Doxing: el peligro del exceso de información

¿Cómo de peligroso puede ser revelar información personal en Internet? Los políticos y las celebridades lo experimentan cada vez más en sus propias carnes. Los delincuentes, los acosadores online y otras personas con intenciones difamatorias recopilan y publican la información más íntima de la víctima y, por lo tanto, generan daños sustanciales. Se dice que los criminales hacen “doxingˮ a sus víctimas. ¿Qué significa esto y por qué lo hacen los criminales?

Muchos ataques cibernéticos son realizados por los llamados hackers. Estos programan virus, aprovechan agujeros en la seguridad y realizan ataques basados en el software. En estos casos, los delincuentes son especialistas con conocimientos informáticos y de programación al más alto nivel. Sin embargo, en la mayoría de los casos, los perpetradores de doxing no requieren conocimientos específicos. Sus herramientas son la perseverancia, la motivación y ganas de delinquir.

Los ataques de doxing siempre tienen lugar en dos etapas: recolección de datos y publicación. En el primer paso, los atacantes recopilan toda la información disponible de la víctima. Esto engloba direcciones privadas, incluyendo direcciones de correo electrónico, números de teléfono, los nombres de los miembros de la familia, cuentas de medios sociales, fotos privadas y, a veces, datos bancarios. Los datos son tan diversos como los lugares de donde se obtienen.

• Redes sociales: la gente publica muchas fotos y también información muy personal en redes sociales, donde están a la vista de todo el mundo.
• Páginas web: el pie de imprenta de un sitio web o blog contiene datos concretos de personas y empresas.
• Direcciones y directorios telefónicos: también se pueden encontrar en línea bases de datos con direcciones y números de teléfono.
• Bases de datos pirateadas: en esta modalidad, los atacantes piratean bases de datos en la nube o protegidas y obtienen información sensible de ellas. Estos datos se pueden después poner a la venta en la darknet, donde son adquiridos por los atacantes de doxing.
• Ingeniería social: los atacantes se hacen pasar por personas de confianza en Internet y manipulan a las víctimas y a sus familiares para que entreguen la información voluntariamente.

Muchos ataques de doxing tienen lugar exclusivamente con información de libre acceso. Al asociar los datos y el contexto en el que tiene lugar la publicación, se revela información sobre la víctima que puede usarse para su prejuicio.

En el segundo paso, la información recopilada se difunde para que llegue a la mayor cantidad de gente posible. Con este fin, los atacantes crean cuentas falsas en los medios sociales y publican los documentos en plataformas anónimas. Su objetivo es que el mayor número posible de personas tengan acceso a esta información y la difundan para aumentar los daños. A menudo, la publicación está asociada con amenazas que también son visibles para otros usuarios y que también pueden salir del ámbito de Internet.

El doxing raras veces tiene el fin de chantajear, los atacantes a menudo no buscan dinero. La información recopilada no suele ser lo bastante explosiva para esto. En la mayoría de los casos, los atacantes solo quieren hacer daño a las víctimas. Los motivos principales son, por lo tanto, en la mayoría de los casos, la venganza, justicia extrajudicial o daño a opositores políticos. Por esto, las víctimas son a menudo políticos, periodistas o personalidades prominentes que se han expresado políticamente. El doxing se utiliza también como arma en conflictos personales. En estos casos se trata sobre todo de romper el anonimato del oponente.

En estos casos, la principal motivación es el odio: los perpetradores no quieren enriquecerse, sino simplemente dañar a la víctima. La publicación de los datos ejerce presión sobre las víctimas. Transmite a estas el mensaje de que la persona está en el punto de mira de los opositores y que estos también están dispuestos a utilizar medios ilegales. También se hace para incitar a otras personas de ideas afines a llevar las cosas más lejos, desde cartas amenazantes, swatting (falsas denuncias a la policía contra la víctima) hasta actos reales de violencia. El objetivo es intimidar a las víctimas hasta el punto de que tengan miedo de aparecer en público.

A menudo, los perpetradores de doxing intentan obtener reconocimiento en la escena en la que se mueven. No es raro que los atacantes se jacten de sus actos, por supuesto, detrás de un seudónimo.

En diciembre de 2018, tuvo lugar en Alemania uno de los ataques de doxing más notables de Europa. Un usuario de Twitter publicó datos de políticos, periodistas, presentadores, YouTubers, músicos y actores. En algunos de los casos, la información difundida era relativamente inofensiva o estaba desactualizada, pero en muchos de ellos se publicaron direcciones de correo electrónico y números de teléfono privados, direcciones de domicilios particulares e incluso datos bancarios. El ataque incluyó también conversaciones privadas, por ejemplo, chats del Facebook Messenger. El presunto autor fue capturado, entre otras cosas, porque se jactó en Internet de haber cometido los crímenes.

Incluso los activistas del colectivo Anonymous reconocen haber utilizado esta práctica contra oponentes políticos en el pasado. Entre las motivaciones se encuentran cometer justicia por cuenta propia, la humillación pública y la intimidación.

En principio, todos los usuarios de Internet son vulnerables a un ataque de doxing. Son particularmente vulnerables a esto las personas que están involucradas en actividades políticas en Internet o que se expresan políticamente en blogs, videos o publicaciones en redes sociales. En el curso de una campaña de acoso online, los atacantes también pueden recurrir al doxing.

Como algunos de los criminales eligen a las víctimas de forma aleatoria, todos los usuarios de Internet son susceptibles de caer en estos ataques, por lo que es importante presentar solo la información esencial sobre uno mismo y seguir los principios de la llamada economía de datos. Si los atacantes no encuentran ningún dato personal, es poco probable que ataquen.

Si eres una víctima de doxing y recibes amenazas e insultos, debes acudir a la policía y presentar una denuncia. También puedes contactar de forma proactiva a las plataformas en las que se publicó la información y solicitar que se eliminen los datos. Antes de denunciar, se recomienda tomar capturas de pantalla.