Basta un segundo para publicar un dato en un rincón de Internet para que este deje de ser confidencial toda la vida. Hoy nos enfrentamos al dilema de tener que preservar nuestra privacidad, mientras contruimos una marca personal, o formamos parte de la estrategia de marca de la compañía en la que trabajamos.
Se trata de una tarea digna de equilibristas, y no es de extrañar que se den casos en los que un empleado o un responsable tiene un descuido, y publica información que termina siendo utilizada en su contra o en contra de su empresa. El doxing se encarga de dar con esa información, y cuando se adquiere conciencia de lo que esta técnica puede hacer con lo que se publica en Internet, uno empieza a ver el mundo digital con otros ojos.
¿Qué es el doxing?
El doxing es un neologismo que proviene de la abreviación de la palabra “docs” (en inglés, “documentos”). Con ella se hace referencia a las técnicas de recopilación de información por Internet sobre una persona o una organización.
Se puede echar mano de esta técnica careciendo de profundos conocimientos en informática, como veremos en el ejemplo que se cita al final. Pero el doxing también puede ser un método complejo si es llevado a cabo por un analista informático.
Por otro lado, periodistas, gobiernos, o fuerzas de seguridad recurren a esta técnica a menudo como parte de la labor investigativa, o en la resolución de casos de delitos telemáticos. Y es que, tal y como cuenta el analista informático Chema Alonso en su blog, el doxing también se utiliza para desvelar identidades ocultas en la red.
Hace falta intuición y saber qué recursos existen a la hora de consultar los datos e ir hilando la información a medida de que se va recopilando.
Parte de esta información se encuentra en bases de datos abiertas como pueden ser el WHOIS (si es público se puede comprobar el propietario de un dominio), en las redes sociales como Facebook, en los documentos que han filtrado organizaciones como Anonymous o los propios ciberdelincuentes tras un ataque. También se pueden rastrear datos desde la propia barra de búsqueda de Google, por ejemplo, al teclear un nombre completo o una dirección de e-mail.
¿Es el doxing ilegal?
En principio, la recopilación de información que se encuentra disponible en Internet no es un acto ilegal, incluso si se trata de datos privados. Muchas veces, es el propio usuario el que actúa de manera imprudente y deja información privada (e-mail, teléfono, dirección postal…) a la vista de todos.
No obstante, el doxing puede aprovecharse de actos ilegales, como por ejemplo, cuando un hacker ataca a una empresa, o a un organismo público, y publica en Internet los documentos y datos que ha obtenido con su ataque. A veces lo hacen de tal manera que cualquiera pueda acceder a ellos, como hizo Wikileaks cuando, entre octubre y noviembre de 2010, filtró documentos de la Guerra de Irak y de la política exterior de Estados Unidos. Entonces, era inevitable debatir sobre hasta qué punto estaban haciendo más mal que bien con su labor debido a que parte de esos datos eran tan confidenciales que ponían en peligro la vida de personas.
Otras veces, los hackers publican la información que roban en plataformas en las que solo se mueven otros hackers y por lo tanto, el acceso a ella es más difícil.
Es así como en España, el doxing no se considera una actividad ilegal, mientras que en Gran Bretaña sí . Allí, la agencia pública Crown Prosecution Service, pone el doxing a la altura del ciberacoso y el uso de perfiles falsos para cometer abusos.
¿Se puede prevenir la recopilación de información privada?
Por un lado, si tenemos presencia en Internet, ya sea a través de un blog, redes sociales o cualquier otra plataforma, es difícil evitar que recopilen datos de nosotros. Pero, podemos impedir que esa información sea personal y nos ponga en una situación comprometida. Por ello, es recomendable ser muy precabidos con la información que facilitamos por Internet, ya sean en redes sociales, foros o páginas web.
Por ejemplo, basta dejar un correo electrónico en los comentarios de un blog para que alguien lo tome y busque en Facebook el perfil personal de esa persona. Si utiliza el mismo e-mail para registrarse en otros servicios online, así como para trabajar o mantener el contacto con su círculo de amigos, entonces cualquiera podría trazar un mapa de quién está detrás de una dirección sin mucho esfuerzo.
Por otro lado, hay circunstancias que no se pueden evitar como es el robo de información a empresas de las que se es cliente. El ejemplo fue muy evidente cuando los hackers publicaron los datos personales de los usuarios de la red social Ashley Madison. No solo se pone en evidencia a los usuarios debido a la naturaleza de la revelación, sino que además, esa información queda ahí y podría ser utilizada para otros fines.
Lo mejor es usar una dirección de correo electrónico distinta a la personal a la hora de registrarse en servicios online. Por supuesto, el e-mail del trabajo no se debería utilizar si no es para un uso estrictamente laboral.
Además, si somos clientes de una empresa que acaba de sufrir un ataque hacker, lo mejor es cambiar las credenciales de acceso al servicio, y tener claro que a esa dirección podría llegar un correo phishing.
¿Podría afectar el doxing a una empresa?
El doxing guarda relación con la ingeniería social, una técnica que también es importante conocer.
En lo que a la ciberseguridad de una empresa se refiere, la ingeniería social nos deja una lección a tener en cuenta a la hora de prevenir el doxing: el ser humano es el eslabón más débil, y este es el factor mediante el cual podrían atacar una compañía.
De esta manera, se confirma que la recopilación de información (doxing) que los trabajadores de una empresa publican en Internet, podría ser de utilidad a la hora de atacar a una empresa.
Un ejemplo bastante ilustrado de cómo el doxing puede afectar a la seguridad de una compañía en España se ve este artículo de Pablo F. Iglesias.
A modo de resumen, el autor del post escoge una pyme al azar. Comprueba que en la página web no hay un Quiénes somos, ni nada que se le parezca. Se entiende que no interesa que se sepa quién está detrás de la compañía.
El doxing comienza con una consulta al WHOIS del dominio de la empresa. En este caso era público por lo que se extraen datos como el nombre del servidor, el de la persona que compró el dominio, dónde está erradicada la empresa, un teléfono y un e-mail de contacto.
A continuación, teclea en Google el nombre de la persona dueña del dominio, el de su empresa, y el sector al que pertenece. Así, encuentra dos perfiles de LinkedIn y se da cuenta de que la compañía pertenece a dos hermanos. Recordemos que dentro de la web de la misma no había información relativa a los trabajadores de la empresa, sin embargo, no ha sido falta una línea de código para saber todo esto.
Con la información recogida a través del doxing, se puede preparar un ataque fishing, en el cual un hacker podría hacerse pasar por un técnico del servidor de la empresa y pedir las credenciales de acceso. Este es un solo un ejemplo de un tipo de ataque común, pero los hackers no paran de innovar.
Sin duda, una de las moralejas que nos deja este caso práctico nos dice que merece la pena comprar un WHOIS privado para conservar la privacidad de los datos.
La otra lección es que una empresa no puede escatimar en ciberseguridad. Tanto los cargos responsables como los trabajadores han de adquirir formación en esta materia para saber cómo gestionar la información sensible y relativa a la compañía para que no se haga pública en Internet y termine siendo recopilada a través de prácticas como el doxing.[:]