Doxing: definición y explicación

Definición de doxing

El término “doxing” es la abreviación de “exponer dox”, siendo “dox” un término

coloquial para referirse a los documentos. Por lo general, el doxing es una acción
maliciosa que un hacker realiza contra personas con las que está en desacuerdo o
que considera desagradables.

¿Qué es el doxing?

El doxing (a veces escrito como doxxing) consiste en revelar información

identificadora de una persona en línea, como su nombre real, dirección particular,
lugar de trabajo, teléfono, datos financieros y otra información personal. Luego,
esta información se divulga al público sin el permiso de la víctima.

Si bien la práctica de revelar información personal sin el consentimiento del sujeto

en cuestión existe desde antes del nacimiento del Internet, el término doxing
surgió primero en el mundo de los hackers en la década de 1990, en el que el
anonimato se consideraba sagrado. Las disputas entre los hackers rivales a veces
provocaban que alguien decidiera “exponer docs” sobre otra persona, quien hasta
ese momento solo era conocida por su nombre de usuario o alias. “Docs” se
convirtió en “dox” y, finalmente, en su propio verbo (es decir, sin el prefijo
“exponer”).

La definición de doxing se ha expandido más allá de la comunidad mundial de

hackers y ahora se refiere a la exposición de la información personal. Aunque el
término aún se utiliza para describir la acción de desenmascarar a usuarios
anónimos, ese aspecto se ha vuelto menos relevante en la actualidad, en que la
mayoría de nosotros utilizamos nuestros nombres reales en las redes sociales.

 Dirección postal
 Detalles del lugar de trabajo
 Números de teléfono personales
 Números del seguro social
 Información de las cuentas bancarias o tarjetas de crédito
 Correspondencia privada
 Antecedentes penales
 Fotos personales
 Detalles personales embarazosos
Los ataques de doxing pueden variar desde ataques relativamente triviales, como
los registros de correo electrónico o las entregas de pizza falsos, hasta los más
peligrosos, como acosar a la familia o al empleador de una persona, el robo de
identidad, las amenazas u otras formas de acoso en línea, o incluso el acoso en
persona.
Celebridades, políticos y periodistas están entre las personas que han sido
víctimas del doxing con consecuencias como sufrir los ataques de multitudes en
línea, temer por su seguridad y, en casos extremos, recibir amenazas de muerte.
La práctica también se ha extendido a importantes ejecutivos de las empresas; por
ejemplo, cuando Proctor & Gamble lanzó la publicidad de Gillette “We Believe”
(“Creemos”), que supuestamente estaba dirigida a la masculinidad tóxica, el perfil
de LinkedIn de Marc Pritchard, el director de marca, se compartió en 4chan e
incitaba a los demás a enviarle mensajes de enojo.
El doxing se transformó en un concepto de conocimiento general en diciembre del
2011, cuando el grupo hacktivista Anonymous expuso la información detallada de
7000 miembros de las fuerzas de seguridad en respuesta a las investigaciones de
las actividades de hacking. Desde entonces, Anonymous ha realizado ataques de
doxing contra cientos de presuntos miembros del KKK, y sus objetivos más
recientes han incluido a los partidarios de Q-Anon.

Las motivaciones detrás del doxing varían. Puede que las personas sientan que
fueron víctimas de ataques o insultos por parte de su objetivo y que, en respuesta,
busquen venganza. Si alguien se hace famoso por sus opiniones controversiales,
podría atacar a alguien con puntos de vista opuestos. Sin embargo, este suele ser
el caso cuando el tema tiene visiones especialmente polarizadas, en lugar de
desacuerdos políticos cotidianos.

Generalmente, revelar información personal en línea de manera intencional tiene

como objetivo castigar, intimidar o humillar a la víctima en cuestión. Dicho esto, los
doxers también pueden ver sus acciones como una forma de hacer el bien, llevar
a alguien a la justicia de manera pública o revelar planes que no se habían
divulgado previamente. 

Independientemente de la motivación, el objetivo principal del doxing es infringir la

privacidad, y puede poner a las personas en una situación incómoda, a veces con
consecuencias graves.

¿Cómo funciona el doxing?

Vivimos en una era de macrodatos; hay un enorme océano de información

personal en Internet, y las personas a menudo tienen menos control de lo que
creen. Esto significa que cualquier persona con el tiempo, la motivación y el
interés de hacerlo puede convertir esos datos en un arma.

Estos son algunos de los métodos utilizados para atacar a las personas mediante
el doxing:
Rastrear los nombres de usuario

Muchas personas utilizan el mismo nombre de usuario en una amplia variedad de

servicios. Esto permite que los posibles atacantes formen una imagen de los
intereses de su objetivo y cómo ocupa su tiempo en Internet.

Ejecutar una búsqueda WHOIS en relación con un nombre de dominio

Toda persona que posee un nombre de dominio tiene su información almacenada

en un registro que, a menudo, está disponible públicamente a través de una
búsqueda WHOIS. Supongamos que la persona que compró el nombre de
dominio no ocultó su información privada en el momento de la compra. En ese
caso, la información de identificación personal (como su nombre, dirección,
número de teléfono, negocio y dirección de correo electrónico) está disponible en
línea para que la encuentre cualquier persona.
Suplantación de identidad (phishing)

Si la persona utiliza una cuenta de correo electrónico insegura o es víctima

del phishing, el hacker puede descubrir correos electrónicos confidenciales y
publicarlos en línea.
Acoso en las redes sociales

Si tus cuentas de redes sociales son públicas, cualquiera puede obtener

información acerca de ti a través del acoso en línea. El atacante puede averiguar
tu ubicación, lugar de trabajo, amigos, fotos, gustos y aversiones, lugares que has
visitado, los nombres de tus familiares, los nombres de tus mascotas, etc. Con
esta información, un atacante puede incluso encontrar las respuestas a tus
preguntas de seguridad, lo que lo ayudaría a in

Si bien la mayoría de los registros personales no están disponibles en línea, existe

una considerable cantidad de información que se puede obtener en sitios web
gubernamentales. Entre los ejemplos se incluyen las bases de datos de licencias
comerciales, los registros del condado, las licencias de matrimonio, los registros
de DMV y las listas de registro de votantes; todos estos contienen información
personal.

Seguimiento de las direcciones IP

Los atacantes pueden utilizar varios métodos para detectar tu dirección IP, la que
está vinculada con tu ubicación física. Una vez que la descubren, pueden utilizar
trucos de ingeniería social con tu proveedor de servicios de Internet (ISP) para
descubrir más información sobre ti. Por ejemplo, pueden presentar quejas sobre
el propietario de la dirección IP o intentar piratear la red.
Búsqueda inversa de teléfono celular

Una vez que los hackers conocen tu número de teléfono celular, pueden obtener
más información acerca de ti. Por ejemplo, los servicios de búsqueda inversa de
teléfono, como Whitepages, te permiten escribir un número de teléfono celular, o
cualquier número de teléfono, para averiguar la identidad del propietario del
número. Los sitios como Whitepages brindan información como la ciudad y el
estado asociado con un número de teléfono celular y cobran una tarifa por
proporcionar información adicional. Sin embargo, quienes están dispuestos a
pagar pueden descubrir información personal adicional sobre ti a través de tu
número de teléfono celular.
Análisis de paquetes (sniffing)

El concepto análisis de paquetes o “sniffing” a veces se utiliza en relación con el

doxing. Mediante este método, los doxers interceptan tus datos de Internet y
buscan desde tus contraseñas, números de tarjetas de crédito e información de
cuentas bancarias hasta mensajes de correo electrónico antiguos. Los doxers
hacen esto mediante la conexión a una red en línea, cuyas medidas de seguridad
descifran para, luego, obtener los datos que ingresan y salen de la red. Una
manera de protegerse del sniffing de paquetes es mediante una VPN.
Mediante el uso de agentes de datos

Existen agentes de datos que recopilan información sobre las personas y la

venden para lucrar. Los agentes de datos reúnen su información a partir de
registros disponibles públicamente, tarjetas de lealtad (que hacen un seguimiento
de tu conducta de compra en línea y en el mundo real), historiales de búsqueda en
línea (todo lo que buscas, lees o descargas) y de otros agentes de datos. Muchos
agentes de datos venden tu información a empresas de publicidad, pero existen
varios sitios de búsqueda de personas que ofrecen registros integrales sobre los
individuos por cantidades relativamente pequeñas de dinero. Todo lo que un doxer
tiene que hacer es pagar este pequeño cargo para obtener la información que
necesita con el fin de efectuar un ataque de doxing contra alguien.

Al seguir las rutas de navegación (pequeñas unidades de información sobre

alguien) dispersas por Internet, los doxers pueden formar una imagen que les
permita descubrir a la persona real detrás de un alias, incluido su nombre,
dirección física, dirección de correo electrónico, número de teléfono y mucho más.
Los doxers también pueden comprar y vender información personal en la red
oscura.

La información encontrada se puede utilizar de manera amenazante, por ejemplo,

en un mensaje de Twitter dirigido a alguien en respuesta a un desacuerdo. El
doxing puede estar menos relacionado con la disponibilidad de la información y
más con cómo se utiliza para intimidar o acosar a un objetivo. Por ejemplo, alguien
que tiene tu dirección puede ubicarte a ti o a tu familia. Alguien con tu número de
teléfono celular o correo electrónico puede bombardearte con mensajes que
dificultan la comunicación con tu red de apoyo. Por último, alguien con tu nombre,
 fecha de nacimiento y número de seguro social también podría piratear tus
cuentas o robar tu identidad.

Cualquier persona que tenga determinación, tiempo, acceso a Internet y

motivación podrá crear un perfil de alguien. Además, si el objetivo de este
esfuerzo de doxing ha hecho que la información sea relativamente accesible en
línea, esto es aún más fácil. 

Ejemplos de doxing

Las situaciones más comunes de doxing por lo general se dividen en estas tres
categorías:

1. Divulgar en línea la información de identificación personal y privada de una persona.

2. Revelar en línea información anteriormente desconocida de una persona privada.
3. Divulgar en línea información de una persona privada podría ser perjudicial para su
reputación y la de sus socios personales o profesionales.