El término doxing es una abreviatura de una expresión inglesa que es ‘dropping documents’, ‘docs’ y ‘dox’, lo cual se ha castellanizado al doxeo, y se trata de una actividad en la que un individuo en internet, incluyendo los hackers, obtienen información de otros y la publican en línea sin haber tenido previamente su autorización.
Es bastante común que en los últimos tiempos ver que influencers, políticos y famosos sean doxeados, exponiendo sus datos personales, porque han sido el objetivo de una trama con mala intención de cualquier usuario de internet con cierta pericia.
¿Qué es el doxing?
Después de lo que hemos dicho, es fácil concluir que el doxing es un acceso no autorizado de un usuario de la red, por medio del cual éste logra obtener los datos personales de un individuo y sin tener su autorización los hace públicos para que cualquiera pueda tener acceso a ellos.
¿De qué manera funciona un doxing?
Es posible que encuentres que lo llaman doxxing, y estaremos haciendo referencia a la misma conducta, y funciona como una actividad con mala intención en la cual los hackers o cualquier amenaza en línea se interesan por exponer la identidad de un individuo que tiene la intención de mantenerse en el anonimato, o que tiene el propósito de acosar o humillar a alguien que quiere permanecer anónimo.
¿El doxing es legal?
Gracias a que hay una gran cantidad de información personal derramada por todo el internet, los llamados doxers (buscadores de información) pueden tener acceso a ese montón de datos privados de un modo que es completamente legal.
Un ejemplo típico de esto es cuando una persona sube su currículo a una web pública porque se encuentra buscando empleo y coloca allí su correo electrónico, su dirección de residencia y un número de móvil para poder ser contactado, y esa información queda disponible públicamente para cualquiera que manifiesta interés en la búsqueda de empleo de esa persona.
De esa manera, habremos dado todos nuestros datos privados de manera voluntaria, así que si ello es encontrado y luego doxeado, ¿cómo podríamos decir que es ilegal? Ya que nosotros mismos suministramos voluntariamente nuestros datos.
¿Cuáles son los métodos utilizados para hacer un doxing?
Existen toda clase de métodos que pueden utilizar los usuarios con malas intenciones en internet para poder tener acceso a los datos personales de los demás y a su identidad on line. Para un hacker o un doxer que tenga los conocimientos técnicos requeridos, cazar información en internet puede resultar una tarea bastante sencilla.
Entre las maneras más utilizadas y exitosas que emplea un doxer para hacerse con los datos que desean, podemos mencionar:
El ciberacoso en redes sociales
Cuando logran compartir públicamente una cuenta, los datos de esas cuentas en las redes sociales quedan abiertos a todo aquel que tenga interés y un poco de maña para mirar dentro de ellas. Cualquiera podría tener acceso a los datos privados o personales de un individuo, mientras éste piensa que en realidad está compartiendo en línea con sus amigos y sus familiares, cuando en realidad están siendo víctimas de un doxing.
Recuerda que entre las preguntas de seguridad de una cuenta se crean partiendo de las relaciones con otras personas, con familiares, nombres de mascotas, de universidades o escuelas a las que una persona asistió. Si esa información se hace pública en internet, un doxer tendrá las respuestas a las preguntas de seguridad.
Hacer una búsqueda WHOIS entre nombres de dominios
Cuando un dueño de un negocio registra un dominio para tener su propia web, tiene la opción de proporcionar datos que sean sensibles, como la dirección de su residencia privada, sus números privados fijos o móviles, su correo electrónico, y para un doxer será muy sencillo tener acceso a estos datos y llevar a cabo un doxing con tus datos.
Dar seguimiento a los nombres de los usuarios
Un doxer es capaz de rastrear los nombres de los usuarios en todas las aplicaciones y páginas webs, simplemente generando un perfil de búsqueda basado en el modo en que se comportan los usuarios. Aunque no lo creas, esto es muy sencillo de utilizar en redes sociales como Twitter y Reddit, donde aunque piensen los usuarios que son anónimos, la realidad es que son muy sencillos de localizar. Así el doxer recoge los datos y los usa contra su objetivo, realizando un doxing.
Usar los registros del gobierno para hurtar datos personales
Existen muchas páginas web que contienen registros que son públicos y los mismos están disponibles para poder realizar cualquier búsqueda, registros de tráfico, proveedores de los registros de una comarca, páginas de agencias que expiden licencias para negocios, agencias de matrimonios, todas las que se te puedan ocurrir, facilitando el doxing.
No sólo el personal autorizado tiene acceso a ellas para conocer los antecedentes penales de una persona, o los datos afiliados a un carné de conducción, pues cualquiera con ciertos conocimientos puede tener acceso a esa información personal y hacer doxing publicándola en línea.
Estafas que usan el phising para obtener datos personales
Emplear el phising es algo que los ciberdelincuentes usan desde hace tiempo para obtener información sensible directamente de las víctimas y hacer doxing. Cuando un doxer está a la caza de datos, puede tratar de pescarla, haciéndose pasar por una institución que puede ser financiera y solicitar datos específicos de la identificación por medio de un correo electrónico.
También es común que traten de engañar a sus víctimas para que pulsen el ratón encima de enlaces maliciosos que les permiten a los doxers tener acceso a los dispositivos de éstas y filtrar sus apps y sus webs, haciendo que el doxing sea una actividad simple para ellos.
Hacer seguimiento a las direcciones IP
Cuando un hacker logra ubicar una dirección IP, también va a encontrar su dirección física, de modo que podría abrir el Wi-Fi y accesar al proveedor de los servicios de internet de su víctima y realizar hackeos y ciberataques. Y al tener la dirección física, por medio del doxing podrán realizar referencias cruzadas con ella, usando otras salidas y encontrar todo tipo de datos.
Además, las entidades financieras que suministran a sus clientes tarjetas de crédito, suelen utilizar direcciones físicas y códigos postales con el propósito de confirmar que se ha usado la tarjeta.
Búsqueda inversa de teléfonos
Siempre que un móvil esté disponible en línea, es muy simple hacer doxing y que se vuelva un objetivo de las estafas que emplean SMS, también llamadas vishing. Cuando un ciberdelincuenteya posee un número de móvil, puede usar un servicio de búsqueda inversa de teléfonos móviles y averiguar muchas más cosas del propietario de ese número.
Y existen otros medios que pueden emplear los ciberdelincuentes para encontrar toda tu información y luego exponerla públicamente, pues sólo necesitan de ciertas habilidades específicas y listo, acceden a todos tus datos y te convierten en víctima exponiéndote por medio del doxing.