Desde principios de los años 90, la gente ha recurrido al doxing como una forma tóxica de vengarse digitalmente: despojando a alguien de su anonimato desenmascarando su identidad en línea. Pero en los últimos años, esta práctica tóxica ha cobrado nueva vida: se ha extorsionado a personas para que les den criptomonedas y, en los casos más extremos, se ha llegado a enfrentar a la violencia física.
Durante el último año, el investigador de seguridad Jacob Larsen, que fue víctima de doxing hace aproximadamente una década cuando alguien intentó extorsionarlo para obtener una cuenta de juego, ha estado monitoreando grupos de doxing, observando las técnicas utilizadas para desenmascarar a las personas y entrevistando a miembros destacados de la comunidad de doxing. Las acciones de doxing han generado ingresos de “mucho más de seis cifras anuales” y los métodos incluyen realizar solicitudes falsas a las fuerzas del orden para obtener los datos de las personas, según las entrevistas de Larsen.
“El objetivo principal del doxing, particularmente cuando implica un componente de extorsión física, es el financiamiento”, dice Larsen, quien lidera un equipo de seguridad ofensiva en la empresa de ciberseguridad CyberCX, pero realizó la investigación sobre doxing a título personal con el apoyo de la empresa.
En varias sesiones de chat en línea en agosto y septiembre del año pasado, Larsen entrevistó a dos miembros de la comunidad de doxing: “Ego” y “Reiko”. Si bien ninguna de sus identidades fuera de línea es conocida públicamente, se cree que Ego fue miembro del grupo de doxing de cinco personas conocido como ViLe, y Reiko el año pasado actuó como administradora del sitio web de doxing público más grande, Doxbin, además de estar involucrada en otros grupos. (Otros dos miembros de ViLe Se declaró culpable de piratería informática y robo de identidad. en junio.) Larsen dice que tanto Ego como Reiko eliminaron sus cuentas de redes sociales desde que hablaron con él, lo que hace imposible que WIRED hable con ellos de forma independiente.
Las personas pueden ser víctimas de doxing por una amplia gama de razones, desde el acoso en los juegos en línea hasta la incitación a la violencia política. El doxing puede “humillar, dañar y reducir la autonomía informativa” de las personas afectadas, dice Bree Anderson, criminóloga digital de la Universidad Deakin en Australia que ha investigó el tema con colegas. Existen daños directos de “primer orden”, como riesgos para la seguridad personal, y daños de “segundo orden” a más largo plazo, incluida la ansiedad por futuras divulgaciones de información, dice Anderson.
La investigación de Larsen se centró principalmente en aquellos que realizan doxing con fines de lucro. Doxbin es fundamental para muchas iniciativas de doxing, ya que el sitio web alberga más de 176.000 doxes públicos y privados, que pueden contener nombres, detalles de redes sociales, números de la Seguridad Social, direcciones de domicilio, lugares de trabajo y detalles similares pertenecientes a familiares de personas. Larsen dice que cree que la mayor parte del doxing en Doxbin está impulsado por actividades de extorsión, aunque puede haber otras motivaciones y doxing para obtener notoriedad. Una vez que se carga la información, Doxbin no la eliminará a menos que infrinja los términos de servicio del sitio web.
“Es su responsabilidad defender su privacidad en Internet”, dijo Reiko en una de las conversaciones con Larsen, quien ha publicó las transcripcionesEgo agregó: “Depende de los usuarios mantener estricta su seguridad en línea, pero seamos realistas, no importa cuán cuidadosos sean, alguien podría rastrearlos”.
Suplantando a la policía, la violencia como servicio
Ser completamente anónimo en línea es casi imposible, y muchas personas no lo intentan, a menudo usan sus nombres reales y datos personales en cuentas en línea y comparten información en las redes sociales. Las tácticas de doxing para recopilar datos de las personas, algunos de los cuales fueron detallados en cargos contra los miembros de ViLepueden incluir la reutilización de contraseñas comunes para acceder a cuentas, el acceso a bases de datos públicas y privadas y la ingeniería social para lanzar ataques de intercambio de SIM. También existen métodos más nefastos.
Las solicitudes de datos de emergencia (EDR) también pueden ser objeto de abuso, afirma Larsen. EDR Permitir a los funcionarios encargados de hacer cumplir la ley solicitar a las empresas tecnológicas los nombres y datos de contacto de las personas sin necesidad de órdenes judiciales, ya que consideran que puede haber peligro o riesgos para la vida de las personas. Estas solicitudes se realizan directamente a las plataformas tecnológicas, a menudo a través de portales en línea específicos, y en general deben proceder de direcciones de correo electrónico oficiales de las fuerzas del orden o del gobierno.
