que te hagan doxxing. Sigue los pasos indicados en esta guía contra el doxxing para mantenerte seguro y anónimo. Para una mayor seguridad, aquí tienes una guía sobre la privacidad en línea que puedes poner en práctica en menos de una hora.
¿Has tenido que enfrentarte alguna vez a un perfil falso en las redes sociales? Si es así, cuéntanos tu historia en los comentarios y también lo que has aprendido del asunto.
