Es quizás uno de los riesgos más desconocidos por los cibernautas, y paradójicamente, de los más peligrosos. Algo a lo que todos nosotros estamos expuestos, y que podría salpicarnos en cualquier momento.
Por ello, en este nuevo capítulo de la serie #MundoHacker, donde tratamos en varios tutoriales las medidas para atacar y/o defenderse en el mundo digital, hablaremos sin tapujos de qué es el doxing, con algunos ejemplos más recientes, y sobre todo, con medidas que podemos tomar para defendernos de sus consecuencias.
Comencemos.
Índice de contenido
¿Qué es el doxing, y por qué debería preocuparme?
El doxing es un conjunto de técnicas destinadas a recopilar información sobre un objetivo, sea persona u organización, por vías habitualmente telemáticas.
Las campañas OSINT son un ejemplo de cómo el doxing puede ser llevado a cabo sin realizar acciones ilegales, simplemente accediendo a información que es pública en la red. Pero el doxing no tiene por qué quedarse ahí, y según el caso (y la ética de quien lo esté realizando), podría llegar mucho más lejos.
En líneas generales, el doxing está más cercano a la ingeniería social que al hacking propiamente dicho, puesto que solo cubre la fase de recopilación de información. Pero es habitual que este trabajo tenga unos objetivos que pueden ser más o menos loables: Desde detener a un grupo terrorista, pasando por la extorsión o ciberbullying de usuarios o la caza de brujas pública, hasta campañas de phishing o ataques dirigidos a personas o entidades.
En un doxeo, se puede obtener desde un correo electrónico hasta las claves de una cuenta bancaria. Incluso es posible recopilar información de toda una vida revisando paso a paso las huellas dejadas por la víctima (y sus allegados):
Nombres y apellidos, edad, ocupación, dirección, cuentas bancarias y de Internet, redes sociales, números de teléfono, intervenir correos, mensajes privados, SMS, documentos de identidad, padres, hermanos, esposa, hijos, relación sentimental, fotos de su casa, créditos hipotecarios, matrícula del coche, seguro social y mucho, mucho más. Todo lo que se le ocurra.
El doxing se alimenta de la inmediatez de la tecnología, pero no siempre comienza y acaba en esta. Muchas veces el doxing se basa de un pequeño indicio, una corazonada, encontrando por ejemplo datos en un archivo, una foto, un nombre, una frase, una fecha, una dirección o un mail. Y de ahí se tira hasta sacar prácticamente lo que queramos, como demostraba en aquel otro capítulo de MundoHacker sobre toda la información que se puede obtener de una persona.
Algunos casos conocidos de doxing
Es habitual pensar que usted, como un servidor, estamos fuera de todo peligro al no ser personajes conocidos, o con una responsabilidad profesional que pueda ser objetivo de ataques. Pero la realidad es bien distinta.
Existen herramientas de doxing que automatizan prácticamente todo el proceso, como demostraba recientemente en el análisis de XNSPY, un software espía dirigido a dispositivos móviles. La cantidad de información obtenida por este software (que recuerdo, costaba alrededor de 10 dólares mensuales) es terrible, y entre sus clientes, no suelen estar grandes agencias de inteligencia ni grupos de espionaje, sino simplemente parejas desconfiadas y jefes preocupados por el uso que le dan sus trabajadores al móvil de empresa.
La víctima podría ser por tanto personas como usted y como yo, que quizás un buen día decide realizar un comentario público sobre X tema específico. Ese comentario, alojado en un servicio digital, tiene la mala fortuna de ser recompartido, de llegar a miles de personas, enfadando a algunas de ellas lo suficiente como para que en un foro como 4chan o Reddit, de la noche a la mañana, las críticas a su comentario pasen a transformarse en una campaña de doxing masiva, llegando incluso a amenazas de muerte.
Esto lo veíamos recientemente con la persecución que sufrieron varios representantes del movimiento GamerGate. La feminista Anita Sarkeesian reconocería más adelante que tuvo que irse de su domicilio por miedo a que alguien cumpliera las amenazas (EN) que múltiples usuarios le lanzaron por internet. En cuestión de horas, toda su vida (rutinas diarias, domicilio, familiares, cuentas en RRSS) había sido publicada y compartida por cientos de usuarios anónimos radicalmente opuestos a las declaraciones que Anita había hecho en su perfil.
El ataque que sufría hace unos meses Sony es otro ejemplo de doxing. En este caso, un desacuerdo con la manera en la que la compañía afrontó el tema político del Norte de Corea en una de sus últimas películas desencadenó un ataque que se saldó con la publicación de cientos de documentos e emails confidenciales de varios de sus directivos, dejándolos en una verdadera crisis reputacional, y generando una guerra de DDoS entre EEUU y Corea del Norte.
Pero si nos remontamos a los inicios del doxing, este sin lugar a duda ha estado relacionado con el ciberactivismo de “colectivos” como Anonymous, que ya en 2011 exponían datos de más de 7000 trabajadores de las fuerzas de la ley encargados de supervisar los casos judiciales contra hackers, o que en 2014 revelaban varias de las identidades de los dirigentes del Ku Klux Klan, mediante un hackeo a su cuenta de Twitter.
¿Cómo defenderse del doxing?
No hay una manera sencilla de evitar ser víctima de un doxeo.
Si los atacantes cuentan con los recursos suficientes, prácticamente no tenemos manera de defendernos. Lo que sí podemos hacer es minimizar, en la medida de lo posible, los daños producidos. Y en algunos casos (menos recursos), quizás evitar que el interesado en nuestra información consiga la suficiente información como para que el ataque posterior, sea cual sea, no acabe afectándonos a facetas más críticas de nuestra vida.
Y todo pasa, como cabría esperar, por segurizar nuestros perfiles sociales y evitar dejar una huella digital de la que el día de mañana podamos arrepentirnos. El principal problema de internet tal y como hoy está estructurado es que resulta muy sencillo subir algo, y muy complicado eliminarlo. En JustDeleteMe (EN) podemos encontrar información sobre la facilidad o dificultad (o simplemente imposibilidad) de borrar nuestra cuenta y los datos personales almacenados en un determinado sitio web. Muchos de los servicios que usamos a diario directamente no borran la información incluso cuando nosotros activamente le damos a eliminar.
Todo esto, y bastante más, lo tratamos en profundidad en el Curso sobre Seguridad y Privacidad Online:
Es información que el día de mañana podría salir en una campaña de doxing, como ocurría hace unos meses con todos los datos de usuario (actuales y antiguos, que incluso habían pagado por eliminar su cuenta al servicio) de la página de citas Ashley Madison: 32 millones de datos de personas infieles que han servido a terceros para realizar campañas de extorsión, y también para poner en relieve el debate que por aquí llevamos tiempo defendiendo.
Quizás no deba publicar eso en internet. Quizás la salida a todo este problema esté bien en una legislación que anteponga los intereses del usuario frente a los de las compañías, bien en apostar por tecnologías que ofusquen o tergiversen la información que estos servicios están acaparando de nosotros, sea voluntaria o involuntariamente.
¿Necesitas ayuda profesional?
¿Hay algo en Internet que querrías que desapareciese? ¿Algún contenido que te está haciendo daño a nivel personal y/o profesional?
Nosotros te podemos ayudar con ello. Trabajamos junto a emprendedores, PYMEs y grandes empresas a la hora de dar salida a crisis reputacionales.
Si este es tu caso, no dudes en ponerte en contacto ahora:
________
Puedes ver más artículos de esta serie en #MundoHacker, donde tratamos en varios tutoriales las medidas para atacar y/o defenderse en el mundo digital.
Y si el contenido que realizo te sirve para estar actualizado en tu día a día, piensa si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.
Me gustó. Saludos y buenos días.
Me alegro Javi. Muchas gracias por el apoyo!
No hace falta estar On-Line, podemos empezar por el contenedor de la basura.
El día 25 de enero de 200X, en la sala del 092
se recibe un aviso comunicando que en la (c/………………), junto a un contenedor de
residuos sólidos hay una caja abierta llena de sobres con datos personales de particulares.
Es otra forma. Esas impresoras tiradas tienen demasiada información :).
Creo Pablo que cada vez es más importante investigar y aplicar técnicas de desinformación. Pero sobre todo, pensar antes de publicar información en Internet.
Así es Fernando. Así es. Ahora falta que cale en el grueso de la sociedad. O al menos en un porcentaje crítico, como está ocurriendo con los bloqueadores de publicidad.