¿Qué es el doxing? ¿Cómo puedo prevenirlo en mi empresa?

Uno de los riesgos de tener información privada o personal en internet es que los hackers intentan obtenerla para causar daño a empresas o individuos. Entre los métodos de ataques que existen en la actualidad se encuentra el doxing. Aquí te explicamos en qué consiste y por qué debes evitarlo.

¿Qué es el doxing?

El doxing, también escrito a veces como doxxing, es una forma de ciberacoso en la que se recopila información sobre una persona o empresa y se expone en Internet sin su consentimiento.

Esta acción maliciosa usualmente tiene como objetivo humillar, intimidar, acosar o perjudicar la reputación de la víctima, e incluso puede llegar al robo de identidad.

Este tipo de ataque suele manejar información como datos personales, lugar de trabajo, número de teléfono, números de tarjetas de crédito, dirección de correo electrónico, antecedentes penales, número de seguridad social y otra información privada.

¿De dónde viene el término doxing?

El término doxing viene de la abreviación de «drop dox». «Dox» a su vez es una forma de abreviar la palabra documentos. El término surgió en 1990, cuando los hackers empezaron a sustituir «documentos» por «docs» y luego por «dox».

¿Es legal el doxing? 

La legalidad del doxing dependerá del tipo de información compartida y la fuente. El doxing se considera un ciberdelito cuando se publica en internet la información privada de un individuo. Si la información expuesta es de dominio público, usualmente no se considera que el doxing fue ilegal.

No hay muchas leyes concretas que regulen el doxing; sin embargo, podemos destacar dos casos particulares: las leyes en EE. UU. y el RGPD de la Unión Europea.

En EE. UU. se aprobó una Ley Antidoxing en Kentucky y se pueden aplicar el Estatuto de las Comunicaciones Estatales y el Estatuto Interestatal contra el Acecho. En la Unión Europea, el RGPD le otorga derechos a los individuos sobre sus datos personales.

Métodos de doxing: ¿cómo obtienen la información?

Un doxer (término utilizado para denominar a los ciberdelincuentes que hacen doxing) busca la información personal de sus víctimas en las rutas de navegación que siguen al utilizar Internet. Veamos a continuación los métodos más comunes utilizados para obtenerla.

Búsquedas WHOIS

Se trata de una herramienta de registro público y libre acceso que permite saber quién es el propietario de un dominio o dirección IP. Anteriormente, se usaba WHOIS para conocer el nombre, dirección, número de teléfono y dirección de correo electrónico del propietario; sin embargo, con la entrada en vigencia del RGPD, ahora la información aparece oculta.

Ataques de phishing

Se valen de la suplantación de identidad y otras técnicas de ingeniería social para robar la información confidencial o las credenciales de acceso de la víctima de este ciberataque. Las estafas de phishing se suelen hacer por correo electrónico, pero también puede ser por SMS (smishing) o por voz, a través de llamadas telefónicas (vishing).

Rastreo de nombres de usuario

En este método, el doxer rastrea y logra identificar la actividad en línea de un usuario en diferentes sitios Web, gracias a que suele usar el mismo nombre de usuario y correo electrónico en diferentes cuentas en línea. 

Análisis de paquetes o sniffing

El atacante busca interceptar los datos que fluyen en Internet en paquetes, mientras se envía desde el emisor hacia el receptor, para obtener información personal sobre la actividad en línea de un usuario.

Seguimiento de direcciones IP

Los doxers obtienen la dirección IP y mediante aplicaciones de suplantación y técnicas de ingeniería social, hacen una estafa de soporte técnico y engañan al proveedor de servicios de Internet (ISP) para que revele información confidencial como la fecha de nacimiento, el número de seguridad social, el número de teléfono o la dirección de correo electrónico.

Búsqueda inversa

En este método se valen del número de teléfono o correo electrónico para intentar obtener, mediante los buscadores, más datos personales que puedan estar en las páginas o plataformas de Internet.

Acoso en redes sociales

Los atacantes pueden examinar las cuentas de redes sociales como Instagram, TikTok y Facebook para conseguir la información confidencial y personal que haya en esas aplicaciones. Además, puede enviar solicitudes de conexión a las cuentas privadas para tratar de saber más sobre el usuario.

Ejemplos de doxing en la vida real

En el mundo se han dado varios casos de doxing que expusieron y afectaron considerablemente a las víctimas. 

Maratón de Boston (2013)

Luego del atentado con bomba en el maratón de Boston, usuarios de la comunidad en línea Reddit intentaron identificar a los perpetradores, pero en el proceso expusieron a varias personas inocentes que terminaron siendo víctimas de doxing. 

Ashley Madison (2015)

Un grupo de hackers expuso la información confidencial de este sitio de citas en línea en el que participaban usuarios interesados en salir con otros, a pesar de estar en una relación formal. Los ciberdelincuentes perjudicaron a millones de personas, quienes terminaron humilladas y con su reputación afectada. 

Policía de Hong Kong (2019)

Los manifestantes hicieron doxing contra los oficiales de este organismo de seguridad, así como personas que apoyaban a las fuerzas del orden. También fueron afectados periodistas y quienes participaron en las protestas.

¿Cómo saber si he sido víctima de doxing?

Por lo general, las víctimas se enteran de que han sufrido un ataque de doxing una vez que ven su información de identificación publicada en cuentas de redes sociales u otros medios públicos.

¿Cómo responder a un ataque de doxing?

Existen diferentes acciones que pueden ejecutar las víctimas del doxing:

• Notificar a las autoridades: debes poner la denuncia, sobre todo si recibes amenazas o tienes evidencias (como capturas de pantalla) donde queda constancia del ciberacoso.
• Verificar los perfiles de redes sociales: revisa si estos fueron hackeados y, en caso de ser así, bloquea tus cuentas y alerta a tus contactos.
• Configurar alertas de Google: te ayudará a recibir notificaciones cuando los datos privados sean publicados.
• Cambiar los datos: es posible que necesites cambiar de número de teléfono, nombre de usuario, u otra información personal. 

11 consejos para prevenir el doxing en tu empresa

Existen una serie de medidas que puedes tomar para prevenir el doxing en tu empresa y aquí las resumimos en 11 recomendaciones. 

1. Utiliza contraseñas seguras

Un nivel óptimo de seguridad incluye mayúsculas, minúsculas, números, símbolos y al menos 8 caracteres. Las contraseñas seguras no están relacionadas con ningún dato personal y tampoco se repite en diferentes plataformas o páginas.

Si no sabes cómo crear una contraseña segura, te recomendamos usar un gestor de contraseñas para que te ayude a administrar en una base de datos la información de inicio de sesión de las distintas cuentas que manejas.

2. Utiliza doble factor de autenticación

El doble factor de autenticación brinda una capa de seguridad adicional para proteger la información privada, ya que permite verificar la identidad de la persona que desea ingresar a una cuenta. 

Para ello utiliza un primer método, generalmente una contraseña segura, y luego un segundo método que puede variar: un código obtenido vía SMS, correo electrónico o también puede solicitar reconocimiento facial.

3. Protege tu dirección IP con una VPN

Una VPN ayuda a ocultar fácilmente tu dirección IP y conectarte a un servidor protegido antes de usar un internet público. Eso hará que el atacante o cualquier que intente descubrir tu dirección IP solo verá la del VPN, ya que la tuya permanece oculta.

4. Utiliza software antivirus y antimalware

Un software antivirus y antimalware puede impedir que aplicaciones maliciosas permitan a los hackers robar la información. Las actualizaciones que tengan con regularidad ayudarán a reducir las brechas de seguridad.

5. Evita las opciones de inicio de sesión externas

Evita los sitios o aplicaciones que te solicitan iniciar sesión con tus cuentas de Google, Facebook u otro servicio externo, ya que puedes ser vulnerable frente a una filtración de datos y un hacker podría tener acceso a tus cuentas. 

6. Solicita la eliminación de información confidencial de bases de datos en línea

Los corredores de datos venden información personal que recopilan mediante el historial de navegación, los hábitos de compra en líneas o sin conexión. Puedes contactar a las empresas de corredores de datos para solicitar que eliminen tu información confidencial de su base de datos.

7. Revisa la configuración de privacidad

Chequea la configuración de privacidad en tus perfiles de redes sociales y evalua si estás de acuerdo con la cantidad de información compartida y a quién. Tendrás la posibilidad de escoger qué deseas que sea público y cuál es la información que se mantiene confidencial.

8. No ingresar información personal si está conectado a redes wifi públicas

Si te conectas a redes wifi abiertas y estas no cuentan con las medidas de seguridad necesarias, corres el riesgo de que los hackers aprovechen esas brechas para robar tu información confidencial. 

9. Limpia el historial de búsquedas y navegación 

Este paso es muy importante, ya que en los historiales de búsqueda se queda guardada toda la información relacionada con tus lecturas, descargas y navegación en Internet. Todos estos datos les sirven de pistas sobre las futuras víctimas del doxing a los atacantes.

10. Capacita a tus colaboradores

Fomenta la cultura de ciberseguridad en tu empresa. De esta manera reduces las posibilidades de que algún empleado sea víctima del doxing y también ponga en riesgo los datos privados de la compañía. Mantén a tu personal actualizado con nuestro módulo de capacitación de nuestro programa Apolo.

11. Asesórate con expertos 

La ciberseguridad está en constante evolución y actualización, además requiere de personal capacitado y dedicado a la protección de datos. En Delta Protect tienes un aliado que puede ayudar a tu empresa a garantizar la confidencialidad de su información.

Si quieres saber cómo podemos ayudar a proteger tu empresa contra el doxing, agenda una demo con nuestros expertos y comienza a optimizar tu ciberseguridad.