Doxing: qué es y cómo defenderse de la recopilación de datos en línea

El doxing es la recopilación y publicación de datos de identificación personal en línea sin el consentimiento del propietario. Se trata de un fenómeno creciente del que es bueno mantener las distancias. He aquí cómo.

0
17

Cada vez que le da un «me gusta» a algo en una red social, se une a una comunidad de vecinos en su barrio, publica su currículum o es filmado por una cámara de seguridad en las calles de su ciudad, toda esta información se almacena y acumula en bases de datos. Quizá no tenga ni idea de hasta qué punto toda esta información, cada acción en Internet y casi cada acción en el mundo real, le hace vulnerable a los ataques externos.

Así que demos la bienvenida al doxing, una palabra que se refiere a la recopilación y publicación en línea de información personal identificable sin el consentimiento del propietario. Además de ser desagradable, puede tener graves consecuencias en la vida real, afectando a la reputación de la víctima, a su trabajo e incluso puede amenazar su seguridad física.

Las motivaciones de los doxers (es decir, los que se dedican al doxing) pueden ser variadas. Algunos creen que están desenmascarando a delincuentes, otros intentan intimidar a sus oponentes en línea y otros lo hacen para vengar agravios personales. El fenómeno del doxing surgió en la década de 1990, pero desde entonces se ha vuelto cada vez más peligroso, y hoy en día, con el volumen de información privada al alcance de todos, el doxing no requiere realmente de habilidades o privilegios especiales.

Los expertos de Kaspersky ofrecen una mirada en profundidad a los métodos de los doxers y dan consejos sobre cómo defenderse.

Doxing: una mirada al interior
Como no requiere ni conocimientos especiales ni muchos recursos, el doxing se ha convertido en una práctica muy común. Las herramientas que utilizan los doxers también suelen ser legítimas y públicas.

Motores de búsqueda
Los motores de búsqueda normales pueden ofrecer mucha información personal, y con las funciones de búsqueda avanzada (por ejemplo, buscar en sitios web o tipos de archivos específicos), pueden ayudar a los doxers a encontrar la información correcta más rápidamente. Además del nombre y el apellido, incluso un apodo puede delatar los hábitos de una persona en Internet. Por ejemplo, la práctica común de utilizar el mismo apodo en diferentes sitios web facilita las cosas a los investigadores en línea, que pueden utilizarlo para añadir comentarios y publicaciones de cualquier fuente pública.

Redes sociales
Las redes sociales, incluidas las profesionales como LinkedIn, contienen una gran cantidad de datos personales. Un perfil público con datos reales es, básicamente, un expediente ya preparado. Incluso si un perfil es privado o está abierto sólo a los amigos, un investigador experimentado puede reunir información escudriñando los comentarios de la víctima, las comunidades, las publicaciones de los amigos, etc. Si a esto se le añade una solicitud de amistad, quizás de alguien que se hace pasar por un reclutador, se pasa al siguiente nivel: la ingeniería social.

Ingeniería social
La ingeniería social, un elemento básico de muchos ataques, explota la naturaleza humana para ayudar a los doxers a obtener información. Utilizando la información disponible públicamente sobre una empresa como punto de partida, un doxer puede ponerse en contacto con la víctima y convencerla de que facilite información personal. Por ejemplo, un doxer puede hacerse pasar por un empleado de la sanidad o un representante de un banco para intentar extorsionar a la víctima, una estratagema que funciona mucho mejor si se le añaden unas cuantas pizcas de verdad como cebo.

Fuentes oficiales
Los personajes públicos suelen tener más dificultades para mantener el anonimato en Internet, pero eso no significa que las estrellas de rock y los deportistas profesionales sean los únicos que necesitan salvaguardar su información personal. Un doxer también puede utilizar el perfil de un empleador para traicionar la confianza de una víctima potencial de doxing, como por ejemplo utilizando el nombre completo y la foto en la página «Sobre nosotros» de la empresa, o tomando la información de contacto completa en el sitio web de la división de la empresa.

Todo parecería muy inocente y legítimo, sin embargo la información general de la empresa te acerca geográficamente a la persona objetivo, y la foto puede llevar a su perfil en las redes sociales. Las actividades empresariales también suelen dejar rastro en Internet; por ejemplo, en muchos países, varios datos sobre quién fundó una empresa están a disposición de todo el mundo.

Mercado negro
Los métodos más sofisticados incluyen el uso de fuentes no públicas, como bases de datos comprometidas pertenecientes a organismos gubernamentales y empresas. Como han demostrado nuestros estudios, los mercados de la darknet venden datos personales de todo tipo, desde escaneos de pasaportes (a partir de 6 dólares) hasta cuentas de aplicaciones bancarias (a partir de 50 dólares).

Recolectores de datos profesionales
Los «doxers» subcontratan parte de su trabajo a corredores de datos, empresas que venden los datos personales recogidos de diversas fuentes. No se trata de una actividad delictiva personalizada: los bancos utilizan corredores de datos, al igual que las agencias de publicidad y de contratación. Pero, por desgracia, no todos los corredores de datos se molestan en verificar quién compra esos datos.

Qué hacer si te has visto envuelto en una fuga de datos
En una entrevista en Wired, Eva Galperin, directora de ciberseguridad de la Electronic Frontier Foundation, sugiere ponerse en contacto con las redes sociales en las que los doxers han publicado datos sin el consentimiento del interesado; se puede empezar por el servicio de atención al cliente o el soporte técnico. Divulgar información privada sin el consentimiento del propietario es normalmente una violación de las condiciones de uso. Aunque esta medida no resolverá completamente el problema, debería reducir los daños potenciales.

Galperin también recomienda bloquear las cuentas de las redes sociales o encontrar a alguien que las gestione durante un tiempo después de un ataque. Al igual que con otras medidas disponibles en situaciones como ésta, puede que no deshaga el daño, pero podría evitar un estrés adicional y algunas situaciones difíciles en línea.

Cómo defenderse del doxing
Sin duda, lo ideal sería reducir la probabilidad de que se produzca una filtración de datos en lugar de tener que lidiar con las consecuencias. Sin embargo, ser inmune a ella no es una tarea fácil. Por ejemplo, difícilmente se puede evitar un volcado de datos o una filtración de información de las bases de datos gubernamentales o de las redes sociales. Sin embargo, es posible poner un radio en las ruedas de los doxers.

No reveles secretos en Internet
Mantenga su información personal fuera de Internet, especialmente su dirección, número de teléfono y fotos, en la medida de lo posible. Asegúrese de que las fotos que publique no contengan información de localización y que los documentos no contengan información privada.

Comprueba la configuración de tus cuentas de redes sociales
Kaspersky recomienda elegir una configuración de privacidad estricta en las redes sociales y otros servicios, dejar los perfiles abiertos sólo para los amigos y controlar regularmente la lista de amigos. Puedes utilizar las instrucciones paso a paso del portal Privacy Checker para la configuración de la privacidad en las redes sociales y otros servicios.

Proteja sus cuentas de los ciberdelincuentes
Utilizar una contraseña diferente para cada cuenta puede ser una molestia (aunque no tiene por qué serlo), pero es una precaución importante. Si utilizas la misma contraseña en todas partes y uno de los sitios está involucrado en una filtración de datos, ni siquiera la configuración de privacidad más estricta te salvará.

También te recomendamos que utilices un gestor de contraseñas y que uses la autenticación de dos factores siempre que sea posible para reforzar aún más tu línea de defensa.

Cuentas de terceros
En la medida de lo posible, evite registrarse en sitios web mediante redes sociales u otras cuentas que contengan sus datos reales. Asociar una cuenta con otra facilita el seguimiento de tus actividades en línea al crear un vínculo entre tus comentarios y tu nombre real.

Para solucionar este problema, es importante tener al menos dos cuentas de correo electrónico, reservando una para sus cuentas con su nombre real y la otra para los sitios web en los que prefiere permanecer en el anonimato. Utilice también diferentes apodos para los distintos recursos, para dificultar la recopilación de información sobre su presencia en Internet.

Intenta hacer un dossier sobre ti mismo
Una forma de conocer el estado de tu privacidad es convertirte en un doxer por un día y buscar en Internet información sobre ti. De este modo, podrá conocer cualquier problema con sus cuentas de redes sociales y saber qué información personal circula por Internet. Lo que encuentres puede ayudarte a rastrear el origen de esos datos y, posiblemente, a averiguar cómo eliminarlos. Para una vigilancia pasiva, puedes configurar una notificación de Google para que te informe de cualquier nuevo resultado de búsqueda sobre consultas que contengan tu nombre.

Borrar información sobre usted
Puedes denunciar cualquier contenido que viole tu privacidad y pedir a los motores de búsqueda y a las redes sociales que eliminen tu información (por ejemplo, aquí tienes instrucciones para Google, Facebook y Twitter). Las redes sociales y otros servicios no suelen permitir la publicación no autorizada de datos personales, como se indica en las condiciones de uso, pero en realidad sólo las fuerzas del orden pueden echar mano de ciertos recursos dudosos.

Los corredores de datos legales normalmente permiten a los usuarios eliminar la información personal, pero son muchas empresas y eliminar todo no será fácil. Sin embargo, al mismo tiempo, hay agencias y servicios que pueden ayudarle a deshacerse de estos rastros digitales. Tendrá que encontrar un equilibrio entre facilidad, precisión y coste que le convenga.

Redacción CambioDigital OnLine  – CWI.it

Artículo anteriorUn ataque ‘ransomware’ paraliza un oleoducto crítico en Estados Unidos
Artículo siguienteTwitter Spaces: 7 consejos para la comunicación empresarial