Ataques dirigidos, extorsión, doxing, datos en fuentes abiertas

"Las cosas en Internet se desvanezcan con el tiempo. Cuando sospechas algo siempre es mejor cuando resulta ser verdad". – Esta frase es pronunciada por Daniel Kaluuya en el papel de Bingham ‘Bing’ Madsen en la serie Black Mirror.

Doxing – definición, implicaciones y marco legal

El doxing (o doxxing) consiste en recopilar y divulgar públicamente información privada de una persona sin su consentimiento. En palabras de la Wikipedia, es el acto de “revelar intencional y públicamente información personal sobre un individuo u organización, generalmente a través de Internet”. Esta información puede incluir nombre real, dirección domiciliaria, lugar de trabajo, teléfono de contacto, datos financieros u otros datos personales sensibles orientados a producir un ataque a sus terminales, aplicaciones o redes sociales. Los atacantes obtienen estos datos mediante diversas técnicas: búsquedas en bases de datos de acceso público y en redes sociales (como Facebook, Twitter o LinkedIn), hackeos de cuentas, ingeniería social o Google Dorking (uso de operadores de búsqueda avanzados). Los motivos del doxing son variados: van desde la “justicia vigilante” o exposición de conductas supuestamente dañinas hasta fines de extorsión, coerción, acoso o venganza. Por ejemplo, investigaciones han documentado casos donde grupos difundieron datos de usuarios (como en la filtración de Ashley Madison) causando daño reputacional, y casos en que doxers han amenazado con violencia a la víctima o a sus allegados.

El doxing puede parecer legal cuando los datos provienen de fuentes públicas, pero su uso malintencionado entraña graves riesgos éticos, de seguridad y sociales. Al exponer los datos de una persona, un atacante puede facilitar el acoso en línea o incluso físico de la víctima y de su familia. Los metadatos de fotografías (p. ej. coordenadas GPS) pueden revelar el lugar y momento en que fueron tomadas, permitiendo rastrear los movimientos de la persona (casos como los futbolistas robados cuando están participando en competiciones europeas por ejemplo). Los “data brokers” –sitios que agregan y venden datos personales– también facilitan aún más el doxing: servicios como Whitepages o Spokeo permiten buscar a alguien por nombre, teléfono o dirección reuniendo registros públicos (propiedad, electorales, etc.). Esto puede ser aprovechado para suplantación de identidad, fraudes o campañas de desprestigio. En definitiva, el doxing mina la privacidad en la era digital al convertir los datos personales en arma de hostigamiento: “publicar información personal en la red puede conducir a doxing, acoso, estafas e incluso robo de identidad”.

Consecuencias para la víctima. Una persona doxeada suele sufrir miedo, estrés y pérdida de control sobre sus datos personales. Al conocer datos privados, terceros malintencionados podrían acosar a la víctima vía correo, llamadas, redes sociales, incluso aplicaciones; podrían mandar amenazas o mercancía no deseada a su domicilio, afectando su integridad física y emocional. También puede ocurrir robo de identidad (al obtenerse datos financieros o documentos), extorsión económica o daños a la reputación personal y profesional.

Marco legal en distintas jurisdicciones. Legalmente, el doxing no suele estar tipificado como delito por sí mismo en la mayoría de países; sin embargo, según la jurisdicción puede encuadrarse en leyes contra el acoso, amenazas, hurto de identidad u otras protecciones de datos. En Estados Unidos se han aprobado leyes estatales específicas contra el doxing (por ejemplo, Colorado penaliza con falta leve el hecho de “poner en internet información personal de una persona protegida o de su familia inmediata” sabiendo que otros podrían usarla para causar daño).

En la Unión Europea, el doxing puede entrar en conflicto con el Reglamento General de Protección de Datos (RGPD), que exige que el tratamiento de datos personales sea “lícito, leal y transparente”. Divulgar datos personales (especialmente sensibles) sin consentimiento ni base legal violaría principios de minimización y limitación de propósito del RGPD. Además, la Directiva de privacidad europea reconoce agravantes para la difusión no consentida de datos íntimos. En España, por ejemplo, el Código Penal castiga la difusión no autorizada de imágenes íntimas o confidenciales. Aunque el doxing en sí no está nombrado, la divulgación pública de datos privados puede ser sancionada como violación de la intimidad o como ciberacoso dependiendo del caso.

En hispanoamérica las protecciones también están vigentes. Muchos países cuentan con leyes de protección de datos personales (como la LGPD en Brasil, la Ley 25.326 en Argentina o la Ley Federal de Protección de Datos Personales en México) que amparan el derecho a la privacidad.

Herramientas OSINT: “Doxxing myself to show how easy it is”

Con técnicas de inteligencia de fuentes abiertas (OSINT), se puede “doxear” a la propia persona usando información que cualquiera deja en la red. A continuación se describen las herramientas de ataque:

• Google Dorking (búsqueda avanzada): es el uso de operadores especiales en Google para encontrar información específica. Por ejemplo, búsquedas como filetype:pdf “nombre apellidos” o site:facebook.com usuario permiten localizar documentos o perfiles ocultos en resultados estándar. Imperva describe el Google Dorking como una técnica que “utiliza operadores de búsqueda avanzados para descubrir información en Internet que no está disponible mediante búsquedas normales”. Se emplea esta técnica para hallar datos de registros y archivos públicos vinculados al nombre de la víctima.

• Búsqueda en redes sociales: consiste en buscar directamente en Facebook, Twitter, LinkedIn u otras plataformas. Se pueden usar buscadores especializados (como Social-Searcher o herramientas similares) que permiten monitorear menciones públicas y posts de usuarios por palabras clave. También se utilizan buscadores integrados de cada red (Facebook Graph Search, la búsqueda de LinkedIn, etc.), aprovechando que muchas personas suben fotos o comparten detalles personales. La localización de cuentas sociales usando el nombre y correo electrónico conocidos; esto revela fotos y amigos que ayudan a reconstruir la identidad y ubicación.

• Visores de metadatos EXIF: las fotos digitales pueden contener metadatos EXIF (fecha, hora, modelo de cámara, y en ocasiones coordenadas GPS). Herramientas como ExifTool permiten leer estos datos. Su sitio oficial indica que ExifTool es “una aplicación de línea de comandos para leer, escribir y editar información metadatos en una amplia variedad de archivos”. En la práctica, toma imágenes públicas de la víctima (p.ej. de viajes) y las analiza con visores de EXIF gratuitos (como el sitio Pic2Map o Jimpl) para extraer la ubicación donde se tomaron. Con las coordenadas GPS extraídas, pueden identificar el domicilio o lugares habituales de la persona.

• Reconocimiento facial: con una foto de la cara (por ejemplo un selfie público), se recurre a buscadores inversos de imágenes con reconocimiento facial, como PimEyes o BetaFace o el buscador de Google Imágenes. PimEyes se presenta como “un motor de búsqueda de rostros online que emplea tecnologías de reconocimiento facial para buscar imágenes que contengan una cara dada”. Suben una foto de la persona a PimEyes, que devuelve páginas donde aparece esa cara (como fotos en blogs, eventos o redes). De ahí obtienen más datos (lugares, nombres de conocidos). Un caso real: según la IAPP, un usuario de TikTok usó PimEyes para “doxear a otros usuarios” encontrando sus identidades y luego publicando sus datos personales, ilustrando su potencial maluso.

• Búsqueda de email: existen servicios para encontrar direcciones de correo. Por ejemplo, Hunter.io es una plataforma de búsqueda y verificación de emails. En su página indican que con el “Email Finder” uno puede “ingresar un nombre y obtener una dirección de correo verificada” de un profesional. Tras obtener un posible dominio de trabajo de la víctima, usan un email finder para hallar el correo corporativo. También se pueden revisar sitios como HaveIBeenPwned para ver si un email filtrado ha aparecido en alguna brecha de datos.

• Búsqueda de teléfono: aplicaciones como Truecaller ofrecen identificación inversa. La página oficial de Truecaller explica que con su herramienta de búsqueda inversa de número se puede “simplemente escribir el número en la barra de búsqueda y descubrir quién te llamó en segundos”. Con Truecaller confirmas nombre y ubicación asociados al usuario del teléfono. Esto permite vincular números hallados (p.ej. en redes sociales antiguas) con la identidad de la persona.

• Sitios de agregación de datos (“data brokers”): sitios web como Whitepages, Spokeo, BeenVerified o Pipl reúnen datos públicos y registros. Por ejemplo, Whitepages permite buscar personas por nombre, teléfono o dirección, mostrando información extraída de escrituras de propiedad, registros de votación, transacciones inmobiliarias y documentos judiciales. Spokeo ofrece búsquedas similares (nombre, email, teléfono) agregando datos de múltiples fuentes públicas y sociales. Ejemplos de estas plataformas para: confirmar la dirección exacta de la víctima, lista de familiares, historial residencial, consultando varias bases de datos de pago o gratuitas.

• Wayback Machine (Archivo web): el Internet Archive cuenta con la Wayback Machine, un archivo masivo de páginas web pasadas. Según su descripción oficial, la Wayback Machine “es una iniciativa del Internet Archive para construir una biblioteca digital de sitios de Internet y otros artefactos culturales en forma digital”wayback.archive.org. Esto permite recuperar blogs, perfiles o sitios borrados. En el proceso de doxing, se usa para ver versiones antiguas del perfil de la víctima (p. ej., fotos o datos que había eliminado) o de sitios donde aparecía su nombre.

En cada fase, estas herramientas permiten recolectar piezas de información que se van entrelazando (cruzando un nombre con un correo, fotos con ubicaciones, etc.). Es como la imagen de una serie policíaca donde se van recopilando datos, fotos o eventos en un mural, hasta obtener un relato completo de la víctima, con familiares, amigos y ubicaciones clave. Cabe enfatizar que todas estas técnicas son lícitas cuando sólo se usan fuentes públicas; pero su uso con fines maliciosos (acoso, amenazas, extorsión) puede infringir leyes y es éticamente reprobable. Como advierte la ACLU, el doxing suele realizarse por “partes hostiles para intimidar” y dirigir violencia hacia alguien, por lo que es fundamental distinguir el uso legítimo de OSINT (investigación de seguridad, protección de datos) de su uso delictivo.

Advertencias éticas: Las herramientas OSINT descritas son legítimas para tareas legales (investigación comercial, evaluación de riesgos, seguridad informática), pero no deben emplearse para dañar a otras personas. Revelar datos personales con ánimo hostil puede violar leyes de privacidad y anti-acoso, y constituye un grave atentado contra la dignidad. Siempre debe obtenerse consentimiento o actuar con autorización y ética profesional. En línea con esto, muchas autoridades recomiendan que los usuarios revisen su huella digital y eliminen información innecesaria de redes y repositorios públicos para protegerse de posibles ataques de doxing.

Ahora, ¿vas a seguir publicando fotos de tus viajes en redes sociales abiertas?. ¿Crees que estas seguro detrás de tu terminal móvil en este entorno tan hostil?

Linkedin: Aquilino García