Las víctimas de doxing encuentran su dirección, número de seguridad social y otros datos publicados en Internet, normalmente porque alguien quiere intimidarles, humillarles o acosarles. Esto es lo que hay que saber.
Definición de doxing
Doxing (o doxxing) es la práctica de revelar información personal sobre alguien en línea sin su consentimiento.
La palabra surgió por primera vez en el mundo de los hackers en línea en la década de 1990, cuando el anonimato se consideraba sagrado; en la mayoría de los casos, las identidades del mundo real de las personas eran desconocidas para sus aliados y rivales. Una disputa entre hackers podía intensificarse cuando alguien decidía «dejar caer docs» sobre otra persona, es decir, publicar documentos que revelaban el nombre legal de una persona que hasta ese momento sólo se conocía por un nombre de usuario o un alias.
«Docs» se convirtió en «dox», que a su vez perdió el «drop» y se convirtió en un verbo por sí mismo, escribiéndose ocasionalmente con una «x» extra como «doxxing».
Cómo ha evolucionado el significado de doxing
La definición de doxing se ha ampliado desde entonces más allá del mundo insular de los hackers y ahora abarca la exposición de información personal más allá de la mera identidad. El término se sigue usando para describir el desenmascaramiento de personas anónimas o con seudónimo en Internet, pero eso ha perdido importancia en una época en la que la mayoría de nosotros tenemos cuentas activas en las redes sociales con nuestros nombres reales.
Los doxers de hoy en día pretenden revelar información que pueda trasladar su conflicto con sus objetivos de Internet al mundo real, incluyendo direcciones de casa, empleadores, números de la seguridad social, correspondencia privada y antecedentes penales o detalles personales embarazosos. Los objetivos van desde intimidar o humillar a las víctimas, provocar la pérdida del empleo o la ruptura de relaciones, o convertir al objetivo en víctima de acoso o agresión en persona.
¿Es ilegal el doxing?
La perspectiva de que alguien publique la dirección de tu casa para que la vea cualquier persona en Internet asusta a la mayoría de la gente, y puedes suponer que no puede ser legal. Pero la legalidad del doxing puede variar de un caso a otro, y depende exactamente de la información que se revele y de cómo se obtenga esa información.
El Reeves Law Group tiene un buen desglose de las formas de doxing que son legales y las que no lo son en EE.UU. La ley federal restringe la publicación de información personal sobre ciertas categorías restringidas de personas: empleados o funcionarios estatales o federales, así como jurados, testigos o informantes en juicios o investigaciones criminales. Si el doxing forma parte de una campaña más amplia de acoso, las víctimas que no entran en esas categorías pueden presentar cargos basados en la legislación estatal o federal sobre acoso o presentar una demanda civil por daños y perjuicios. Por supuesto, para ello será necesario que la víctima pueda descubrir la identidad real del doxer, lo que, irónicamente, suele ser bastante difícil.
Por último, la legalidad del proceso de doxing viene determinada en parte por la forma en que la información personal que se revela ha sido descubierta por el doxer en primer lugar. En muchos casos, los doxers pueden aprovechar los fallos de seguridad operativa (OPSEC) para reunir fragmentos de información que sus objetivos han publicado en público o han insinuado en las redes sociales.
¿Cómo funciona el doxing? ¿Cómo los doxers consiguen datos personales?
Empecemos por los métodos legales. Si el doxer conoce tu nombre legal, una cantidad sorprendente de información sobre ti es de dominio público: tu registro de votantes, registros de propiedad, registros de matrimonio y divorcio, fotos policiales y más. Estos datos no están necesariamente al alcance de una rápida búsqueda en Google, pero pueden obtenerse fácilmente de las agencias gubernamentales, a menudo a bajo o ningún coste.
Si el objetivo está asociado a un dominio de Internet específico, los doxers pueden recurrir a los registros whois para conocer el nombre, la dirección y el número de teléfono del objetivo; muchos propietarios de dominios no se dan cuenta de que pueden configurarse como privados. Además, si el usuario participa en un foro o en una comunidad en línea, los administradores del sitio tendrán acceso a información sobre él que no será necesariamente visible para el público.
Los «doxers» pueden valerse de otras técnicas para relacionar un seudónimo en línea con una persona del mundo real. Dado que muchas personas tienen nombres idénticos o similares en varios sitios o comunidades en línea, por ejemplo, los datos personales revelados en diferentes contextos pueden combinarse para crear una imagen más completa de una persona de lo que se podría imaginar. Las técnicas de OPSEC también se pueden emplear para confirmar las sospechas de que un nombre de usuario en línea puede estar relacionado con una persona concreta del mundo real.
Otra forma de localizar un objetivo: los metadatos de los archivos. Los archivos de Microsoft Office tienen información incrustada sobre el usuario que los creó. Y claro, tal vez no sueles publicar archivos de Word en línea, pero ¿qué pasa con las fotos? Éstas tienen datos EXIF incrustados, que pueden incluir la ubicación geográfica exacta en la que se tomó la foto, una forma rápida de averiguar dónde vive alguien, ya que muchas fotos se toman en casa.
Sin embargo, los «doxers» no se limitan necesariamente a los métodos legales de rastreo de información sobre sus objetivos, y de hecho los métodos más nefastos pueden implicar menos esfuerzo. El camino más rápido para encontrar y utilizar como arma la información personal de un objetivo puede ser simplemente comprarla, ya sea a través de corredores de datos legales, aunque turbios, o de bases de datos que circulan por la dark web derivadas de las innumerables violaciones de datos que afectan a empresas grandes y pequeñas.
Si un doxer puede conectar el nombre, la dirección de correo electrónico o el nombre de la red social de su objetivo con un registro en una de esas bases de datos, puede obtener una gran cantidad de información que puede ser publicada. Incluso hay empresas de doxing como servicio de pago.
Otras técnicas, como el registro de IP o el rastreo de paquetes de datos, pueden asociarse más frecuentemente con el hackeo destinado a comprometer la cuenta, pues una cuenta comprometida puede, por supuesto, ofrecer datos personales como nombres, direcciones, números de seguridad social y similares.
Cinco ejemplos de doxing
Una vez que alguien tiene tu información personal, ¿cómo podría doxearte exactamente? Y, para retroceder un poco, ¿por qué querrían hacerte la vida imposible en primer lugar? Echemos un vistazo a algunos incidentes de doxing en el mundo real para aprender más.
1. Doxed por los sitios donde comentas.
En 2013, una profesora de periodismo de la Universidad de Temple dejó un comentario en el sitio web del Neiman Journalism Lab criticando lo que consideraba el sesgo izquierdista de la organización. Los comentarios de la página web estaban alimentados por el plugin de comentarios Disqus, y cualquiera podría haber hecho clic en el nombre de usuario «truthseeker» de la profesora para ver sus comentarios en otros sitios, incluidos los de sitios de derechas que eran despectivos hacia los musulmanes. El director del Neiman Lab, como administrador del sitio web, también pudo ver la dirección de correo electrónico de la profesora, que aprovechó para descubrir su identidad y nombrarla en Twitter, lo que a su vez la metió en problemas con su empleador.
2. No hay ética en el doxing.
En 2014, el movimiento Gamergate decía ser una cruzada contra el periodismo de juegos poco ético, pero parecía tener un odio especial hacia las desarrolladoras de juegos que trabajaban en juegos no convencionales o que trataban temas feministas. Una desarrolladora, Brianna Wu, publicó algunos memes contra el Gamergate; los Gamergaters de 4chan encontraron rápidamente su dirección y número de teléfono, y empezaron a llegar las amenazas de muerte.
3. Cuando los periodistas hacen dox.
Michael Hirsch, editor nacional de Politico, publicó la dirección de Washington D.C. del nacionalista blanco Richard Spencer en publicaciones públicas de Facebook y Twitter. Después de que el Daily Caller llamara la atención sobre las publicaciones, Hirsch dimitió y Politico calificó las publicaciones como «fuera de los límites del discurso aceptable».
4. Dox por swatting.
Una forma particularmente maliciosa de doxing es el swatting, en el que se descubre la ubicación de la víctima y se llama a la policía local como escenario de una situación de rehenes, lo que inevitablemente conducirá a que un equipo SWAT fuertemente armado irrumpa en la puerta. Se trata de una forma frecuente de doxing utilizada como broma durante las retransmisiones en directo de juegos: el streamer Jordan Mathewson, que también ha sido víctima, dice que parte del atractivo del swatter es poder ver cómo se desarrollan los acontecimientos.
5. Doxing por error.
El doxing es suficientemente aterrador y confuso cuando la víctima es realmente la persona que el doxer está tratando de desenmascarar, pero a veces los doxers se equivocan de persona. Por ejemplo, los detectives aficionados de Reddit, que trataban de averiguar la identidad de los autores de los atentados del maratón de Boston en 2013, señalaron erróneamente a un joven desaparecido que finalmente fue encontrado muerto por suicidio. Del mismo modo, los detectives en línea que buscaban fotos de manifestantes con antorchas en la manifestación de Unite the Right de 2017 identificaron erróneamente a una persona como un profesor de Arkansas que rápidamente se encontró con amenazas de muerte.
Cómo evitar el doxing
Por desgracia, es imposible eliminar por completo la información de identificación personal de Internet, especialmente cuando forma parte de los registros públicos. Aun así, hay algunos consejos para reducir tu superficie de ataque.
No publiques tus datos, puedes mantener el control sobre la cantidad de datos sobre ti que hay en el mundo:
- Intenta evitar publicar información identificativa siempre que sea posible.
- Mantén la configuración de tus redes sociales en el nivel más privado, y no aceptes solicitudes de amistad de personas que no conoces
- Cambia la configuración de Office y de la aplicación de fotos de tu teléfono para que la información personal no se incluya en esos archivos.
- Usa una dirección de correo electrónico «quemada» para registrarte en cuentas que no puedan conectarse a tu nombre real.
- Configura los registros whois de los dominios que posees como privados.
- Pide a Google que elimine la información personal disponible sobre ti, y solicita lo mismo a los sitios de intermediación de datos
- Practica la navegación segura. Estos pasos son una buena higiene en Internet en cualquier caso, pero también pueden evitar una brecha que pueda llevar a que tu información quede expuesta a un potencial doxer:
- Emplea una VPN, especialmente cuando accedas a redes Wi-Fi públicas inseguras
- Cambia a un sistema de correo electrónico seguro con cifrado incorporado.
- Varía tus nombres de usuario y contraseñas
- Haz un doxing a ti mismo. La mejor manera de detener a un doxer es pensar como tal. El New York Times tiene una buena guía para empezar a hacer doxing a ti mismo para que puedas comprender lo vulnerable que eres. Si eres una figura mínimamente pública, o si participas en encuentros potencialmente controvertidos en línea, el doxing es una posibilidad y tienes que estar preparado.
Cómo denunciar el doxing
Como ya se ha dicho, puede ser difícil obtener una reparación legal frente los doxers: a menudo no está claro qué leyes están infringiendo, y suelen tomar medidas para ocultar su propia identidad incluso cuando exponen la tuya. NOLO tiene una buena guía sobre el tipo de documentación que necesitarías reunir para presentar el caso más sólido posible.
Gran parte del doxing tiene lugar en las redes sociales, y hay buenas noticias en ese frente: el doxing, incluso cuando es legal, viola los términos de servicio de la mayoría de las plataformas. Denunciar tuits o publicaciones en Facebook que incluyan tu información personal generalmente hará que se retiren rápidamente y que el usuario infractor sea suspendido. Por desgracia, si eres objeto de un ataque coordinado, no es difícil para los doxers moverse a través de múltiples cuentas y mantener el acoso.
Eva Galperin, de la EFF, ofrece algunos consejos sobre cómo hacer frente a un ataque de doxing. Lamentablemente, en muchos casos, lo mejor que puedes hacer es bloquear tus cuentas y, como dice ella, «evaluar cuánto ancho de banda mental tienes para esto… tal vez incluso designar a otra persona para que vigile la situación por ti para que no tengas que hacerlo. Deja que otra persona haga todo el trabajo emocional de lidiar con estas amenazas, y de rastrearlas y reportarlas a las plataformas, porque puede ser muy, muy duro para una persona mentalmente. No tienes que hacerlo solo. Tienes una red de apoyo».
Fte. CSO United States
Sé el primero en comentar