doxing legalidad limites

Luisa Bernal, periodista de Maldita.es y coordinadora de Maldito Timo, me escribió hace un par de semanas con el fin de pedir mi opinión sobre algunos de los casos recientes de supuestos doxing a famosos.

¿El más conocido? Pues el que sufrió Luis Rubiales al exponer una cuenta de Google Drive, y por tanto, su correo personal.

Me pasó varias preguntas y se las respondí, con el fin de que acabasen publicando un reportaje en el medio en el que me mencionan, y que enlazaré al final de este.

Básicamente, hablamos de lo siguiente:

¿Es el caso de Luis Rubiales un doxing?

Claramente sí.

La definición de doxing, como ya expliqué en este otro artículo, es la de un un conjunto de técnicas destinadas a recopilar información sobre un objetivo, sea persona u organización, por vías habitualmente telemáticas.

Esto generalmente se lleva a cabo mediante técnicas OSINT… como en parte es lo que ha acabado ocurriendo en este caso.

Luis Rubiales publicó un contenido en sus perfiles de redes sociales desde el que se podía saber cuál era la cuenta de correo personal.

El doxer, en ese momento, ya tiene un indicio del que partir. Uno además que es profundamente valioso, ya que a fin de cuentas, en entornos digitales, nuestro correo es el principal sistema de identificación que tenemos.

Con el doxing, además de que podrían intentar robarnos la cuenta, ¿existe algún otro peligro al que podríamos exponernos?

Así es.

Precisamente en el caso de Luis Rubiales, al conocer su correo personal muchos investigadores (y bastantes más doxers) estuvieron buscando dónde podría tener Rubiales cuenta.

Entre ellas, se hizo viral su aparición en bases de datos de servicios de pornografía y de contactos extramatrimoniales.

Ahora bien, mucho ojo con estos descubrimientos.

Perfectamente puede que, en efecto, Rubiales tuviera perfiles en estos servicios… o bien que cualquiera que quiera en estos días generarle una crisis reputacional, le haya creado un perfil en dichos servicios usando su correo.

Fíjate que hace unos meses publiqué un artículo en el que explicaba cómo en EliminamosContenido estuvimos ayudando a una chica que estaba sufriendo una crisis reputacional por contenido fake que unos doxers habían publicado sobre ella, con el fin no de hacerle daño a ella directamente, sino a su hermano, que era un conocido youtuber.

De este tipo de casos lamentablemente nos llegan muchos cada semana.

Dependiendo de cómo esté diseñado el sistema de identificación de estas plataformas, puede que incluso sin recibir la confirmación del correo de la víctima (el típico código de verificación que se suele enviar para confirmar que el correo es legítimo), la cuenta ya aparezca listada en la base de datos del servicio, y por tanto, de nuevo, dependiendo de cómo esté diseñada la herramienta, al intentar meter el correo como usuario, informe incorrectamente que esta persona ya tiene cuenta en el servicio.

Eso y que, obviamente, con el correo de una persona podemos buscar en herramientas como haveibeenpwned.com si este correo ha sufrido alguna brecha de seguridad previamente. Y como seguramente haya varias brechas en las que ha sido afectado, identificar en cada una de ellas información que podría ser terriblemente sensible de la víctima, como pueden ser datos personales, contraseñas, geolocalizaciones…

Respecto al doxing, ¿se trata de una práctica ilegal o depende de la información que se comparte? ¿También dependería de cómo se ha obtenido la información?

Pues has dado justo en el clavo.

Realmente el doxing como tal no ilegal… siempre y cuando para recopilar esa información hayas usado, como decía, herramientas OSINT, es decir, herramientas de análisis de FUENTES ABIERTAS, y tu fin no sea exponer pública y dañinamente a la persona u organización.

Un contenido publicado en redes sociales de manera pública… está en abierto, y, por tanto, si es accesible por cualquier otro usuario, el recopilarlo no entraña ninguna ilegalidad.

Ahora bien, otra cosa es que además de recopilar, lo uses con fines maquiavélicos.

Por ejemplo, generalmente asociamos el doxing a ataques reputacionales contra víctimas. En ese caso, se recurre a herramientas de acceso público… pero también privado (hacking), y además se suele exponer públicamente con el fin de que el resto de la comunidad afín al doxing realice ataques contra esa persona o personas.

Por poner el ejemplo nuevamente de Luis Rubiales, claramente hay un interés en una parte significativa de usuarios en desacreditar al antiguo presidente de la RFEF.

En este caso, los culpables no son aquellos que simplemente se dieron cuenta e incluso señalaron públicamente que en su contenido se podía ver el usuario de correo que tenía. Pero Rubiales probablemente sí podría entablar acciones legales contra aquellos que han manchado su nombre públicamente acusándolo de adúltero.

Para terminar, dejo por aquí el enlace al reportaje que acabaron publicando (ES).

Newsletter nuevas tecnologias seguridad

Imagínate recibir en tu correo semanalmente historias como esta

Suscríbete ahora a «Las 7 de la Semana», la newsletter sobre Nuevas Tecnologías y Seguridad de la Información. Cada lunes a las 7AM horario español un resumen con todo lo importante de estos últimos días.