Cada vez que te gusta algo en una red social, te unes a una comunidad de vecinos del barrio, publicas tu CV o te graba una cámara en la calle, esa información se acumula en bases de datos. Seguramente no te hagas una idea de lo vulnerable que te dejan todos esos rastros de información, cada acción en Internet y casi todas las acciones en el mundo real.
El ciclista, el conductor o el padre equivocados
El doxing le puede pasar a cualquiera, como ilustran estas tres anécdotas.
Cuando el ciclista de Maryland Peter Weinberg comenzó a recibir mensajes insultantes y amenazas por parte de desconocidos, descubrió que la aplicación que utilizaba para entrenar estaba publicando sus rutas ciclistas y alguien las había usado para deducir que Weinberg había pasado recientemente no muy lejos de donde alguien había atacado a un niño. La multitud lo identificó rápida e incorrectamente como el sospechoso y encontró y publicó su dirección. Como suele ser habitual, los tuits posteriores y demás aclaraciones se compartieron mucho menos que la información original.
En el otro lado del mundo, un activista de los derechos de los animales en Singapur publicó el nombre y la dirección de una persona cuyo automóvil había atropellado a un perro, junto con una llamada para “mandarla al infierno”. Según la propietaria del automóvil, las acusaciones públicas perjudicaron su carrera: después de que los vigilantes descubrieran dónde trabajaba, las publicaciones de odio llegaron hasta la página de Facebook de la compañía. Da la casualidad de que otra persona conducía el automóvil en el momento del accidente.
Una versión más famosa de la historia involucra al exjugador profesional de béisbol Curt Schilling, quien se encontró con unos tuits sobre su hija que consideraba inapropiados y ofensivos. Schilling localizó a sus autores (lo que, según dijo, le llevó menos de una hora), recopiló un expediente considerable sobre cada uno y publicó parte de la información en su blog. Los delincuentes que estaban relacionados con la comunidad de béisbol fueron despedidos de sus equipos deportivos de inmediato.
¿Qué pasó?
Estas tres historias proporcionan ejemplos sencillos de doxing. Esta palabra describe la recopilación y publicación online de datos de identificación sin el consentimiento del propietario. Además de ser desagradable, también puede ser perjudicial en la vida real, para la reputación, el empleo e incluso la seguridad física de la víctima.
Los motivos del doxing pueden variar. Algunos creen que están exponiendo a unos ciberdelincuentes, otros intentan intimidar a sus oponentes online o vengarse de asuntos personales. El doxing como fenómeno surgió en la década de los 90, pero desde entonces se ha vuelto mucho más peligroso y con el volumen de información privada del que disponemos ahora, no requiere habilidades ni privilegios especiales.
No estamos aquí para analizar la legalidad o la ética del doxing. Como expertos en seguridad, nuestra tarea aquí es describir los métodos y sugerir cómo protegerse.
El doxing: un vistazo desde el interior
Debido a que no requiere conocimientos especiales ni demasiados recursos, el doxing se ha convertido en una práctica muy común. Además, las herramientas que se usan tienden a ser legítimas y públicas.
Los motores de búsqueda
Los motores de búsqueda comunes pueden proporcionar mucha información personal y el uso de sus funciones de búsqueda avanzada (por ejemplo, buscar entre sitios web o tipos de archivo específicos) puede ayudar a los investigadores a encontrar la información correcta más rápido.
Además del nombre y los apellidos, el nombre de usuario también puede delatar los hábitos online de una persona. Por ejemplo, la práctica común de usar el mismo apodo en varios sitios web facilita las cosas a los detectives online, quienes pueden usarlo para agregar comentarios y publicaciones desde cualquier recurso público.
Las redes sociales
Las redes sociales, incluidas las especializadas como LinkedIn, contienen una gran cantidad de datos personales.
Un perfil público con datos reales es básicamente un expediente. Aunque un perfil sea privado y esté abierto solo a amigos, un investigador meticuloso puede recopilar bits de información escaneando los comentarios de la víctima, las comunidades, las publicaciones de los amigos, etc. Y, si envía una solicitud de amistad haciéndose pasar por un reclutador de empleo, por ejemplo, llegará al siguiente nivel: la ingeniería social.
La ingeniería social
Un sello distintivo de muchos ataques, la ingeniería social, se aprovecha de la naturaleza humana para ayudar a los investigadores a obtener la información que buscan. Usando la información disponible públicamente sobre una marca como punto de partida, un investigador puede contactar con la víctima y persuadirla para que entregue su propia información. Por ejemplo, puede aparecer disfrazado de administrador médico o representante de un banco para tratar de sacar información a una víctima, una estrategia que funciona mucho mejor si se utilizan pinceladas de verdad.
Las fuentes oficiales
Las personas públicas tienden a tener más dificultades para mantener el anonimato en la red, pero eso no significa que las estrellas del rock y los atletas profesionales sean los únicos que necesitan proteger su información personal.
Un investigador puede incluso usar a un directivo de una empresa para traicionar la confianza de una posible víctima de doxing, utilizando, por ejemplo, su nombre completo y una foto en la página corporativa Acerca de nosotros o información de contacto completa en un sitio departamental. Parece inocente, pero la información general de la empresa te acerca a la persona geográficamente y la foto puede llevarte a su perfil en la red social.
Las actividades comerciales también suelen dejar rastros en Internet y, por ejemplo, hay bastante información sobre los fundadores de empresas a disposición del público en muchos países.
El mercado negro
Los métodos más sofisticados incluyen el uso de fuentes no públicas, como bases de datos comprometidas que pertenecen a entidades gubernamentales y empresas.
Como han demostrado nuestros estudios, los puntos de venta de la darknet venden todo tipo de datos personales, desde escaneos de pasaportes (a partir de 6 dólares), hasta cuentas de aplicaciones bancarias (a partir de 50 dólares).
Los recopiladores de datos profesionales
Los investigadores subcontratan parte de su trabajo a los brókers de información, empresas que venden datos personales recopilados de diversas fuentes. Una agencia de datos no es una empresa delictiva personalizada; los bancos utilizan datos de los corredores, al igual que las agencias de publicidad y contratación. Desafortunadamente, no a todos los brókers de información les importa quién compra los datos.
Qué hacer si se filtran tus datos
En una entrevista con Wired, Eva Galperin, directora de ciberseguridad de la Electronic Frontier Foundation, sugiere que si te enteras de que se ha utilizado indebidamente tu información personal, debes ponerte en contacto con las redes sociales en las que los investigadores han publicado tus datos. Comienza con el servicio de atención al cliente o el soporte técnico. La divulgación de información privada sin el consentimiento del propietario constituye normalmente un incumplimiento del acuerdo de usuario. Aunque esto no resolverá el problema por completo, sí debería reducir el daño potencial.
Galperin también recomienda bloquear tus cuentas de redes sociales o encontrar a alguien que administre tus cuentas durante algún tiempo después de un ataque. Al igual que otras medidas disponibles posteriores a la infracción, esto no podrá deshacer los daños, pero sí te ayudaría a tranquilizarte y poder evitar algunas situaciones difíciles online.
Cómo protegerte del doxing
Es mejor reducir la probabilidad de una filtración de datos que lidiar con sus consecuencias. Sin embargo, conseguir la inmunidad no es fácil. Por ejemplo, difícilmente puedes influir en los volcados o filtraciones de bases de datos gubernamentales o de redes sociales. Sin embargo, sí puedes dificultar el trabajo de los investigadores.
No reveles secretos en Internet
En la medida de lo posible, mantén siempre tus datos personales fuera de Internet, especialmente tu dirección, número de teléfono y fotos. Asegúrate de que las fotos que publiques no contengan etiquetas geográficas y, de igual modo, que los documentos no contengan información privada.
Comprueba la configuración de tus cuentas en las redes sociales
Te recomendamos elegir una configuración de privacidad estricta en las redes sociales y los servicios que usas, dejar los perfiles abiertos solo para amigos y monitorizar tu lista de amigos con regularidad. Puedes utilizar las instrucciones paso a paso de nuestro portal para configurar tus redes sociales y otros servicios.
Protege tus cuentas de los ciberdelincuentes
Usar una contraseña diferente para cada cuenta puede ser una molestia (aunque no tiene por qué serlo), pero es una protección de vital importancia. Si usas la misma contraseña en todas partes y uno de tus servicios la filtra, ni siquiera la configuración de privacidad más estricta te ayudará.
Te recomendamos utilizar un gestor de contraseñas. Nuestra solución Kaspersky Password Manager guarda no solo las contraseñas, sino también los sitios web y los servicios a los que acceden, y tan solo tendrás que recordar una única clave maestra. También recomendamos usar la autentificación en dos pasos siempre que puedas, para fortalecer aún más tu defensa.
Juega de forma inteligente con las cuentas de terceros
Siempre que sea posible, evita registrarte en sitios web que utilicen redes sociales u otras cuentas que contengan tus datos reales. Asociar una cuenta con otra hace que tus actividades online sean más fáciles de seguir, por ejemplo, al vincular tus comentarios con tu propio nombre.
Para resolver este problema, utiliza al menos dos cuentas de correo electrónico, reservando una para tus cuentas de nombre real y la otra para los sitios web en los que prefieres permanecer en el anonimato. Utiliza también diferentes apodos para diferentes recursos, de forma que la recopilación de información sobre tu presencia en Internet sea más difícil.
Intenta crear un expediente sobre ti mismo
Una forma de conocer el estado de tu privacidad es desempeñar el papel de un investigador y buscar información sobre ti en Internet. De esta forma, podrás conocer cualquier problema que tengan tus cuentas de redes sociales y averiguar qué partes de tus datos personales se encuentran en Internet. Lo que encuentres puede ayudarte a rastrear la fuente de dichos datos y posiblemente incluso aprender a eliminarlos. Para estar siempre atento de forma pasiva, puedes configurar Google para que te notifique sobre los nuevos resultados de búsqueda en consultas que contengan tu nombre.
Elimina la información sobre ti
Puedes denunciar cualquier contenido que infrinja tu privacidad y solicitar a los motores de búsqueda y las redes sociales que eliminen tus datos (por ejemplo, aquí encontrarás las instrucciones para Google, Facebook y Twitter).
Las redes sociales y otros servicios normalmente no permiten la publicación no autorizada de datos personales a través de su política de uso, pero en realidad, solo las autoridades policiales pueden controlar ciertos recursos dudosos.
Los brókers de información legales normalmente permiten que las personas eliminen su información personal, pero teniendo en cuenta la gran cantidad de empresas que existen de este tipo, eliminar todo no será fácil. Sin embargo, a su vez, existen agencias y servicios que pueden ayudarte a borrar tus huellas digitales. Tendrás que encontrar el equilibrio entre facilidad, minuciosidad y coste que funcione para ti.
Consejos rápidos
Cualquiera puede ser atacado por doxing en cualquier momento, con o sin motivo aparente. Estos consejos te ayudarán a preservar tu privacidad online:
- Mantén tus datos personales (nombre real, dirección, lugar de trabajo, etc.) fuera de Internet.
- Bloquea tus cuentas de redes sociales a personas ajenas y usa contraseñas sólidas y únicas y la autentificación en dos pasos. Para administrar tus contraseñas, instala Kaspersky Password Manager.
- Evita usar la cuenta de un servicio para iniciar sesión en otro, especialmente si una de esas cuentas contiene tus datos reales.
- Sé proactivo: intenta crear un expediente sobre ti mismo y solicita la eliminación de datos de cualquier servicio que sepa demasiado sobre ti.
- Considera la posibilidad de eliminar las cuentas por completo. Es un método radical (aunque derrotista) para frustrar el doxing y podemos ayudarte a hacerlo correctamente sin perder los datos más importantes.
El doxing representa solo una incursión de la ubicuidad de los datos online en la vida real, que además tiene el potencial de arruinar vidas. Descubre nuestras noticias e información práctica sobre el doxing y cómo mantenerse a salvo.