Es posible que hayas escuchado ya en alguna ocasión el término «doxear» en Internet o las redes sociales. También puede que lo hayas visto como «hacer doxing», «doxxing» o incluso «d0xing». Se trata de la práctica de obtener información personal de un usuario de Internet o de una empresa o institución y hacerla pública con mala intención.
Esa difusión de información personal puede realizarse en redes sociales, medios de comunicación online, blogs… o en cualquier medio al que tengan acceso otras personas que no tendrían por qué saber esa información. Por ejemplo, se puede «doxear» también a alguien enviando un correo electrónico a una base de datos con información comprometida, o publicándola en la Intranet de una empresa.
Pero la acción siempre implica la difusión de información sensible con el objeto de avergonzar, culpar, señalar o simplemente hacer daño a la persona o institución objetivo del ataque. Por ejemplo, si se difunde su rostro cuando deseaba estar en el anonimato, o cuando se hace pública su dirección -lo que puede conllevar que otros quieran acceder a su domicilio para molestarle- o su número de teléfono. Aunque difundir vídeos y fotografías personales comprometidas se conoce como «extorsión» de tipo sexual, también podría considerarse una forma de «doxing» si implica también la revelación de su identidad.
En cualquier caso, «doxear» implica una forma de ciberacoso que busca molestar a otra persona o personas exponiendo públicamente datos o información sensible. A veces únicamente se busca hacer daño, aunque también hay ocasiones en las que el «doxxing» puede llevar a que se desarrollen casos de chantaje o extorsión.
Origen del término «doxear»
La creación de la palabra «doxear» es reciente, y procede de un uso coloquial del inglés. En esta lengua, los usuarios emplean la palabra «dox» para hacer referencia a los documentos de Word, el procesador de textos de Microsoft. Éstos se guardan con la extensión «.doc», y coloquialmente se les llama «Dox».
Por extensión, aquellas personas que se dedican a buscar en bases de datos online, redes sociales y cualquier tipo de plataforma digital, información sensible de las personas a las que quieren hacer daño, se les llama «doxers». También pueden buscar esa información sensible fuera de Internet, pero la peculiaridad común que tienen es que siempre la expondrán de forma pública en una web o una red social.
A nivel personal, se busca sobre todo hacer daño, avergonzar a la víctima del «doxing», aunque en casos más serios se puede llegar al robo de identidad, la suplantación de la personalidad online o el fraude.
Sin embargo, en entornos corporativos, los «doxers» pueden llegar a solicitar importantes sumas de dinero u realizar incómodas peticiones a sus víctimas. Es por ello que muchas empresas tratan de protegerse ante este tipo de ataques con sofware específicos, cortafuegos o sistemas de cifrado que impida acceder a información sensible que pudiera ser revelada por los «doxers».
Cuando se exige un pago por no revelar esos datos personales o secretos, o se amenaza a las víctimas con acciones jurídicas si no cumplen con sus exigencias, se habla de «doxware», que es diferente al hacktivismo. Este se produce cuando ya los ciberdelincuentes «buscan justicia» haciendo públicos los documentos privados de empresas o instituciones que han llevado a cabo actividades ilícitas o se destapan casos de corrupción.
Por último, cabe señalar que el «doxing» puede ser un delito, aunque su gravedad dependerá de la información privada que se ha compartido públicamente y la repercusión que esto pueda tener en la persona «doxeada» o su entorno. Por ejemplo, la publicación de información sensible como números de teléfono o direcciones es absolutamente ilegal.
En este sentido, en Europa existe el Reglamento General de Protección de Datos (RGPD) que vela por los derechos de los individuos sobre sus datos personales y establece cómo las empresas deben recopilarlos y almacenarlos adecuadamente para no incurrir en un delito.
