Saltar al contenido principal

Definición de doxing

El término «doxing» es la abreviatura de «dropping dox», donde «dox» significa «documentos» en el lenguaje coloquial. Por lo general, el doxing es un acto malintencionado que se usa contra personas con las que el hacker no está de acuerdo o que no le gustan.

¿Qué es el doxing?

El doxing (a veces denominado doxxing) es el acto de revelar información de identificación sobre alguien online, como su nombre real, dirección particular, lugar de trabajo, teléfono, datos financieros y otros datos personales. Esa información se divulga sin el permiso de la víctima.

Si bien la práctica de revelar información personal sin consentimiento amenaza Internet, el término doxing surgió por primera vez en el mundo de los hackers online en la década de 1990, cuando el anonimato se consideraba sagrado. Las enemistades entre hackers rivales a veces llevarán a alguien a decidir «desvelar documentos» sobre otra persona, que antes solo se había conocido como un nombre de usuario o alias. «Docs» se convirtió en «dox» y finalmente se convirtió en un verbo (es decir, sin el prefijo «drop»).

La definición de doxing se ha ampliado más allá de la comunidad mundial de hackers y ahora se refiere a la exposición de información personal. Aunque el término aún se utiliza para describir el hecho de desvelar a usuarios anónimos, ese aspecto es menos relevante hoy en día, ya que la mayoría de nosotros usamos nuestros nombres reales en las redes sociales.

Recientemente, el doxing se ha convertido en una herramienta de las guerras culturales, ya que los hackers rivales lo aplican a aquellos con opiniones opuestas. Los usuarios que aplican el doxing desean ir más allá en su conflicto con determinados objetivos de Internet y hacer que la rivalidad pase al mundo real, revelando información como:

  • Domicilio
  • Detalles del lugar de trabajo
  • Número de teléfono personal
  • Número de la seguridad social
  • Información de la cuenta bancaria o tarjeta de crédito
  • Correspondencia privada
  • Antecedentes penales
  • Fotos personales
  • Detalles personales que puedan avergonzar al usuario

Los ataques de doxing pueden variar desde los relativamente triviales, como los falsos inicios de sesión por correo electrónico o las entregas de pizza, hasta los más peligrosos, como acosar a la familia o el empleador de una persona, el robo de identidad, las amenazas u otras formas de acoso online, o incluso el acoso en persona.

Los famosos, políticos y periodistas están entre las víctimas del doxing, que les hace sufrir acoso online, temor por su seguridad y, en casos extremos, amenazas de muerte. La práctica también se ha extendido a importantes ejecutivos, como cuando Proctor & Gamble's Gillette lanzó su anuncio «We Believe», que se dirigía a la masculinidad tóxica, momento en el que una persona compartió el perfil de LinkedIn del director de la marca, Marc Pritchard, en 4chan pidiendo que se le enviaran mensajes hostiles.

El doxing comenzó a conocerse en diciembre de 2011, cuando el grupo hacktivista Anonymous expuso los datos de 7000 miembros de las fuerzas de seguridad en respuesta a investigaciones sobre actividades de piratería. Desde entonces, Anonymous ha expuesto a cientos de presuntos miembros del KKK, y entre sus objetivos más recientes se incluyen los partidarios de Q-Anon.

Las motivaciones detrás del doxing son de diversa índole. Muchas personas sienten que han sido atacadas o insultadas por su objetivo y podrían tratar de vengarse. Si alguien es conocido por sus opiniones controvertidas, podrían buscar como objetivo a alguien con un punto de vista contrario. Sin embargo, esto suele ocurrir cuando el tema está especialmente polarizado, en lugar de desacuerdos políticos cotidianos.

Generalmente, revelar información personal online tiene la intención de castigar, intimidar o humillar a la víctima en cuestión. Dicho esto, quienes realizan doxing también pueden ver sus acciones como una forma de enmendar lo que perciben como incorrecto, hacer justicia con alguien de forma pública o revelar un plan que no se ha divulgado previamente. 

Independientemente de la motivación, el objetivo principal del doxing es infringir la privacidad, y puede poner a las personas en una situación incómoda, a veces con consecuencias negativas.

Cómo funciona el doxing

Vivimos en la era del Big Data, con un gran océano de información personal que se encuentra publicada en Internet, y los usuarios a menudo tienen menos control sobre ella de lo que creen. Esto significa que cualquier persona con el tiempo, la motivación y el interés para hacerlo puede convertir esos datos en un arma.

Algunos de los métodos utilizados para el doxing son:

Seguimiento de nombres de usuario

Muchas personas utilizan el mismo nombre de usuario en diferentes servicios. Esto permite que los posibles usuarios que apliquen el doxing puedan crear una imagen de los intereses del objetivo y de cómo emplea su tiempo en Internet.

Ejecución de una búsqueda WHOIS en un nombre de dominio

Cualquier persona con un nombre de dominio tiene información almacenada en un registro que a menudo está disponible públicamente a través de una búsqueda WHOIS. Supongamos que la persona que compró el nombre de dominio no ocultó su información privada en el momento de la compra. En ese caso, la información de identificación personal (como su nombre, dirección, número de teléfono, empresa y dirección de correo electrónico) está disponible online para que la encuentre cualquier persona.

Phishing

Si la persona utiliza una cuenta de correo electrónico no segura o cae en una estafa de phishing, el hacker puede descubrir correos electrónicos confidenciales y publicarlos online.

Acoso en las redes sociales

Si tus cuentas de redes sociales son públicas, cualquiera puede obtener información acerca de ti a través del ciberacoso. Pueden averiguar tu ubicación, lugar de trabajo, amigos, fotos, cosas que te gustan y que no te gustan, lugares que has visitado, nombres de los miembros de tu familia, nombres de tus mascotas, etc. Con esta información, un usuario que aplica el doxing puede encontrar las respuestas a tus preguntas de seguridad, lo que lo ayudaría a entrar en otras cuentas online.

How to prevent doxing.

Cribado de registros gubernamentales

Si bien la mayoría de los registros personales no están disponibles online, existe determinada información que se puede obtener en sitios web gubernamentales. Entre los ejemplos se encuentran las bases de datos de licencias comerciales, registros del condado, licencias de matrimonio y registros de tráfico y de votantes, que contienen información personal.

Seguimiento de direcciones IP


Los usuarios que aplican el doxing pueden utilizar varios métodos para detectar tu dirección IP, que está vinculada a tu ubicación física. Una vez que la descubren, pueden utilizar trucos de ingeniería social en tu proveedor de servicios de Internet (ISP) para descubrir más información sobre ti. Por ejemplo, pueden presentar reclamaciones en nombre del propietario de la dirección IP o intentar piratear la red.

Búsqueda inversa de teléfonos móviles

Una vez que los hackers conocen tu número de teléfono móvil, pueden obtener más información sobre ti. Por ejemplo, los servicios de búsqueda inversa de teléfonos, como las páginas blancas, permiten escribir un número de teléfono móvil, o cualquier número de teléfono, para averiguar la identidad de la persona propietaria del número. Sitios como las páginas blancas cobran por proporcionar información más allá de la ciudad y el estado asociados a un número de teléfono móvil. Sin embargo, quienes están dispuestos a pagar pueden descubrir información personal adicional sobre ti a través de tu número de teléfono móvil.

Analizador de paquetes

El término analizador de paquetes a veces se utiliza en relación con el doxing. Este término hace referencia a que los usuarios que emplean el doxing interceptan datos de Internet y buscan de todo, desde contraseñas, números de tarjetas de crédito e información de cuentas bancarias hasta mensajes de correo electrónico antiguos. Las usuarios que emplean el doxing lo hacen conectándose a una red online, descifrando sus medidas de seguridad y recopilando los datos que entran y salen de la red. Una manera de protegerse del analizador de paquetes es mediante una VPN.

Uso de agentes de datos

Los agentes de datos recopilan información sobre los usuarios y venden esa información con ánimo de lucro. Los agentes de datos recopilan tu información a partir de registros disponibles públicamente, tarjetas de fidelidad (que realizan un seguimiento de tu comportamiento de compras online y offline), historiales de búsqueda online (todo lo que buscas, lees o descargas) y de otros agentes de datos. Muchos agentes de datos venden su información a anunciantes, pero varias páginas de búsqueda de personas ofrecen registros sobre los usuarios por sumas relativamente pequeñas de dinero. Todo lo que un usuario que emplea el doxing tiene que hacer es pagar este pequeño cargo para obtener suficiente información sobre alguien.

Al seguir los breadcrumbs (pequeños fragmentos de información sobre alguien) que se encuentran en Internet, los usuarios que emplean el doxing pueden crear una imagen que permite descubrir a la persona real detrás de un alias, incluido el nombre, la dirección física, la dirección de correo electrónico, el número de teléfono y mucho más. Los usuarios que emplean el doxing también pueden comprar y vender información personal en la web oscura.

La información que encuentran se puede utilizar para enviar amenazas, por ejemplo, en un tuit que se envía a alguien en respuesta a algo con lo que no están de acuerdo. El doxing puede tener menos que ver con la disponibilidad de la información y más sobre cómo se utiliza para intimidar o acosar a un objetivo. Por ejemplo, alguien que tiene tu dirección puede obtener tu ubicación o la de tu familia. Alguien que tiene tu número de teléfono móvil o correo electrónico puede bombardearte con mensajes que interrumpen tu capacidad de comunicarte con tu red de asistencia. Por último, alguien que tenga tu nombre, fecha de nacimiento y número de seguridad social también podría piratear tus cuentas o robar tu identidad.

Cualquier persona que tenga determinación, tiempo, acceso a Internet y motivación puede crear un perfil de otra persona. Y si el objetivo de este esfuerzo de doxing ha hecho que su información sea relativamente accesible online, será aún más fácil. 

Ejemplos de doxing

Las situaciones más comunes de doxing suelen dividirse en estas tres categorías:

  1. Divulgar online información de identificación personal y privada de una persona.
  2. Revelar información anteriormente desconocida de una persona privada online.
  3. Divulgar información a una persona privada online podría ser perjudicial para su reputación y la de sus socios personales o profesionales.

Entre algunos de los ejemplos más famosos y citados de doxing se encuentran:

Ashley Madison


Ashley Madison era una página de citas online destinada a personas interesadas en tener citas extramatrimoniales o fuera de la pareja. Un grupo de hackers extorsionó con determinadas exigencias a la administración de Ashley Madison. Como no se cumplieron esas exigencias, el grupo desveló datos confidenciales de usuarios, realizó acciones de doxing a millones de personas en el proceso y causó humillaciones, vergüenza y posibles daños a la reputación personal y profesional de los usuarios.

Cecil el león


Un dentista de Minnesota cazó y mató ilegalmente a un león que vivía en una reserva protegida en Zimbabue. Parte de su información de identificación fue divulgada, lo que provocó que personas que estaban molestas por sus acciones y que querían castigarlo públicamente publicaran aún más información personal online. 

Atentado de la maratón de Boston


Durante la búsqueda de los terroristas que pusieron las bombas en la maratón de Boston, miles de usuarios de la comunidad Reddit difundieron noticias e información sobre el evento y la investigación posterior. Su objetivo era proporcionar información a las autoridades para que pudieran utilizarla para enjuiciar a los responsables. En cambio, resultaron afectadas personas inocentes que no estaban involucradas en los delitos, lo que dio lugar a una desafortunada caza de brujas.

¿Es ilegal el doxing?

El doxing puede arruinar vidas, ya que puede exponer a personas y a sus familias tanto al acoso online como al real. Pero ¿es ilegal?

Por lo general, la respuesta es no: el doxing no es ilegal si la información expuesta es de dominio público y se obtiene mediante métodos legales. Dicho esto, según la jurisdicción, el doxing puede ser objeto de las leyes diseñadas para luchar contra el acoso, el hostigamiento y las amenazas.

También depende de la información específica revelada. Por ejemplo, revelar el nombre real de una persona no es tan grave como revelar su dirección particular o número de teléfono. Sin embargo, en EE. UU., el doxing de un empleado gubernamental se juzga según las leyes federales de conspiración y se considera un delito federal. Dado que el doxing es un fenómeno relativamente reciente, las leyes que lo abordan evolucionan constantemente y no siempre tienen un corte claro.

Independientemente de la ley, el doxing infringe los términos de servicio de muchos sitios web y, por lo tanto, puede dar lugar a una restricción. Esto se debe a que, por lo general, el doxing se ve como poco ético y se lleva a cabo principalmente con la intención de intimidar, chantajear y controlar a otras personas. Esta práctica expone a las personas al acoso, el robo de identidad, la humillación, la pérdida de empleo y el rechazo de familiares y amigos.

Cómo protegerse del doxing

Con la gran variedad de herramientas de búsqueda e información fácilmente disponible online, casi cualquier persona puede ser víctima del doxing.

Si alguna vez has publicado en un foro online, participado en una página de redes sociales, firmado una petición online o comprado una propiedad, tu información está disponible públicamente. Además, una gran cantidad de datos estará fácilmente disponible para cualquier persona que busque en bases de datos públicas, registros del condado, registros del estado, motores de búsqueda y otros repositorios. 

Si bien esta información está disponible para quienes realmente desean buscarla, hay medidas que puedes tomar para proteger tu información. Por ejemplo:

Protege tu dirección IP mediante una VPN


Una VPN o red privada virtual ofrece una excelente protección contra la exposición de direcciones IP. Una VPN toma el tráfico de Internet del usuario, la cifra y la envía a través de uno de los servidores del servicio antes de dirigirse a la red pública de Internet, lo que te permite navegar por Internet de forma anónima. Kaspersky Secure Connection te protege en redes Wi-Fi públicas, garantiza la privacidad de tus comunicaciones y que no estés expuesto a phishing, malware, virus y otras ciberamenazas.

Mantén buenas prácticas de ciberseguridad


Los antivirus y el software de detección de malware pueden impedir que los usuarios que emplean el doxing roben información a través de aplicaciones malintencionadas. La actualización regular del software te ayuda a evitar cualquier «brecha» de seguridad que pueda hacerte víctima de hackeos y doxing.

Utiliza contraseñas seguras

Una contraseña segura normalmente incluye una combinación de letras mayúsculas y minúsculas, además de números y símbolos. Evita usar la misma contraseña para varias cuentas y asegúrate de cambiar tus contraseñas con regularidad. Si tienes problemas para recordar las contraseñas, puedes usar un administrador de contraseñas.

Utiliza nombres de usuario diferentes para diferentes plataformas


Si visitas foros online, como Reddit, 4Chan, discoord, YouTube u otros, asegúrate de utilizar diferentes nombres de usuario y contraseñas para cada servicio. Al utilizar las mismas contraseñas, los usuarios que emplean el doxing pueden buscar tus comentarios en diferentes plataformas y utilizar esa información para compilar una imagen detallada de ti. Utilizar diferentes nombres de usuario para diferentes propósitos dificultará que realicen un seguimiento de tus movimientos en varios sitios.

Crea cuentas de correo electrónico por separado para fines independientes


Considera la posibilidad de mantener cuentas de correo electrónico separadas para diferentes propósitos: profesional, personal y spam. Tu dirección de correo electrónico personal se puede reservar para recibir correspondencia privada con amigos cercanos, familiares y otros contactos de confianza. Evita desvelar esta dirección públicamente. Tu dirección de spam se puede utilizar para suscribirse a cuentas, servicios y promociones. Por último, tu dirección de correo electrónico profesional (ya seas un trabajador independiente o estés afiliado a una organización en particular) se puede publicar públicamente. Al igual que con las cuentas de redes sociales de atención al público, evita incluir demasiada información de identificación en tu correo electrónico de gestión (por ejemplo, evita direcciones del tipo nombre.apellidos.fechadenacimiento@gmail.com).

Revisa y mejora tu configuración de privacidad en las redes sociales

Revisa la configuración de privacidad en tus perfiles de redes sociales y asegúrate de que te sientes cómodo con la cantidad de información que compartes y con quién.

Sé estratégico con respecto a qué plataformas utilizas para cada propósito. Si usas una plataforma por razones personales (como compartir fotos con amigos y familiares en Facebook o Instagram), modifica la configuración de privacidad. Supongamos que utilizas una plataforma para fines profesionales (como supervisar las noticias de último minuto en Twitter y tuitear enlaces para tu trabajo). En ese caso, puedes dejar algunas de las configuraciones públicas, en cuyo caso debes evitar incluir información personal e imágenes confidenciales.

Utiliza la autenticación multifactor


Esto significa que tanto tú como cualquier otra persona que intente acceder a tu cuenta necesitaréis al menos dos documentos de identificación para iniciar sesión en tu página, normalmente la contraseña y el número de teléfono. Resulta más difícil para los hackers acceder a los dispositivos o las cuentas online de una persona porque conocer la contraseña de la víctima no es suficiente; también necesitarán acceso a un número PIN.

Deshazte de los perfiles obsoletos


Revisa cuántas páginas tienen tu información. Aunque páginas como MySpace podrían estar desactualizadas, los perfiles que se crearon hace más de una década siguen siendo visibles y accesibles públicamente. Esto se aplica a cualquier página en la que hayas estado activo anteriormente. Intenta eliminar los perfiles obsoletos o que no utilices, si es posible.

Mantente alerta a los correos electrónicos de phishing

Los usuarios que emplean el doxing podrían utilizar estafas de phishing para engañarte para que divulgues tu dirección particular, número de seguridad social o determinadas contraseñas. Sé cauteloso siempre que recibas un mensaje que supuestamente proviene de un banco o empresa de tarjetas de crédito y solicite tu información personal. Las instituciones financieras nunca te pedirán esta información por correo electrónico.

Oculta la información de registro de dominio WHOIS


WHOIS es una base de datos de todos los nombres de dominio registrados en la web. Este registro público se puede utilizar para determinar la persona u organización que posee un determinado dominio, tu dirección física y otra información de contacto.

Si planeas crear un sitio web de forma anónima sin revelar tu identidad real, asegúrate de que tu información personal sea privada y esté oculta de la base de datos WHOIS. Los registradores de dominios tienen controles sobre esta configuración de privacidad, por lo que deberás preguntar a tu empresa de registro de dominios cómo hacerlo.

Pide a Google que elimine la información

Si la información personal aparece en los resultados de búsqueda de Google, es posible solicitar su eliminación del motor de búsqueda. Google facilita este proceso a través de un formulario online. Muchos agentes de datos publican este tipo de datos online, por lo general para la verificación de antecedentes o la información de la comprobación de delitos.

Limpia tus datos

Puedes eliminar tu información de los sitios de los agentes de datos. Si deseas hacerlo tú mismo sin incurrir en gastos, puede ser muy laborioso. Si dispones de tiempo limitado, comienza con los tres grandes mayoristas: Epsilon, Oracle y Acxiom.

Deberás revisar estas bases de datos periódicamente, ya que tu información puede volver a publicarse incluso después de haberse eliminado. También puedes pagar un servicio como DeleteMePrivacyDuck, o Reputation Defender para que lo haga por ti.

Ten cuidado con los permisos de aplicaciones y cuestionarios online


Los cuestionarios online pueden parecer inofensivos, pero a menudo son fuentes ricas en información personal que siempre se proporciona sin pensar dos veces. Algunas partes de un cuestionario incluso pueden servir como preguntas de seguridad para tus contraseñas. Dado que muchos cuestionarios solicitan permiso para ver tu información de redes sociales o tu dirección de correo electrónico antes de mostrar los resultados, pueden asociar fácilmente esta información con tu identidad real, sin mucho contexto sobre quién está iniciando el cuestionario y por qué es mejor evitar responderlo completamente.

Las aplicaciones móviles también son fuentes de datos personales. Muchas aplicaciones solicitan permisos de acceso a tus datos o dispositivo que no tienen nada que ver con el software de la aplicación. Por ejemplo, es ilógico que una aplicación de edición de imágenes solicite acceder a tus contactos. Si solicita acceso a tu cámara o fotos, eso sí tendría lógica. Pero si también desea ver tus contactos, ubicación GPS y perfiles de redes sociales, procede con precaución.

Evita revelar ciertos tipos de información

Siempre que sea posible, evita divulgar cierta información en público, como tu número de seguridad social, dirección particular, número de permiso de conducir y cualquier información relacionada con cuentas bancarias o números de tarjeta de crédito. Recuerda que los hackers pueden interceptar mensajes de correo electrónico, por lo que no debes incluir datos privados en los tuyos.

Comprueba lo fácil que es aplicarse el doxing a uno mismo

La mejor defensa es hacer que sea más difícil para los delincuentes rastrear tu información privada. Puedes descubrir lo fácil que es aplicar el doxing revisando la información que encuentres sobre ti. Por ejemplo: 

  • Busca tu nombre en Google.
  • Realiza una búsqueda de imagen inversa.
  • Audita tus perfiles de redes sociales y la configuración de privacidad.
  • Comprueba si alguna de tus cuentas de correo electrónico ha sido víctima de una gran filtración de datos mediante sitios como com.
  • Revisa los CV, biografías y páginas web personales para ver qué información personal transmite tu presencia profesional. Si tienes archivos PDF de CV publicados online, asegúrate de excluir detalles como tu domicilio, correo electrónico personal y número de teléfono móvil (o sustitúyelos por versiones públicas de esa información).

Configuración de alertas de Google

Configura las alertas de Google para tu nombre completo, número de teléfono, dirección particular u otros datos privados que deseas vigilar si aparecen online de forma repentina, lo que puede significar que has sido víctima del doxing.

Evita dar razones a los hackers para aplicar el doxing

Ten cuidado con lo que publicas online y nunca compartas información privada en foros, tablones de anuncios o páginas de redes sociales. Es fácil pensar que Internet permite una total libertad para decir o escribir lo que se quiera. Los usuarios pueden creer que la creación de identidades anónimas les da la oportunidad de expresar cualquier opinión que deseen, sin importar lo controvertido que pueda llegar a ser ni la posibilidad de que los rastreen. Pero como hemos visto, ese no es el caso, por lo que es mejor ser cuidadoso con lo que se dice online.

Qué hacer si eres víctima del doxing

La respuesta más común es el miedo, o incluso el pánico. Sentirse vulnerable es comprensible. El doxing está concebido para quebrantar tu sensación de seguridad y hacer que entres en pánico, ataques verbalmente o te bloquees. Si eres víctima del doxing, estos son los pasos que puedes seguir:

Denúncialo


Informa del ataque a las plataformas en las que hayas publicado tu información personal. Busca las pautas de la comunidad o los términos del servicio de la plataforma correspondiente para determinar el proceso de denuncia de este tipo de ataque, y síguelos. Mientras rellenas un formulario, guárdalo para el futuro (de modo que no tengas que repetir lo que ya has dicho). Este es el primer paso para detener la propagación de tu información personal.

Involucra a las autoridades


Si un usuario que emplea el doxing te amenaza, ponte en contacto con la policía local. Cualquier información que indique tu dirección o información financiera debe considerarse una prioridad máxima, especialmente si existen amenazas creíbles.

Documenta el ataque


Haz capturas de pantalla o páginas de descarga en las que se haya publicado tu información. Intenta asegurarte de que la fecha y la URL sean visibles. Esta prueba es esencial para tu propia referencia y puede ayudar a las autoridades o a otros organismos involucrados.

Protege tus cuentas financieras


Si los usuarios que emplean el doxing han publicado tu cuenta bancaria o los números de tu tarjeta de crédito, informa de ello inmediatamente a tus instituciones financieras. El proveedor de tu tarjeta de crédito probablemente cancelará tu tarjeta y te enviará una nueva. También tendrás que cambiar las contraseñas de tus cuentas bancarias y tarjetas de crédito online.

Bloquea tus cuentas


Cambia tus contraseñas, utiliza un administrador de contraseñas, habilita la autenticación multifactor cuando sea posible y refuerza la configuración de privacidad en cada cuenta que utilices.

Pide ayuda a un amigo o familiar


El doxing puede ser emocionalmente agotador. Pide a alguien en quien confíes que te ayude a analizar el problema, para que no tengas que lidiar solo con la situación.

El doxing es un problema grave que se logra gracias al fácil acceso a la información personal online. Garantizar la seguridad en unmundo online no siempre es fácil, pero seguir las prácticas recomendadas de ciberseguridad puede ayudar. Recomendamos usar la Solución Total Security de Kaspersky, que te protege contra virus en tu equipo, protege y almacena tus contraseñas y documentos privados, y cifra los datos que envías y recibes online mediante una VPN.

Artículos relacionados:

Qué es el doxing: definición y explicación

Kaspersky Logo