#MundoHacker: El doxing y la huella digital que dejamos en la red

doxing Es quizás uno de los riesgos más desconocidos por los cibernautas, y paradójicamente, de los más peligrosos. Algo a lo que todos nosotros estamos expuestos, y que podría salpicarnos en cualquier momento.

Por ello, en este nuevo capítulo de la serie #MundoHacker, donde tratamos en varios tutoriales las medidas para atacar y/o defenderse en el mundo digital, hablaremos sin tapujos de qué es el doxing, con algunos ejemplos más recientes, y sobre todo, con medidas que podemos tomar para defendernos de sus consecuencias.

Comencemos.

¿Qué es el doxing, y por qué debería preocuparme?

El doxing es un conjunto de técnicas destinadas a recopilar información sobre un objetivo, sea persona u organización, por vías habitualmente telemáticas.

Las campañas OSINT son un ejemplo de cómo el doxing puede ser llevado a cabo sin realizar acciones ilegales, simplemente accediendo a información que es pública en la red. Pero el doxing no tiene por qué quedarse ahí, y según el caso (y la ética de quien lo esté realizando), podría llegar mucho más lejos.

En líneas generales, el doxing está más cercano a la ingeniería social que al hacking propiamente dicho, puesto que solo cubre la fase de recopilación de información. Pero es habitual que este trabajo tenga unos objetivos que pueden ser más o menos loables: Desde detener a un grupo terrorista, pasando por la extorsión o ciberbullying de usuarios o la caza de brujas pública, hasta campañas de phishing o ataques dirigidos a personas o entidades.

En un doxeo, se puede obtener desde un correo electrónico hasta las claves de una cuenta bancaria. Incluso es posible recopilar información de toda una vida revisando paso a paso las huellas dejadas por la víctima (y sus allegados):

Nombres y apellidos, edad, ocupación, dirección, cuentas bancarias y de Internet, redes sociales, números de teléfono, intervenir correos, mensajes privados, SMS, documentos de identidad,  padres, hermanos, esposa, hijos, relación sentimental, fotos de su casa, créditos hipotecarios, matrícula del coche, seguro social y mucho, mucho más. Todo lo que se le ocurra.

El doxing se alimenta de la inmediatez de la tecnología, pero no siempre comienza y acaba en esta. Muchas veces el doxing se basa de un pequeño indicio, una corazonada, encontrando por ejemplo datos en un archivo, una foto, un nombre, una frase, una fecha, una dirección o un mail. Y de ahí se tira hasta sacar prácticamente lo que queramos, como demostraba en aquel otro capítulo de MundoHacker sobre toda la información que se puede obtener de una persona.

Algunos casos conocidos de doxing

Es habitual pensar que usted, como un servidor, estamos fuera de todo peligro al no ser personajes conocidos, o con una responsabilidad profesional que pueda ser objetivo de ataques. Pero la realidad es bien distinta.

Existen herramientas de doxing que automatizan prácticamente todo el proceso, como demostraba recientemente en el análisis de XNSPY, un software espía dirigido a dispositivos móviles. La cantidad de información obtenida por este software (que recuerdo, costaba alrededor de 10 dólares mensuales) es terrible, y entre sus clientes, no suelen estar grandes agencias de inteligencia ni grupos de espionaje, sino simplemente parejas desconfiadas y jefes preocupados por el uso que le dan sus trabajadores al móvil de empresa.

La víctima podría ser por tanto personas como usted y como yo, que quizás un buen día decide realizar un comentario público sobre X tema específico. Ese comentario, alojado en un servicio digital, tiene la mala fortuna de ser recompartido, de llegar a miles de personas, enfadando a algunas de ellas lo suficiente como para que en un foro como 4chan o Reddit, de la noche a la mañana, las críticas a su comentario pasen a transformarse en una campaña de doxing masiva, llegando incluso a amenazas de muerte.

Esto lo veíamos recientemente con la persecución que sufrieron varios representantes del movimiento GamerGate. La feminista Anita Sarkeesian reconocería más adelante que tuvo que irse de su domicilio por miedo a que alguien cumpliera las amenazas (EN) que múltiples usuarios le lanzaron por internet. En cuestión de horas, toda su vida (rutinas diarias, domicilio, familiares, cuentas en RRSS) había sido publicada y compartida por cientos de usuarios anónimos radicalmente opuestos a las declaraciones que Anita había hecho en su perfil.

El ataque que sufría hace unos meses Sony es otro ejemplo de doxing. En este caso, un desacuerdo con la manera en la que la compañía afrontó el tema político del Norte de Corea en una de sus últimas películas desencadenó un ataque que se saldó con la publicación de cientos de documentos e emails confidenciales de varios de sus directivos, dejándolos en una verdadera crisis reputacional, y generando una guerra de DDoS entre EEUU y Corea del Norte.

Pero si nos remontamos a los inicios del doxing, este sin lugar a dudas ha estado relacionado con el ciberactivismo de “colectivos” como Anonymous, que ya en 2011 exponían datos de más de 7000 trabajadores de las fuerzas de la ley encargados de supervisar los casos judiciales contra hackers, o que en 2014 revelaban varias de las identidades de los dirigentes del Ku Klux Klan, mediante un hackeo a su cuenta de Twitter (EN).

¿Cómo defenderse del doxing?

No hay una manera sencilla de evitar ser víctima de un doxeo.

Si los atacantes cuentan con los recursos suficientes, prácticamente no tenemos manera de defendernos. Lo que sí podemos hacer es minimizar, en la medida de lo posible, los daños producidos. Y en algunos casos (menos recursos), quizás evitar que el interesado en nuestra información consiga la suficiente información como para que el ataque posterior, sea cual sea, no acabe afectándonos a facetas más críticas de nuestra vida.

Y todo pasa, como cabría esperar, por segurizar nuestros perfiles sociales y evitar dejar una huella digital de la que el día de mañana podamos arrepentirnos. El principal problema de internet tal y como hoy está estructurado es que resulta muy sencillo subir algo, y muy complicado eliminarlo. JustDeleteMe En JustDeleteMe (EN) podemos encontrar información sobre la facilidad o dificultad (o simplemente imposibilidad) de borrar nuestra cuenta y los datos personales almacenados en un determinado sitio web. Muchos de los servicios que usamos a diario directamente no borran la información incluso cuando nosotros activamente le damos a eliminar.

Es información que el día de mañana podría salir en una campaña de doxing, como ocurría hace unos meses con todos los datos de usuario (actuales y antiguos, que incluso habían pagado por eliminar su cuenta al servicio) de la página de citas Ashley Madison: 32 millones de datos de personas infieles que han servido a terceros para realizar campañas de extorsión, y también para poner en relieve el debate que por aquí llevamos tiempo defendiendo.

Quizás no deba publicar eso en internet. Quizás la salida a todo este problema esté bien en una legislación que anteponga los intereses del usuario frente a los de las compañías, bien en apostar por tecnologías que ofusquen o tergiversen la información que estos servicios están acaparando de nosotros, sea voluntaria o involuntariamente.

 

________

Realizar este tipo de artículos me lleva varias horas, y en algunos casos, gastos extra que habitualmente suplo de mi bolsillo, o gracias a esa comunidad de patronos que me apoyan realizando donaciones puntuales o periódicas.

Si le gustaría ver más de estos tutoriales y análisis por aquí. Si el contenido que realizo le sirve en su día a día, piense si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.

hazme patrono pabloyglesias