Cómo puedes protegerte del doxing

En la actualidad, elaborar un expediente de cualquier usuario de Internet es más fácil de lo que piensas. Aprende sobre quienes así lo hacen y sus métodos.

Cada vez que le das me gusta a algo en una red social, te unes a una comunidad de residentes de una localidad, publicas tu CV, o te graba una cámara en la calle, la información se acumula en bases de datos.  Es posible que no tengas ni idea de qué tan vulnerable eres cuando dejas todos estos rastros de información —con cada acción en Internet y casi cada acción en el mundo real.

El ciclista, el conductor y el padre equivocados

Como ilustran las siguientes tres anécdotas, todos podemos ser víctimas de doxing (divulgación de nuestra información personal en Internet).

Cuando el ciclista de Maryland, Peter Weinber comenzó a recibir mensajes con insultos y amenazas de parte de extraños, se enteró de que su aplicación de ejercicio estaba publicando sus rutas de ciclismo, y que alguien había usado esta información para deducir que Weinberg había pasado recientemente por donde una niña había sido atacada. La multitud no tardó en identificarlo (de manera incorrecta) como sospechoso; después encontraron y publicaron su dirección. De manera similar, los tweets correctivos y otras aclaraciones que le siguieron fueron mucho menos compartidos que la información original.

Del otro lado del mundo, un activista de los derechos de los animales de Singapur publicó el nombre y dirección de la persona cuyo automóvil atropelló a un perro. e hizo el llamado a hacerle la vida imposible. De acuerdo con la propietaria del automóvil, las acusaciones públicas dañaron su carrera: Después de que los vigilantes averiguaron dónde trabajaba, la página de Facebook de su empresa se inundó con mensajes de odio. Y, como era de esperarse, otra persona conducía el automóvil al momento del accidente.

Otra historia similar más famosa involucra al ex jugador profesional de béisbol, Curt Schilling, quien vio tweets sobre su hija  que consideró inapropiados y ofensivos. Schilling rastreó a los autores (lo que afirmó le tomó menos de una hora), recopiló un expediente de buen tamaño sobre cada uno, y publicó parte de esa información en su blog. Los infractores, quienes estaban conectados con la comunidad del béisbol, fueron despedidos y apartados de sus equipos en un día.

¿Qué ocurrió?

Las tres historias tienen ejemplos simples de doxing. Esta palabra describe la recopilación y publicación online de datos de identificación sin el consentimiento del propietario. Además de ser algo desagradable, también puede traer problemas en la vida real para la reputación de la víctima, su empleo e incluso su seguridad física.

Los motivos para el doxing pueden variar. Algunos piensan que están exponiendo a los criminales; otros tratan de intimidar a sus oponentes online; mientras que para otros más es una venganza personal. El doxing es un fenómeno que surgió en la década de 1990. Desde entonces, se ha vuelto mucho más peligroso; y gracias a la cantidad de información privada disponible para todos en la actualidad, no requiere tener habilidades especiales o privilegios.

No vamos a analizar el aspecto legal o ético del doxing, ya que como expertos en seguridad, nuestra tarea es describir los métodos de doxing online y sugerir maneras para protegerte.

Doxing: un vistazo desde el interior

El doxing se ha vuelto algo común debido a que no requiere conocimientos especializados ni recursos. Las herramientas necesarias tienden a caer dentro de lo legítimo y público.

Motores de búsqueda

Los motores de búsqueda tradicionales pueden proveer mucha información personal, y utilizar sus funciones avanzadas de búsqueda (por ejemplo, búsquedas en sitios web específicos o tipos de archivo) pueden ayudar a encontrar la información más rápido.

Además del nombre y apellido, un nombre de usuario también puede delatar los hábitos online de una persona. Por ejemplo, la práctica común de utilizar el mismo nombre de usuario en múltiples sitios web le facilita el trabajo a los detectives online, quienes lo utilizan para agregar comentarios y publicaciones desde varios recursos públicos.

Redes sociales

Las redes sociales, incluidas las especializadas como LinkedIn, contienen una gran cantidad de datos personales.

Un perfil público con datos reales es básicamente un expediente ya abierto. Incluso si un perfil es privado y está abierto solo para los amigos, un investigador comprometido puede recopilar porciones de información mediante escanear los comentarios de la víctima, sus comunidades, las publicaciones de sus amigos, etc. Además, con una solicitud de amistad, tal vez haciéndose pasar como un reclutador, pueden llegar al siguiente nivel: la ingeniería social.

Ingeniería social

Como sello distintivo de muchos ataques, la ingeniería social se aprovecha de la naturaleza humana para ayudar a quienes buscan obtener la información. Con la información disponible de manera pública sobre una marca como punto de partida, un investigador puede ponerse en contacto con la víctima y persuadirla para que entregue su propia información. Por ejemplo, este investigador podría aparecer disfrazado de administrador médico o representante de un banco para tratar de sacar información de la víctima, una estrategia que funciona mucho mejor si incluye una pizca de verdad.

Fuentes oficiales

Las personas de la esfera pública suelen ser las que más dificultades tienen para mantener el anonimato en la red, pero eso no significa que las estrellas del rock y los deportistas profesionales sean los únicos que necesitan salvaguardar su información personal.

Es posible que alguien incluso utilice a un empleador para traicionar la confianza de una posible víctima de doxing, como por ejemplo con el nombre completo y una foto de la sección Sobre nosotros o información de contacto completa en un sitio departamental. Parece inocente, pero la información general de una empresa te acerca a las personas geográficamente, y es posible que la foto lleve a su perfil en las redes sociales.

En general, las actividades empresariales también dejan rastros en el Internet; y, por ejemplo, hay bastante información sobre los fundadores de las empresas en muchos países.

Mercado negro

Otros métodos más sofisticados incluyen el uso de fuentes no públicas, como bases de datos comprometidas que pertenecen a entidades gubernamentales y empresas.

Como muestran nuestros estudios, los mercados de la darknet venden todo tipo de datos personales, desde escaneos de pasaportes (desde 6 dólares) hasta cuentas de aplicaciones bancarias (desde 50 dólares).

Recopiladores de información profesionales

Quienes buscan información privada subcontratan parte de su trabajo a brokers de datos, empresas que venden datos personales recopilados de diversas fuentes. Este tipo de empresas no son un emprendimiento criminal personalizado; los bancos utilizan los datos de los brokers, así como las agencias de publicidad y reclutamiento. Por desgracia, sin embargo, no a todos los brokers de datos les importa quién compra esta información.

¿Qué puedes hacer si tu información se filtró?

En una entrevista con <em>Wired</em>, Eva Galperin, directora de ciberseguridad de la Electronic Frontier Foundation, sugiere que si te enteras de que se le ha dado uso indebido a tu información personal, debes contactar a cualquier red social en donde se haya publicado tu información. Comienza por servicio a cliente o soporte técnico. Por lo general, la divulgación de la información privada sin el consentimiento del propietario, viola el acuerdo de usuario. Y, si bien, esto no resolverá el problema por completo, debería reducir el daño potencial.

Galperin también recomienda que bloquees tus cuentas en redes sociales o encuentres a alguien para que las gestione durante un tiempo después de un ataque. Así como otras medidas disponibles a aplicar después de la violación, no puede deshacer el daño, pero podría ahorrarte ansiedad y tal vez ayudarte a evitar algunas situaciones difíciles en línea.

Protégete del doxing

Definitivamente te conviene más reducir la probabilidad de una filtración de datos que enfrentarte a sus consecuencias, aunque no es fácil obtener inmunidad. Por ejemplo, es muy poco probable que puedas influir en el volcado de datos o filtraciones desde las bases de datos gubernamentales o redes sociales. Sin embargo, sí puedes dificultar el trabajo a quienes busquen la información.

No reveles secretos en Internet

Mantén tus datos personales fuera de Internet, especialmente tu dirección, número telefónico y fotos, en la medida de lo posible. Asegúrate de que las fotos que publiques no incluyan geoetiquetas, y que no haya información privada en los documentos.

Revisa las configuraciones de su cuenta de redes sociales

Te recomendamos elegir configuraciones de privacidad estrictas en las redes sociales y los servicios que utilices, que solo tus amigos tengan acceso a tu perfil y que con regularidad revises tu lista de amigos. Puedes apoyarte de nuestras instrucciones detalladas en nuestro portal Privacy Checker para configurar redes sociales y otros servicios.

Protege tus cuentas contra los  cibercriminales

Sabemos que usar una contraseña diferente para cada cuenta es un lío (aunque no tiene porqué serlo), pero es una protección importante. Si utilizas la misma contraseña en todos lados, y alguno de tus servicios la filtra, ni las configuraciones de seguridad más estrictas podrán ayudarte.

Te recomendamos utilizar un administrador de contraseñas. Nuestra solución, Kaspersky Password Manager, no solo guarda tus contraseñas, también los sitios web y los servicios a los que acceden, mientras tú solo debes memorizar una única clave maestra. También te recomendamos utilizar autenticación de dos factores siempre que puedas, para fortalecer aún más tus defensas.

Juega a la segura con cuentas de terceros

De ser posible, evita registrarte en sitios web mediante tus redes sociales u otras cuentas que contengan tus datos reales. Asociar una cuenta con otra facilita el seguimiento de tus actividades en línea, por ejemplo, al vincular tus comentarios con tu nombre real.

Para resolver el problema, ten al menos dos cuentas de correo electrónico, reserva una para tus cuentas con tu nombre real y la otra para sitios web en los que prefieras mantener el anonimato. Utiliza diferentes nombres de usuario para diferentes recursos también, para que sea más difícil recopilar información sobre tu presencia en Internet.

Intenta armar tu propio expediente

Una manera de conocer el estado de tu privacidad es hacerte pasar por investigador y buscar información en Internet sobre ti mismo. De esta manera, puedes averiguar los problemas que haya con tus cuentas de redes sociales, así como la información personal que esté en Internet. Lo que encuentres puede ayudarte a rastrear la fuente de dicha información y, posiblemente, a saber cómo borrarla. Para estar alerta de forma pasiva, puedes configurar Google para que te notifique de nuevos resultados de búsqueda que contengan tu nombre.

Elimina tu información

Puedes reportar cualquier contenido que viole tu privacidad y pedir a los motores de búsqueda y redes sociales que borren tu información (por ejemplo, aquí hay instrucciones para Google, Facebook,  y Twitter).

En general, la política de uso de las redes sociales y otros servicios no permite la publicación no autorizada de información personal; pero la realidad es que solo las autoridades policiales pueden controlar ciertos recursos dudosos.

Los brokers de datos legales permiten que las personas borren su información personal. Pero si nos basamos en la vasta cantidad de este tipo de empresas, eliminar todo no será fácil. Al mismo tiempo, sin embargo, existen agencias y servicios que pueden ayudar a borrar los rastros digitales. Tendrás que encontrar el equilibrio entre la facilidad, minuciosidad y el costo que funcione para ti.

Consejos rápidos

Es posible que en cualquier momento seamos objetivos de doxing, con o sin causa aparente. Estos consejos te ayudarán a preservar tu privacidad en línea:

  • Mantén tus datos personales (nombre real, dirección, lugar de trabajo, etc.) fuera del Internet.
  • Cierra tus cuentas en redes sociales a personas externas y utiliza contraseñas únicas y seguras, así como autenticación de dos factores. Instala Kaspersky Password Manager para administrar tus contraseñas.
  • Evita utilizar la cuenta de un servicio para registrarte a otro, especialmente si una de estas cuentas contiene tus información real.
  • Se proactivo: Intenta elaborar tu expediente y solicita que se borre la información de los servicios que sepan demasiado sobre ti.
  • Considera eliminar algunas cuentas. Es un método extremo (además de derrotista) para frustrar el doxing, y podemos ayudarte a hacerlo bien al tiempo que preservas información importante.

El doxing representa solo una incursión en la ubicuidad de los datos en línea en la vida real, pero es una incursión importante que tiene el potencial de arruinar vidas. Con regularidad publicamos noticias e información práctica sobre doxing y cómo mantenerse a salvo.

Consejos