Un maestro me enseñó a dox

Un maestro me enseñó a dox

Hay pocas cosas más sorprendentes que ver su información privada publicada en línea. Te hace sentir vulnerable y nervioso, sabiendo que cualquiera tiene los detalles necesarios para lanzar un ladrillo por tu ventana en cualquier momento.

El acto, conocido como doxing, se ha convertido en una táctica popular entre activistas y trolls por igual, con miembros de Anonymous publicando detalles sobre los miembros de KKK a los miembros de Gamergate publicar la información personal de aquellos a los que se opone el movimiento.

Si bien los doxers a veces usan la piratería o el engaño para descubrir detalles personales sobre sus objetivos, contrariamente a la creencia popular, 'la mayor parte de la información es pública', según un investigador que ha pasado años estudiando y participando en la práctica del doxing. Todo lo que se necesita es la persona adecuada para ponerlo todo junto para lograr un efecto devastador.

Si no hay mucha información nueva disponible en los sitios de datos públicos, los doxers a menudo se adentran en bases de datos pirateadas ilegales que encuentran su camino a la luz. Cada vez que un minorista importante, como Deposito de casa , Objetivo , o Adobe , sufre una filtración de datos, esa información (nombres, direcciones de correo electrónico y tal vez incluso información de tarjetas de crédito) a menudo se empaqueta y vende en los rincones más oscuros de la Web.

Si un doxer encuentra una dirección de correo electrónico correlacionada, esa es más información que se puede seguir con otros sitios. En una historia que me contó el investigador, un objetivo tenía una antigua cuenta de correo electrónico de Yahoo, tan antigua, de hecho, que Yahoo había cerrado la cuenta debido a la inactividad.

Esto significaba que la dirección podía volver a registrarse y ser utilizada por cualquier persona. Después de volver a registrar la dirección de correo electrónico, el doxer la ingresó en varios sitios grandes, verificando si estaba vinculada a alguna cuenta, y luego le pidió que restableciera la contraseña cuando surgió una. Tuvieron suerte con Amazon y lograron ingresar a la cuenta, que, convenientemente, todavía tenía la información de la tarjeta de crédito almacenada del objetivo.

Después de rastrear cuentas de redes sociales y sitios de datos, un doxer probablemente haya hecho un mosaico bastante decente de su información personal. Con estos detalles (el nombre completo o la dirección de correo electrónico a veces pueden ser suficientes), es bastante trivial verificar si el número de seguro social de un objetivo figura en una base de datos filtrada. Si es así, su vida puede estar a punto de complicarse mucho más.

Por más aterrador que sea, los doxers han comenzado a utilizar una táctica cada vez más popular, según el investigador, que solo requiere conocer el proveedor de servicios de Internet (ISP) de un objetivo.

El investigador me envió un documento que contiene detalles sobre cómo engañar al personal del centro de llamadas de varios ISP. El documento incluía los nombres de los empleados que los doxers deberían pretender ser cuando llaman para obtener información, y las herramientas internas que utiliza cada ISP, y qué datos se pueden utilizar para obtener.

'Sitios de datos públicos y redes sociales: Google es el pegamento que los une'.

En un caso, un doxer fingió ser un administrador de Comcast para obtener el nombre y la dirección de un objetivo. Le pidió al operador que usara una herramienta interna para obtener información sobre la cuenta detrás de la dirección IP. Y, según una transcripción de la llamada que brindó el investigador, funcionó.

Un doxer exitoso puede usar técnicas de ingeniería social como esta para obtener el nombre completo, la dirección y el número de teléfono de la persona que paga por el acceso a Internet. Pero esto no es muy impresionante, según el investigador. Las personas que usan esta táctica obtendrán lo que necesitan de la llamada de ingeniería social, ya sea un nombre completo o una dirección, y dejarán el trabajo así.

Los problemas realmente grandes surgen cuando alguien conecta todos los puntos y crea un perfil que cubre todos los aspectos de su vida: direcciones IP antiguas, que marcan su ubicación física a lo largo del tiempo; material de bases de datos filtradas; imágenes; detalles personales vergonzosos y más. Hablando de un ejemplo bien construido de particularidad, 'encajó perfectamente', dijo el investigador.

Afortunadamente, hay algunas cosas que puede hacer para minimizar los esfuerzos de un doxer determinado.

Primero, puede bloquear sus cuentas de redes sociales con las restricciones de privacidad más estrictas disponibles. Esto se ha vuelto más fácil en los últimos años, al menos con Facebook. Al hacer clic en el ícono de 'candado' en la esquina superior derecha cuando está conectado, luego en 'Quién puede ver mis cosas', luego en 'Ver como', puede ver cómo se ve su perfil para amigos, amigos de amigos o incluso el público en general, y luego elija un nivel de privacidad con el que esté satisfecho. En el caso de los álbumes y las fotos publicados en su línea de tiempo, deberá revisar cada uno y seleccionar su configuración de privacidad.

Facebook

Cuando se trata de Twitter, es posible que no desee que su cuenta sea privada, lo que frustra el propósito de muchos usuarios. Entonces, si desea mantenerlo público, no lo vincule con sus otras cuentas de redes sociales; eso significa no usar el mismo nombre en todas sus cuentas o registrarse en ellas con la misma dirección de correo electrónico. De esa manera, un doxer potencial tendrá más dificultades para encontrar otras fuentes de datos personales.

Una vez que se haya abordado su presencia en las redes sociales, es posible que desee abordar cualquier información personal disponible sobre usted en los sitios de datos, como su historial de direcciones e información de contacto. A menudo, esto se puede hacer directamente en el sitio web, generalmente a través de un formulario que debe imprimir, firmar y luego enviar por correo electrónico. Sin embargo, los resultados pueden tardar más de una semana en surtir efecto.

También es posible que desee abordar ese perfil de MySpace olvidado hace años que creó hace años (o, para el caso, cualquier otra cuenta de redes sociales antigua u obsoleta). Aunque puede que no contenga ninguna información que indique su paradero actual, aún puede ser útil para un doxer que intenta construir una imagen de su pasado o simplemente recolectar fotos vergonzosas. Los perfiles son muy fáciles de eliminar a través del sitio web de MySpace, incluso si ha olvidado alguno de sus datos de inicio de sesión.

De manera más general, tenga en cuenta las buenas prácticas de seguridad: no use la misma contraseña en diferentes sitios web; no guarde los números de su tarjeta de crédito en servicios, como Amazon; pedirle a sus amigos que eliminen publicaciones que revelen información sobre su vida personal; y sé muy consciente de lo que publicas en el espacio público.

Por supuesto, es más fácil decirlo que hacerlo. Ken Gagne de Mundo de la informática recientemente comprobado para ver qué tan fácil fue eliminar sus propios resultados de varios sitios de corredores de datos, con un nivel de éxito variado. Y el doxing depende especialmente de la información que las víctimas transmiten voluntariamente. Eso no es para culparlos por desear compartir sus vidas con otros en línea, pero es un claro recordatorio de que lo que dices en Internet puede usarse en tu contra.

Foto vía JD Hancock / Flickr (CC BY 2.0) | Remix de Jason Reed