En el año 2014, surgió una campaña de ciberacoso contra las mujeres del mundo gamer denominada ‘GamerGate’. Muchas se vieron afectadas en este ataque, ejecutado en plataformas como Reddit y 4Chan, siendo una de ellas la desarrolladora de videojuegos estadounidense Zoe Quinn.
LEE TAMBIÉN: Microsoft implementará la tecnología de ChatGPT a Word, PowerPoint y Outlook
Mediante una publicación en su blog personal, la expareja de Quinn reveló detalles de su relación donde la acusaba de infidelidad e incluso capturas de pantalla de sus conversaciones privadas en un foro online.
Como resultado de esto, los hackers no solo tomaron posesión de sus redes sociales, sino que también dieron a conocer información privada de la desarrolladora de videojuegos, como la dirección de su hogar y su número de celular. Incluso editaron una publicación suya “y la reemplazaron con información que mostraba que sabían dónde estaba y dónde vivía mi familia”, señala la propia Quinn en el medio Times.
Esta práctica es conocida como doxing y, si bien son las celebridades, políticos y periodistas quienes suelen ser las principales víctimas, también se ha ejecutado en usuarios comunes. Pero, ¿qué es exactamente?
¿Qué es el doxing?
“El doxing es una acción maliciosa que un hacker realiza contra personas con las que está en desacuerdo o que considera desagradables”, señala Fabio Assolini, director del Equipo investigación y análisis para América Latina en Kaspersky a El Comercio.
MIRA: Propagan malware mediante falsas ofertas de trabajo a profesionales del sector de las criptomonedas
“Generalmente, revelar información personal en línea de manera intencional tiene como objetivo castigar, intimidar o humillar a la víctima”, agrega.
La palabra es una abreviación de “exponer dox”, este último es un término coloquial que hace referencia a los documentos. Para Luis García Morán, docente de la Facultad de Ingeniería de la Universidad Tecnológica del Perú (UTP), la información que se revela puede clasificarse así: información personal, información confidencial e información bancaria.
"Revelar información personal en línea de manera intencional tiene como objetivo castigar, intimidar o humillar a la víctima"
Mientras que la primera incluye nombres, apellidos, dirección, educación e incluso usuarios de redes sociales, la segunda engloba las credenciales de aplicaciones móviles y contraseñas de redes sociales. De hecho, a finales de junio de 2021, Kaspersky publicó un estudio que reveló que uno de cada diez usuarios latinoamericanos fue víctima del doxing al buscar pareja de forma online.
MIRA: ChatGPT: 6 maneras en las que la IA podría ser utilizada de forma maliciosa
Finalmente, la información bancaria abarca los números de cuenta, líneas de crédito y movimientos de cuentas de ahorro y corriente.
“Hoy el doxing es una práctica muy utilizada por los ciberdelincuentes”, indica el experto a este Diario.
¿Qué métodos utilizan los ciberdelincuentes para atacar a las personas mediante el doxing?
El doxing puede ser ejecutado desde cualquier lugar, pues el hacker solo necesita un dispositivo tecnológico.
García Morán señala que las principales técnicas de ingeniería social que utilizan son el phishing, smishing, vishing y pharming. Este último consiste en “instalar un software malicioso en un equipo y extraer toda la información posible del usuario”.
MIRA: Google difuminará las imágenes explícitas que aparezcan en los resultados de una búsqueda
De igual forma, el ‘SIM swapping’ es otra de las técnicas usadas. A través de esta, se “suplanta la identidad del titular de un número de celular y se concreta la emisión de un nuevo chip o se cambia la titularidad del número”.
¿El doxing es ilegal en Perú?
De acuerdo con Oscar Montezuma, abogado especialista en regulación digital, el doxing no figura como un delito en la legislación peruana. “Pero, dependiendo de como se ejecute, puede calificar como una forma de acoso o incluso como una vulneración al derecho de intimidad, el cual también esta sancionado penalmente”, señala a este medio.
MIRA: ¿Puede ChatGPT adivinar los números de la lotería? La respuesta de la IA sorprendió a todos
Al respecto, el artículo 151 del Código Penal establece que los acosadores serán reprimidos “con pena privativa de la libertad no menor de uno ni mayor de cuatro años”.
Montezuma cree que el catálogo de delitos que se contemplan en la ley de delitos informáticos, aprobada en 2013, debería ser revisada. “Es un ejercicio muy sano, sobre todo en un tema de tecnología que evoluciona tan rápido, hacer estas revisiones periódicas. Sobre todo si han pasado 10 años como para más o menos evaluar cuál ha sido el resultado y el impacto de esta norma”, agrega.
El abogado señala que la División de Alta Tecnología de la Policía Nacional del Perú (DIVINDAT) es la encargada de atender situaciones vinculadas al doxing o similares.
De igual forma, la Autoridad Nacional de Protección de Datos Personales, parte del Ministerio de Justicia, supervisa el cumplimiento de la ley de protección de datos personales.
Si bien en el Perú aún no hay medidas legales contra el doxing, específicamente como tal, otros países ya consideran esta práctica maliciosa en sus leyes de privacidad.
En el año 2021, en Hong Kong, las autoridades incluyeron el doxing como un crimen que es castigado con sentencias de cárcel de hasta cinco años y multas de hasta 1 millón de dólares de Hong Kong, de acuerdo con el medio CNN.
MIRA: Japón introduce robots de entrega “humildes y adorables” para aliviar la escasez laboral
Esta modificación se dio luego de que funcionarios y policías fueran doxeados en “las protestas de 2019 contra el proyecto de ley propuesto por el gobierno de Hong Kong para permitir las extradiciones a China continental”.
En Estados Unidos, por otro lado, las medidas para hacer frente al doxing dependen de cada estado. En 2022, en Nevada, se aprobó una ley que prohíbe el doxing “y permite a las víctimas entablar una acción civil contra los perpetradores”.
De igual forma, en California, el doxing está incluido dentro del acoso cibernético y es penado con cárcel hasta por un año o la imposición de una multa de hasta 1.000 dólares, en caso exista la intención de “poner en peligro a otras personas y a (la) familia inmediata (de la víctima)”.
MIRA: Tottus presentó a ‘Totti’, un robot con inteligencia artificial que te guía por los pasillos
¿Cómo puedo evitar ser víctima de doxing?
Para empezar, los usuarios deben ser cuidadosos con la información que brindan teniendo en cuenta las circunstancias en las que lo hacen. Según una encuesta realizada por Kaspersky, “el 37% de los internautas peruanos proporciona sus datos personales a cambio de descuentos o cupones, sin verificar si estos son reales o se trata de una estafa”.
Assolini recomienda los siguientes puntos para no caer en esta práctica maliciosa.
Una VPN toma el tráfico de Internet del usuario, lo cifra y lo envía a través de uno de los servidores del servicio antes de dirigirse a la red pública de Internet, lo que le permite navegar de forma anónima.
De esta forma tú (y cualquier otra persona que quiera acceder a la cuenta) necesitará de al menos dos formas de identificación para ingresar al sitio, generalmente tu contraseña y número de teléfono.
Revisa cuántos sitios tienen tu información. Aunque sitios como MySpace podrían estar ahora en desuso, los perfiles que se crearon hace más de una década siguen siendo visibles y accesibles para el público. Si es posible, intenta eliminar los perfiles obsoletos o sin uso.
El software antivirus y de detección de malware puede impedir que los doxers roben la información a través de aplicaciones maliciosas.