Uno de los conceptos que se suele relacionar con la OSINT es el doxxing, pero esta práctica no tiene nada que ver con la OSINT en sí, aunque use sus técnicas. Por eso, hoy vamos a ver qué es ese doxxing, cómo conecta con la inteligencia de fuentes abiertas, cómo la usa, sus implicaciones y cómo protegerse de esta nefasta práctica.

Empecemos por lo básico.

Qué es el doxxing

Cuando se trata de la privacidad en línea, hay muchos términos y acrónimos que se utilizan en el mundillo. Uno de ellos es el doxxing, que es una forma de acoso en línea que implica revelar la información personal y privada de alguien sin su consentimiento.

Exponer el domicilio, nombre completo, identidades de familiares, documentos de identidad, imágenes privadas y, en general, todo lo que pueda identificar a una víctima es doxxing.

Este término tan peculiar viene de docs, documentos en inglés, que en la jerga hacker se cambió a dox y a la expresión dropping docs, que implicaba revelar documentos privados y secretos de alguna organización o persona.

¿Es el doxxing un delito?

Depende, pero muy probablemente, sí en casi todas las situaciones.

Si el doxxing se basa en información de fuentes públicas, en realidad, no estás revelando nada, ni haciendo un doxxing real, porque la información ya estaba “a la vista”, aunque fuera oculta en una imagen, por ejemplo. Sin embargo, el doxxing suele implicar casi siempre la exposición pública de datos privados y protegidos de una persona, sin su consentimiento.

Ahí ya podemos entrar, muy fácilmente, en terreno delictivo.

En España, por ejemplo, está relacionado con el quebrantamiento de la ley de protección de datos, de revelación de secretos, de delitos de acoso si se usan para eso o se incita al mismo, etc.

No es una broma, no es inocente, va a haber consecuencias si lo haces y tener repercusiones inesperadas, tanto para la víctima, por lo que puede suponer exponerla, como para el que lo hace, que experimentará las merecidas consecuencias legales.

En qué se diferencian el doxxing y la OSINT

La principal diferencia es que el doxxing puede y suele utilizar, sin ninguna clase de ética, tanto fuentes abiertas como cerradas (privadas), no tiene respeto por la ley y, en general, es casi siempre en una actividad ilegal o bien con un objetivo infame.

Incluso cuando la actividad de doxxing se ciña solamente a técnicas y fuentes OSINT, casi siempre se usa con el objetivo de acosar, dañar la intimidad y, en general, atacar a alguien.

¿Pero es que no se puede usar el doxxing con un objetivo loable, como desenmascarar, precisamente, a un acosador?

La última vez que lo comprobé, había leyes.

Si alguien quiere usar las fuentes abiertas para colaborar con las fuerzas de orden (nada raro en esta línea de trabajo) o con otra entidad legitimada para un objetivo que esté dentro de la ley, adelante. Pero, francamente, esos actos de justicia suelen salir mal, señalar objetivos equivocados y, en general, fallar mucho más de lo que aciertan.

Un caso típico de esta clase de doxxing fueron las infames tareas de usuarios de Reddit en los atentados con bomba de la maratón de Boston. Los “detectives” aficionados revelaron identidades de inocentes, provocando la muerte por suicidio de una de las personas a las que se hizo doxxing.

El doxxing, en general, también suele recurrir a actividades ilegales para conseguir datos de la víctima, como ataques de phishing y otras técnicas de hacking.

La OSINT, por el contrario, no hace nada de eso. Usa fuentes públicas, información ya disponible y abierta. Además, en general, cualquier ciberinvestigador con un mínimo de profesionalidad, se guiará estrictamente por la ética y la ley.

El procedimiento de doxxing

En general, todo ataque de doxxing seguirá estas fases:

• Investigación de fuentes públicas usando técnicas OSINT para ver qué se puede averiguar de esa manera. Aquí, si somos el objetivo, estaremos a merced de lo bueno que sea el atacante en labores de ciberinvestigación y es la fase que se solapa con la OSINT. Las tres técnicas más habituales del doxxer son:
  • El uso de Google dorking, o de Google solamente, para encontrar información enterrada en lugares que se ven poco.
  • SOCMINT, es decir, uso de inteligencia de redes sociales, que es la mina de oro actual de los doxxers.
  • El uso de IMINT. Es increíble lo descuidados que somos ofreciendo al mundo imágenes que nos pueden geolocalizar el domicilio o lugar en el que estemos (usando puntos de referencia y elementos reconocibles en la imagen), cuando no ponemos nosotros mismos la ubicación porque no hemos aprendido nada todos estos años.
• Investigación de brechas de datos. Es decir, esa zona gris entre fuentes públicas y privadas. Los ciberinvestigadores OSINT las usarán o no dependiendo del objetivo de la misión, el marco legal en el que se encuentren y también el ético. El doxxer, sin embargo, siempre acudirá a ellas si es mínimamente competente y sabe lo que hace.
• Ataques directos contra nosotros. Ya sea intentando capturar o acceder a cuentas de redes sociales, emails, etc. Para ello, es probable que use como punta de lanza:
  • Esos datos conseguidos en las brechas del paso anterior, como contraseñas vulneradas, nombres de usuario, etc.
  • Técnicas de phishing, penetración en sistemas, instalación de malware, etc.
  • Ataques “físicos”. Estos son más raros hoy día, pero conocidos, sobre todo, por “los más viejos del lugar”. También dependen mucho de la motivación/obsesión y la maldad del atacante. Esto abarcaría visitar la dirección del domicilio obtenido y vigilarlo, usar el clásico dump diving y revisar basura, desechos, robar el móvil que nos dejemos desatendido en el bar, análisis de rutinas, descubrimiento de personas allegadas y ataques online contra ellas… Sí, esto último es más inusual, pero no imposible, todo depende del incentivo (monetario, de venganza o personal de cualquier tipo), los medios y la personalidad del atacante.

Cómo protegerse del doxxing

Protegerse del doxxing comienza por aplicar siempre la regla de oro de la privacidad:

Nunca pongas en Internet lo que no quieres que se sepa. Punto.

No me importa si crees que es seguro o si lo haces cuidando mecanismos de privacidad o seguridad de la web en la que lo haces. Lo mismo va a dar que configures muy bien quién puede ver tus cosas en una plataforma o red social. Como esta tenga una brecha de datos (algo que casi siempre ocurrirá tarde o temprano), quedarás expuesto.

El doxxer acudirá a sitios con brechas de datos, foros en los que se compran y se venden, dark web, etc.

El doxxing es un intento de agresión y, por tanto, la primera regla es minimizar la superficie de ataque. Si no estás en un lugar, es imposible que el golpe te impacte, si no subes una imagen, no te pueden geolocalizar, etc.

La OSINT defensiva contra el doxxing

Tras ese principio general de seguridad y privacidad, la mejor manera es comprobar nuestra posición y vulnerabilidad realizando un intento de doxxing sobre nosotros mismos.

Es decir, usar la OSINT defensiva e intentar un “ataque” poniéndonos a nosotros mismos como objetivo y:

• Comenzar una ciberinvestigación OSINT usando fuentes abiertas para descubrir hasta qué punto nuestra huella digital está expuesta. Obviamente, cuanto más habilidoso y profesional el investigador, mejor. Hay cosas que unos investigadores pueden pasar por alto, mientras que otros pueden dar con esa mina de oro de datos.
• Tratar de usar después fuentes privadas y brechas de datos, como haría un actor malicioso contra nosotros, para ver qué información nuestra está expuesta o es insegura.
• Recordar y seguir a rajatabla, los principios más básicos de cibersgeguridad, es decir:
  • No visitar sitios extraños o sospechosos.
  • No descargar nada pirata, archivos dudosos, crackeados, etc.
  • No hacer caso a emails de desconocidos.
  • Nunca pinchar en enlaces o en archivos anexos de dichos mensajes, o incluso de mensajes de amigos y conocidos que sean un poco raros.

Respecto a llevar más allá la OSINT defensiva contra el doxxing (o labores de contrainteligencia que puedan tenernos como objetivo) en general, no es recomendable tratar de hackear nuestras propias cuentas, usando técnicas como abuso de mecanismos de recuperación de contraseñas y similares.

Las plataformas que guardan los datos pueden considerarnos hostiles y banear nuestro usuario, marcar la IP en una lista negra, etc.

Durante toda la OSINT defensiva y simulación de ataques contra nosotros, o contra clientes que quieran blindar su huella digital, debemos comportarnos y pensar como un actor malicioso. No descuidaremos el proceso y usaremos VPNs, buenos procesos OSINT, etc.

En definitiva, no. El doxxing y la OSINT no son lo mismo.

La primera tiene como objetivo revelar la identidad y los datos privados de alguien (domicilios, identidades de cónyuge, patrimonio o lo que sea). Para ello, usará la OSINT, pero irá mucho más allá. Siendo una actividad ilegal, la enorme mayoría de acciones de doxxing seguirán empleando esas técnicas adicionales que ya hemos visto y se encuentran al otro lado de la ley. Al fin y al cabo, si ya has cruzado una línea roja como para querer publicar los datos privados de alguien, qué más da atravesar otras cuantas…