Una mirada al lucrativo y oscuro mundo del doxing
Desde engañar a las empresas para que entreguen los datos personales de víctimas hasta ofrecer la violencia como un servicio, el ecosistema del doxing en línea no solo sigue siendo un problema, sino que cada vez se está volviendo más extremo.
Desde principios de la década de 1990, gente malintencionada ha utilizado el doxing (el acto de revelar públicamente información personal sobre un individuo u organización sin su consentimiento) como una forma tóxica de venganza digital, rompiendo con el anonimato de las personas al desenmascarar su identidad en línea. Pero en los últimos años, esta práctica venenosa ha cobrado nueva vida, ya que las personas son objeto de doxing y extorsión a cambio de criptomonedas y, en los casos más extremos, pueden llegar a sufrir violencia física. Durante el último año, el investigador de seguridad Jacob Larsen, que fue víctima de doxing hace aproximadamente una década cuando alguien intentó extorsionarlo a través de la cuenta de un videojuego, ha estado monitoreando grupos de doxing, observando las técnicas usadas para desenmascarar a las personas y entrevistando a miembros destacados de esta comunidad. Estas prácticas han generado ingresos de "más de seis cifras anuales" y, según las entrevistas de Larsen, entre sus métodos se incluye la presentación de solicitudes falsas a las fuerzas de seguridad para obtener los datos de la gente. "El principal objetivo del doxing, sobre todo cuando implica un componente de extorsión física, es económico", aclara Larsen, que dirige un equipo de seguridad ofensiva en la empresa de ciberseguridad CyberCX, pero quien llevó a cabo la investigación sobre doxing a título personal (con el apoyo de la empresa). Durante varias sesiones de chat en línea en agosto y septiembre pasados, Larsen entrevistó a dos miembros de la comunidad de doxing: "Ego" y "Reiko". Aunque no se conoce públicamente la identidad de ninguno de ellos, se cree que Ego fue miembro del grupo de doxing de cinco personas conocido como ViLe, y Reiko actuó el año pasado como administrador del mayor sitio web público de doxing, Doxbin, además de participar en otros grupos (otros dos miembros de ViLe se declararon culpables de piratería informática y usurpación de identidad en junio). Larsen indica que tanto Ego como Reiko borraron sus cuentas en las redes sociales desde que hablaron con él, por lo que a WIRED le resultó imposible hablar con ellos de forma independiente. Las personas pueden ser objeto de doxing por una amplia gama de razones, desde el acoso en el mundo del online gaming hasta la incitación a la violencia política. El doxing puede "humillar, dañar y reducir la autonomía informativa" de las personas objeto del ataque, apunta Bree Anderson, criminóloga digital de la Universidad Deakin de Australia quien ha investigado y publicado sobre el tema con otros colegas. Hay daños directos de "primer orden", como los riesgos para la seguridad personal, y daños de "segundo orden" a más largo plazo, como la ansiedad ante futuras revelaciones de información, asegura Anderson. La investigación de Larsen se centró sobre todo en las personas que hacen doxing con fines económicos. Doxbin es un elemento central de muchas campañas de doxing, ya que el sitio web alberga más de 176,000 doxes públicos y privados, que pueden contener nombres, datos de redes sociales, números de Seguridad Social, direcciones, lugares de trabajo y datos similares de familiares. Larsen cree que la mayoría del doxing en Doxbin está motivado por actividades de extorsión, aunque puede haber otras motivaciones por notoriedad. Una vez cargada la información, Doxbin no la elimina a menos que infrinja las condiciones de servicio del sitio web.
"Es tu responsabilidad mantener tu privacidad en internet", expresó Reiko en una de las conversaciones con Larsen, que ha publicado las transcripciones. Ego añadió que "es responsabilidad de los usuarios mantener su seguridad en la red, pero seamos realistas, por mucho cuidado que tengas, alguien puede localizarte".
La violencia como servicio
Ser totalmente anónimos en internet es casi imposible, y mucha gente no lo intenta, a menudo usando sus nombres reales y datos personales en cuentas online y compartiendo información en las redes sociales. Las tácticas de doxing para obtener datos personales, algunas de las cuales se detallan en las acusaciones contra miembros de ViLe, pueden incluir la reutilización de contraseñas comunes para acceder a cuentas, el acceso a bases de datos públicas y privadas y la ingeniería social para lanzar ataques de intercambio de SIM. También hay métodos más nefastos. Según Larsen, también se puede abusar de las solicitudes de datos de emergencia (EDR, por sus siglas en inglés). Las EDR permiten a las fuerzas de seguridad solicitar a las empresas tecnológicas los nombres y datos de contacto de las personas sin ninguna orden judicial, ya que creen que puede haber peligro o riesgos para la vida de las personas. Estas solicitudes se hacen directamente a las plataformas tecnológicas, a menudo a través de portales en línea específicos, y en general deben proceder de direcciones de correo electrónico oficiales de las fuerzas del orden o del gobierno. "Si un agente de amenazas puede interceptar ese proceso, es la forma más rápida de obtener datos confidenciales muy precisos sobre la víctima", aclara Larsen, "y están intensificando su uso como método principal de doxing de las víctimas". Este tipo de solicitud se ha usado anteriormente para acosar a mujeres y niños, así como para atacar a investigadores de seguridad. Durante su investigación, Larsen dice documenta se infiltró en varios grupos de Telegram donde la gente estaba vendiendo acceso a los sistemas para hacer EDR y correos electrónicos gubernamentales necesarios para hacer las solicitudes. Un individuo, según las capturas de pantalla compartidas por Larsen, dijo estar vendiendo acceso a la plataforma de aplicación de la ley de TikTok utilizando una dirección de correo electrónico del Departamento de Justicia de EE UU, y manifestó que también tenía una dirección de correo electrónico del FBI. Otro prometía contar con direcciones de correo electrónico gubernamentales de Mozambique, Filipinas, Pakistán y Brasil por 125 dólares cada una. Larsen asegura que denunció los hechos a las fuerzas del orden. El FBI declinó hacer comentarios a WIRED sobre los EDR falsos, mientras que un portavoz de TikTok señaló sus políticas públicas sobre las solicitudes de datos de emergencia y las formas en que trata de garantizar que sean válidas. La Agencia de Ciberseguridad y Seguridad de las Infraestructuras de Estados Unidos no respondió a una solicitud de comentarios. En los últimos años también han aparecido grupos de "violencia como servicio" en las comunidades de intercambio de SIM, que permiten pagar para que se lleven a cabo actos violentos. Según Larsen, la extorsión digital puede desembocar en extorsión física, y añade que Doxbin no permite que se publiquen en su plataforma amenazas o discusiones sobre violencia. "He visto a gente a la que se le ha hecho doxing y eso ha terminado en que le han puesto ladrillos, le han disparado a su casa, le han tirado una molotov por la ventana, le han acosado en grupo, todo ello en un intento de extorsionarles para conseguir dinero", contó Ego en una conversación con Larsen. A veces se cuelgan en internet videos de las agresiones. "Las cosas se ponen feas en internet, mucho más de lo que la gente cree", asegura Ego.
Estos incidentes pueden involucrar a personas que intentan extorsionar criptodivisas de personas con grandes fraudes, aunque algunos servicios de violencia han sido usados por grupos en línea en disputa. "A menos que estas plataformas sean desmanteladas, o más actores sean castigados, tanto en los EE UU como en el extranjero, simplemente va a seguir aumentando", advierte Larsen. "Particularmente a medida que la criptodivisa es adoptada por más personas".
Pocas protecciones contra el doxing
A nivel mundial, existen pocas protecciones legales contra el doxing, aunque algunos elementos pueden caer bajo la legislación de acecho, acoso o protección de datos. "Las leyes en todo el mundo simplemente no son adecuadas para proporcionar protección", explica Amanda Manyame, asesora de derechos digitales en Equality Now, una ONG feminista de derechos humanos. “Las víctimas no tienen manera de recuperar rápidamente el control de la información que se ha publicado con la intención de acosarlas, intimidarlas y/o dañarlas”. "La rápida retirada de los contenidos relacionados con doxing es muy importante para las víctimas, y los gobiernos deben promulgar leyes que obliguen a la retirada de estos contenidos en un plazo de 24 horas", añade Manyame, ya que la investigación de Equality Now sostiene que el doxing puede afectar "desproporcionadamente" a mujeres y niñas. Como muestra de las dificultades para eliminar información, Doxbin publica un informe de transparencia (imitando las prácticas de las grandes plataformas tecnológicas) que recoge el número de solicitudes de eliminación que recibe. Según Larsen, en la lista figuran unas 160 solicitudes de abogados y cuerpos de seguridad locales y nacionales de 27 países, la mayoría denegadas por no incumplir las limitadas condiciones de servicio de Doxbin. Aunque las vías legales para conseguir la eliminación de datos son escasas, hay medidas que los ciudadanos pueden tomar para limitar algunas de las consecuencias del doxing y otros abusos de la privacidad digital. A nivel individual, según Larsen, las medidas comunes de ciberseguridad pueden ayudar, como no reutilizar contraseñas en aplicaciones y sitios web, bloquear las cuentas de redes sociales y no publicar fotos e información personal, y activar la autenticación multifactor para tantas cuentas como sea posible. Para las personas que quieran ir más allá, un primer paso puede ser utilizar nombres de usuario y correos electrónicos que no estén vinculados a la misma dirección de correo electrónico o cuenta de internet.
