Doxing

práctica basada en Internet de investigar y transmitir información privada o de identificación sobre un individuo u organización

Los términos doxing, doxxing y doxeo (adaptación al español) describen el acto de revelar intencional y públicamente información personal sobre un individuo u organización, generalmente a través de internet.[1][2]

Los métodos empleados para adquirir esta información incluyen búsquedas en bases de datos de acceso público y redes sociales (como Facebook o Twitter), hackeos e ingeniería social.

El doxeo se realiza por diversos motivos, incluyendo ayuda de justicieros en la aplicación de la ley, análisis de negocios, analíticas de riesgos, extorsión, coerción, hostigamiento y exposición pública.[3][4]​ También está relacionado con el ciberactivismo o hacktivismo.

Existen diferentes motivaciones para el doxeo. Incluyen hacerlo para revelar un comportamiento dañino y responsabilizar al infractor. Otros lo utilizan para avergonzar, asustar, amenazar o castigar a alguien. También se utiliza a menudo para el acoso cibernético, lo que podría hacer que alguien tema por su seguridad. Los investigadores han señalado que algunos casos de doxeo pueden justificarse, como cuando revela un comportamiento dañino, pero sólo si el acto de doxeo también se alinea con el público.[1]

Etimología

editar

El término doxing es un neologismo inglés. Proviene de una alteración en la escritura del acortamiento docs (de documents ‘documentos’) y se refiere al «acto de compilar y publicar un expediente con información personal de alguien».[5][6]​ Esencialmente, el doxeo es revelar y publicar registros de un individuo, que previamente eran privados o difíciles de obtener.

El término dox deriva del argot dropping dox, que, de acuerdo con Mat Honan, escritor para el sitio Wired, era «una táctica de venganza de la vieja escuela que emergió de la cultura hacker en los años 90». Los hackers que operaban fuera de la ley en esa época violaban el anonimato de un oponente para así exponerlos al acoso o repercusiones legales.[6]

Por tanto, el término doxing suele venir acompañado de una connotación negativa, porque puede ser un medio para la venganza a través de la violación de la privacidad.

Historia

editar

El doxware es un ataque criptovirólogo inventado por Adam Young y desarrollado después por Moti Yung que realiza extorsión mediante el doxeo utilizando programas maliciosos. Se presentó por primera vez en West Point en 2003. El ataque está enraizado en la teoría de juegos y originalmente fue denominado «juego de suma no nula y programa malicioso no letal».[7]

El ataque se resume en el documento Malicious Cryptography como sigue:

El ataque difiere de un ataque de extorsión de la siguiente manera. En un ataque de extorsión, a la víctima se le deniega el acceso a su propia información valiosa y tiene que pagar para volver a conseguirla, cuando en el ataque que estamos tratando la víctima mantiene acceso a su información pero su revelación queda a merced del virus informático.[8]

Doxware es el inverso de ransomware. En un ataque ransomware (llamado originalmente extorsión criptoviral), el programa encripta los datos de la víctima y demanda un pago para obtener la clave de desencriptación necesaria. En un ataque criptovirológico de doxware, el atacante o el programa roba los datos de la víctima y amenaza con publicarlos a no ser que se realice un pago.

Técnicas comunes

editar

Cualquiera puede obtener información sobre un individuo en Internet. No hay una estructura particular para el doxeo, lo que significa que se puede estar buscando cualquier tipo información relacionada con el objetivo. Una búsqueda simple en la red puede ofrecer resultados. Plataformas sociales como Facebook, Twitter y Discord ofrecen una gran cantidad de información privada, pues muchos usuarios tienen un alto nivel de publicación de información (como por ejemplo compartir sus fotos, decir su lugar de trabajo, número de teléfono, dirección de correo electrónico), pero niveles bajos de seguridad. También es posible obtener el nombre y la dirección de una persona a través de su número de teléfono, mediante servicios como la búsqueda inversa por teléfono.

La ingeniería social se ha usado para extraer información de fuentes gubernamentales o de compañías de teléfonos.

Además de estos, un doxeador puede utilizar otros métodos para obtener información. Por ejemplo, puede localizar a un individuo mediante su dirección IP.

Una vez que el individuo ha sido expuesto utilizando el doxeo, puede que sea objeto de hostigaciones a través de métodos como la hostigación en persona, que su correo sea usado para darse de alta de forma fraudulenta en sitios de internet, o a través del swatting.

Es importante remarcar que un hacker puede obtener la información sobre un individuo sin hacerla pública. El hacker puede buscar esta información para extorsionar o coaccionar a un objetivo conocido o desconocido. También, un hacker puede recolectar esta información para obtener acceso a las cuentas de internet de su víctima o conseguir un control sobre sus redes sociales.

Es posible que se enseñen sus datos a la víctima para mostrar una prueba de que se les ha realizado un doxeo y esta se sienta intimidada. El atacante puede usar el miedo y la intimidación para ganar poder sobre la víctima para poder extorsionarla o coaccionarla. El doxeo es por tanto una táctica estándar de hostigamiento en línea y ha sido usado por personas asociadas con 4chan, la controvesia Gamergate y activistas antivacunas.[9][10][11][12][13]

La cuestión ética de la realización de doxeo por parte de periodistas, en asuntos que clasifican como de interés público, es un área de mucha controversia. Muchos autores han argumentado que el doxeo en el periodismo se encuentra en la línea entre la revelación de información de interés público y la publicación de la vida privada de un individuo en contra de sus intereses.[14][15][16]

Ejemplos notables

editar

Maratón de Boston

editar

Tras el atentado de la maratón de Boston, justicieros de Internet en Reddit identificaron erróneamente a un grupo de personas como sospechosos.[17]​ Entre los sospechosos acusados estaba Sunil Tripathi, un estudiante del que se había informado que estaba desaparecido antes de que las explosiones tuvieran lugar. Un cuerpo identificado como el de Tripathi se encontró en el Providence River de Rhode Island el 25 de abril de 2013, como certifica el Departamento de Salud de Rhode Island. La causa de la muerte no fue inmediatamente conocida, pero las autoridades dijeron que no creían que fuera un truco.[18]​ La familia confirmó más tarde que la muerte había sido por suicidio.[19]​ El director general de Reddit, Martin, publicó posteriormente una disculpa por este comportamiento, criticando la «caza de brujas y especulación peligrosa» que había tenido lugar en la página web.[20]

Lista negra de proveedores de abortos

editar

En la década de 1990, activistas anti-aborto recopilaron información personal de proveedores de servicios de aborto, como direcciones, números de teléfono y fotografías, y los publicaron en forma de lista negra, lo que se calificó por los juzgados como incitación a la violencia. El sitio web ofrecía la siguiente clasificación: «Negrita (en activo); Nombre en color gris (herido); Tachado (muerto)». La web incluía imágenes sangrientas, celebraba la muerte de estas personas e incitaban a otros a matar o herir a los que aún estaban en la lista. Entre 1993 y 2016, ocho proveedores de servicios de aborto fueron asesinados por activistas anti-aborto.[21][22]

Anonymous

editar

El término dox se dio a conocer entre el público a través de la atención mediática producida por Anonymous, grupo de hacktivistas que hacen uso habitual del doxeo,[23]​ y otros relacionados como AntiSec y LulzSec. Las consecuencias para personas inocentes que han sido acusadas de «hacer el mal» y doxeadas, han sido descritas por The Washington Post como «pesadillescas».[24]​ En diciembre de 2011, Anonymous publicó información detallada de 7000 miembros de cuerpos de seguridad del estado en respuesta a investigaciones sobre actividades de hackeo.

En noviembre de 2014, Anonymous empezó a revelar identidades de miembros del Ku Klux Klan.[25]​ Este hecho estaba en relación con que miembros del Klan en Ferguson estaban realizando amenazas de disparar a cualquiera que los provocara mientras protestaban la muerte de Michael Brown. Anonymous también consiguió acceso a la cuenta de Twitter del grupo, lo que resultó en amenazas de violencia contra miembros de Anonymous.[26]​ En noviembre de 2015, estaba planeada una revelación de información sobre el KKK. Cierta información sin autor fue publicada antes y Anonymous negó tener algo que ver en ello.[27]​ El 5 de noviembre de 2015 (en la noche de Guy Fawkes), Anonymous publicó una lista oficial de supuestos miembros del KKK y simpatizantes.[28]

Motor de búsqueda de carne humana

editar

El fenómeno de Internet chino del «motor de búsqueda de carne humana» tiene mucho en común con el doxeo. Específicamente, se refiere a búsquedas distribuidas, a veces abiertamente colaborativas, de información del mismo tipo a través de medios de comunicación digitales.[29][30]

Periodistas

editar

Periodistas de The Journal News en el Condado de Westchester fueron acusados de doxear a propietarios de armas en la región con una publicación de diciembre de 2012.[31]

Newsweek estuvo en el punto de mira cuando la escritora Leah McGrath Goodman aseguró haber revelado la identidad del creador anónimo de Bitcoin, Satoshi Nakamoto. Aunque la fuente de su investigación era principalmente con datos públicos, fue ampliamente criticada por su uso del doxeo por parte de usuarios de Reddit.

El caso de Satoshi Nakamoto llevó el doxeo a un nivel mayor, particularmente a plataformas como Twitter, donde los usuarios cuestionaban la ética del doxeo en el periodismo. Muchos tuiteros condenaban el doxeo en el mundo del periodismo, aunque argumentasen que esa práctica era únicamente aceptable para periodistas profesionales. Otros usuarios discutían el efecto que la popularización del concepto del doxeo podría tener en el interés público, haciendo preguntas de interés periodístico tanto privado como público. Muchos usuarios han defendido que el doxeo difumina la línea entre publicar información de interés público y revelar información sobre la vida privada de un individuo en contra de su voluntad.[14][16]

Curt Schilling

editar

En marzo de 2015, el ex lanzador Curt Schiling de la Major League Baseball usó el doxeo para identificar a varias personas responsables de mensajes trol en Twitter con mensajes obscenos, con comentarios explícitamentes sexuales sobre su hija adolescente. Una persona fue expulsada de su universidad y otra perdió su trabajo en los New York Yankees.[32]

Alondra Cano

editar

En diciembre de 2015, la concejala de Mineápolis Alondra Cano usó su cuenta de Twitter para publicar números de móvil y direcciones de correo de críticos que escribían sobre su implicación en la manifestación de Black Lives Matter.[33]

Lou Dobbs

editar

En 2016, el presentador de las noticias de Fox Business reveló la dirección y el número de teléfono de Jessica Leeds, una mujer que acusó al candidato a presidente estadounidense Donald Trump de abusos sexuales. Más tarde, Dobbs se disculpó.[34]

Correos electrónicos de Erdogan

editar

En julio de 2016, Wikileaks publicó 300 000 correos electrónicos bautizados como los correos electrónicos de Erdogan, pensados inicialmente para dañar al presidente turco Recep Tayyip Erdoğan. En esa filtración estaba incluido Michael Best, que subió bases de datos con información personal de ciudadanos promovidas por WikiLeaks, quien acabó diciendo que había sido un error tras el borrado de la información por parte de la página web donde la subió.

Véase también

editar

Referencias

editar
  1. a b Douglas, David M. (1 de septiembre de 2016). «Doxing: a conceptual analysis». Ethics and Information Technology (en inglés) 18 (3): 199-210. ISSN 1572-8439. doi:10.1007/s10676-016-9406-0. Consultado el 15 de febrero de 2024. 
  2. Fracchia, Gonzalo (28 de diciembre de 2022). «Doxing, la práctica de acoso en redes que revela información personal e identidades ocultas: cómo evitarlo». El Litoral. Internet y tecnología. Consultado el 14 de diciembre de 2024. 
  3. Bright, Peter (7 de marzo de 2012). «Doxed: how Sabu was outed by former Anons long before his arrest». Ars Technica (en inglés). Consultado el 23 de octubre de 2012. 
  4. Clark Estes, Adam (28 de julio de 2011). «Did LulzSec Trick Police Into Arresting the Wrong Guy?». The Atlantic Wire (en inglés). Archivado desde el original el 29 de octubre de 2013. Consultado el 23 de octubre de 2012. 
  5. Luis Castro (1 de noviembre de 2019). «¿Qué es el doxing?». Consultado el 3 de julio de 2021. 
  6. a b Honan, Mat (6 de marzo de 2014). «What Is Doxing?» [¿Qué es el doxeo?]. Wired (en inglés). Consultado el 10 de diciembre de 2014. 
  7. Young, A. (2003). Non-Zero Sum Games and Survivable Malware. IEEE Systems, Man and Cybernetics Society Information Assurance Workshop (en inglés). pp. 24-29. 
  8. A. Young, Moti Yung (2004). Malicious Cryptography: Exposing Cryptovirology. Wiley. ISBN 0-7645-4975-8. 
  9. Mix (16 de octubre de 2017). «Someone is blackmailing dark web users to pay up or get doxxed». The Next Web (en inglés estadounidense). Consultado el 6 de diciembre de 2017. 
  10. Hern, Alex. «Gamergate hits new low with attempts to send Swat teams to critics». The Guardian. Consultado el 2 de julio de 2015. 
  11. Mulvaney, Nicole. «Recent wave of swatting nationwide fits definition of terrorism, Princeton police chief says». NJ.com. Consultado el 3 de julio de 2015. 
  12. Liebl, Lance. «The dangers and ramifications of doxxing and swatting». Gamezone. 
  13. Diresta & Lotan. «How antivaxxers influence legislation». Wired. Conde Nast. Consultado el 3 de julio de 2015. 
  14. a b «Newsweek, Bitcoin and the ethics of 'doxxing'». america.aljazeera.com. Consultado el 1 de diciembre de 2015. 
  15. «Rethinking the ethics of doxing • Background Probability». Background Probability (en inglés estadounidense). Consultado el 1 de diciembre de 2015. 
  16. a b Ingram, Mathew (6 de marzo de 2014). «Of Bitcoin and doxxing: Is revealing Satoshi Nakamoto’s identity okay because it was Newsweek and not Reddit?». Archivado desde el original el 8 de diciembre de 2015. Consultado el 1 de diciembre de 2015. 
  17. «Innocents accused in online manhunt». 3 News NZ. 22 de abril de 2013. Archivado desde el original el 15 de diciembre de 2013. Consultado el 16 de enero de 2018. 
  18. Buncombe, Andrew. «Family of Sunil Tripathi - missing student wrongly linked to Boston marathon bombing - thank well-wishers for messages of support». The Independent. Archivado desde el original el 17 de enero de 2015. Consultado el 17 de enero de 2015. «The cause of the student's death has still be determined but the medical examiner said no foul play was suspected.» 
  19. Nark, Jason. «The Boston bombing's forgotten victim». Philadelphia Daily News. Archivado desde el original el 31 de octubre de 2014. Consultado el 31 de octubre de 2014. «Akhil spent the most time with Sunny before his suicide, weekends at Brown where he tried to help his youngest child foresee a future.» 
  20. Martin, Erik. «Reflections on the Recent Boston Crisis». Reddit.com. Consultado el 3 de mayo de 2013. 
  21. How Abortion Providers Are 'Living in the Crosshairs' By Tara Murtha, Rolling Stone, May 18, 2015
  22. Strikethrough (Fatality); The origins of online stalking of abortion providers. By David S. Cohen and Krysten Connon, Slate, May 21 2015]
  23. «Anonymous's Operation Hiroshima: Inside the Doxing Coup the Media Ignored (VIDEO)». Ibtimes.com. 1 de enero de 2012. Consultado el 23 de octubre de 2012. 
  24. Ohlheiser, Abby (5 de noviembre de 2015). «What you need to know about Anonymous’s big anti-KKK operation». Consultado el 15 de junio de 2016 – via washingtonpost.com. 
  25. «Hacker-activist group Anonymous seizes KKK Twitter accounts; reveals identities» [El grupo jáquer-activista Anonymus se apodera de las cuentas de Twitter de KKK; revela identidades]. Fox 2 Now. Consultado el 21 de noviembre de 2014. 
  26. «Ferguson KKK Doubles Down By Threatening To Shoot People Wearing Anonymous Guy Fawkes Masks». If Only You News. Archivado desde el original el 21 de noviembre de 2014. Consultado el 21 de noviembre de 2014. 
  27. Woolf, Nicky; Stafford, Zach (3 de noviembre de 2015). «Anonymous denies releasing incorrect Ku Klux Klan member information». Consultado el 15 de junio de 2016. 
  28. «Anonymous posts Ku Klux Klan alleged sympathisers list». Consultado el 14 de junio de 2016. 
  29. Fletcher, Hannah (25 de junio de 2008). «Human flesh search engines: Chinese vigilantes that hunt victims on the web». The Times. 
  30. Branigan, Tania (24 de marzo de 2010). «How China's internet generation broke the silence». The Guardian. 
  31. Alfonso, Fernando (26 de diciembre de 2012). «Lawyer doxes 50 journalists who doxed gun owners». The Daily Dot. 
  32. Machkovech, Sam (3 de marzo de 2015). «Former MLB pitcher, 38 Studios founder doxes his daughter’s online abusers». ArsTechnica. 
  33. «Minneapolis City Council Member Alondra Cano under fire for posting phone numbers, e-mail addresses of constituents». Star Tribune. Consultado el 26 de diciembre de 2015. 
  34. Steph Solis, USA TODAY, October 13, 2016, Lou Dobbs apologizes for sharing Trump accuser's address, number, Retrieved October 14, 2016, "... Dobbs apologized for sharing the personal information on Thursday of a woman who alleged Donald Trump sexually assaulted her...."