Desde principios de la década de 1990, las personas han utilizado el doxing como una forma tóxica de vengarse digitalmente, despojando a alguien de su anonimato al revelar su identidad en línea. Sin embargo, en los últimos años, esta práctica perjudicial ha cobrado nueva vida, con personas siendo víctimas de doxing y extorsionadas por criptomonedas y, en los casos más extremos, enfrentando potencialmente violencia física. Durante el último año, el investigador de seguridad Jacob Larsen—quien fue víctima de doxing hace aproximadamente una década cuando alguien intentó extorsionarlo por una cuenta de juego—ha estado monitoreando grupos de doxing, observando las técnicas utilizadas para desenmascarar a las personas y entrevistando a miembros prominentes de la comunidad de doxing. Las acciones de doxing han conducido a ingresos de “muy por encima de seis cifras anuales”, y los métodos incluyen hacer solicitudes falsas de la ley para obtener los datos de las personas, según las entrevistas de Larsen.
“El objetivo principal del doxing, particularmente cuando implica un componente de extorsión física, es financiero,” dice Larsen, quien lidera un equipo de seguridad ofensiva en la empresa de ciberseguridad CyberCX, pero llevó a cabo la investigación sobre doxing de manera personal con el apoyo de la compañía.
Durante varias sesiones de chat en línea el pasado agosto y septiembre, Larsen entrevistó a dos miembros de la comunidad de doxing: “Ego” y “Reiko.” Aunque ninguna de sus identidades fuera de línea es de conocimiento público, se cree que Ego fue miembro de un grupo de doxing de cinco personas conocido como ViLe, y Reiko actuó el año pasado como administrador del sitio web público de doxing más grande, Doxbin, además de participar en otros grupos. (Otros dos miembros de ViLe se declararon culpables de piratería informática y robo de identidad en junio). Larsen dice que Tanto Ego como Reiko eliminaron sus cuentas de redes sociales desde que hablaron con él, lo que hizo imposible que WIRED pudiera comunicarse con ellos de manera independiente.
Las personas pueden ser doxadas por una variedad de razones, desde el acoso en juegos en línea hasta incitar a la violencia política. El doxing puede “humillar, dañar y reducir la autonomía informativa” de los individuos afectados, dice Bree Anderson, criminóloga digital en la Universidad Deakin de Australia, quien ha investigado el tema con colegas. Anderson menciona que hay daños directos de “primera orden”, como riesgos a la seguridad personal, y “daños de segunda orden” de mayor duración, que incluyen la ansiedad sobre futuras divulgaciones de información.
La investigación de Larsen se centró principalmente en aquellos que hacen doxing por lucro. Doxbin es central en muchos esfuerzos de doxing, ya que el sitio web alberga más de 176,000 doxes públicos y privados, que pueden contener nombres, detalles de redes sociales, números de Seguro Social, direcciones de casa, lugares de trabajo y detalles similares pertenecientes a familiares. Larsen cree que la mayoría del doxing en Doxbin está impulsada por actividades de extorsión, aunque puede haber otras motivaciones y el doxing por notoriedad. Una vez que se carga información, Doxbin no la eliminará a menos que infrinja los términos de servicio del sitio.
“Es tu responsabilidad mantener tu privacidad en internet,” dijo Reiko en una de las conversaciones con Larsen, quien ha publicado las transcripciones. Ego añadió: “Depende de los usuarios mantener su seguridad en línea, pero seamos realistas, no importa lo cuidadoso que seas, alguien podría rastrearte.”
### Suplantación de Policía, Violencia como Servicio
Ser completamente anónimo en línea es casi imposible, y muchas personas no lo intentan, a menudo usando sus nombres reales y detalles personales en cuentas en línea y compartiendo información en redes sociales. Las tácticas de doxing para reunir detalles de las personas, algunas de las cuales fueron detalladas en cargos contra miembros de ViLe, pueden incluir reutilizar contraseñas comunes para acceder a cuentas, acceder a bases de datos públicas y privadas, y utilizar ingeniería social para lanzar ataques de cambio de SIM. También hay métodos más nefastos.
Las solicitudes de datos de emergencia (EDR) también pueden ser abusadas, dice Larsen. Las EDR permiten a los funcionarios del orden público solicitar a las empresas tecnológicas los nombres y detalles de contacto de las personas sin órdenes judiciales, ya que creen que puede haber peligro o riesgos para la vida de las personas. Estas solicitudes se realizan directamente a las plataformas tecnológicas, a menudo a través de portales en línea específicos, y en general, deben proceder de direcciones de correo electrónico oficiales del orden público o del gobierno.
Fuente y créditos: www.wired.com
Cats: Security,Security / Privacy,Security / Security News,Overexposed
