La gran cantidad de información personal que circula por la red puede ser aprovechada por terceros para llevar a cabo acciones maliciosas como el denominado "doxing". Hablamos de una práctica que consiste en revelar información personal de una persona en línea sin su consentimiento, como su nombre real, dirección, lugar de trabajo, teléfono y datos financieros, entre otros.
El doxing suele ser visto como una amenaza o extorsión a individuos específicos, como famosos, personas mediáticas o que participen en discusiones en línea. No obstante, también puede perjudicar a empresas y organizaciones. Tengamos en cuenta que la información corporativa confidencial tiene la misma importancia que los datos de cualquier persona, y los riesgos financieros y de reputación derivados de su divulgación pueden ser enormes.
También te puede interesar: Phishing: qué es esta amenaza y cómo puedes proteger a tu empresa de ella
¿Qué es el doxing?
El doxing es una práctica que consiste en obtener información personal y confidencial de una persona sin su consentimiento, con el objetivo de causarle daño o beneficiarse de alguna manera. No es algo nuevo, ya que el origen del término se remonta a los 90. Por entonces, hacía referencia a la exposición de información personal de alguien a quien solo se le conocía por su nombre de usuario o alias. La palabra nace de "dropping dox", donde "dox" es "documentos".
Con el tiempo, el término se expandió y ahora se refiere a cualquier exposición de información personal. El grupo hacktivista Anonymous popularizó el concepto de doxing en 2011 al exponer información de miembros de las fuerzas de seguridad. Desde entonces, han perpetrado ataques contra personas y grupos con los que están en desacuerdo.
Cuando se trata de doxing dirigido a empresas, los ciberdelincuentes utilizan métodos más diversos para recopilar la máxima cantidad de información corporativa confidencial posible. El primer paso, y más simple, que pueden dar es recopilar datos de fuentes públicas sobre la empresa, por ejemplo, webs corporativas. Ahí se pueden encontrar datos de interés para los "doxers", como nombres y cargos de los empleados, incluso sus correos. Resultan especialmente útiles quienes ostentan puestos clave como CEO, jefe de recursos humanos o CFO (responsable financiero).
Consideremos que si el director ejecutivo de una empresa tiene conexiones en LinkedIn con diferentes responsables de otros departamentos, y ellos, a su vez, están conectados con más personal, un atacante solo necesita conocer unos pocos nombres para reconstruir la estructura jerárquica de la empresa y utilizarla en futuros ataques.
Pero en redes sociales menos profesionales, como Facebook o Instagram, muchos usuarios indican dónde trabajan y también comparten mucha información personal: fotos de vacaciones, historias, visitas a restaurantes, gimnasios... Podría parecer que esta información no es útil para atacar a una empresa, ya que no está relacionada directamente. Sin embargo, en realidad, puede ser aprovechada de diferentes maneras.
Ejemplos de ataques de doxing
Uno de los ataques que utiliza datos públicos es el BEC (Business Email Compromise, por sus siglas en inglés). Consiste en que un atacante inicie una conversación por correo electrónico con un empleado de una organización en nombre de otro empleado (o representante) de una empresa asociada. El atacante intenta ganarse la confianza de la víctima y persuadirla para que haga cosas como revelar información confidencial o transferir dinero a una cuenta. Este tipo de ataques se han vuelto cada vez más comunes.
La información obtenida de los perfiles personales de los empleados puede ser utilizada para organizar ataques BEC. Supongamos que un empleado de una empresa publica en sus redes sociales una imagen de un nuevo producto en el que están trabajando y menciona que se encuentra en la etapa final de desarrollo. En este contexto un atacante podría enviar un correo electrónico en nombre del empleado a un competidor de la empresa, revelando detalles sobre el producto y sus características confidenciales.
Estos ataques no solo buscan obtener ganancias financieras, sino también recopilar información confidencial. Dependiendo del cargo del empleado o de la importancia del socio cuya identidad asumen los intrusos, pueden acceder a documentos importantes, como contratos o bases de datos de clientes.
Con esta información, los atacantes pueden crear perfiles de las personas para suplantarlas en otros ataques. Conociendo la rutina diaria del empleado y su zona horaria, los estafadores pueden elegir el momento más adecuado para lanzar un ataque.
¿Cómo protegerse del doxing?
Prevenir el doxing puede ser difícil, ya que hay una gran cantidad de información personal en línea. Sin embargo, se pueden tomar medidas para protegerse. Algunas de ellas pueden ser:
- Utilizar nombres de usuario diferentes
- Configurar la privacidad en las redes sociales
- Extremar la precaución con el phishing
- Utilizar una VPN para proteger la dirección IP
- Controlar qué datos e información personal hay disponible en sitios web y bases de datos
Es importante destacar que el doxing no es ilegal si la información revelada es de dominio público y se obtuvo de manera legal. Igualmente, no todos los actos de doxing tienen la misma gravedad, ya que no es comparable revelar el nombre real de una persona a publicar su dirección particular o número de teléfono. Sin embargo, el marco legal contra este tipo de acciones evoluciona constantemente por lo que es aconsejable buscar respaldo profesional en caso de duda.
Independientemente de la ley, el doxing infringe los términos de servicio de muchos sitios web y, en general, es una práctica maliciosa ya que puede acarrear acoso o pérdida de empleo, por mencionar solo dos de las indeseables consecuencias. En cualquier caso, te recomendamos como siempre que utilices la solución digital de ciberseguridad de MÁSMÓVIL Negocios para mantener tu empresa libre de amenazas.
En MÁSMÓVIL Negocios esperamos haberte ayudado una vez más. Como verás, las amenazas están ahí y el doxing es una de ellas. Estar informados y protegidos es fundamental, ya que a día de hoy todavía son muchas las empresas las que caen en esta y otras prácticas maliciosas día tras día.
