Dentro del oscuro mundo del doxing con fines de lucro – MundoDaily

Desde principios de la década de 1990, la gente ha utilizado el doxing como una forma tóxica de venganza digital: despojar a alguien de su anonimato al desenmascarar su identidad en línea. Pero en los últimos años, esta práctica venenosa ha cobrado nueva vida: las personas han sido engañadas y extorsionadas por criptomonedas y, en los casos más extremos, potencialmente enfrentando violencia física.

Durante el año pasado, el investigador de seguridad Jacob Larsen, que fue engañado hace aproximadamente una década cuando alguien intentó extorsionar una cuenta de juego, ha estado monitoreando grupos de doxing, observando las técnicas utilizadas para desenmascarar a las personas y entrevistando a miembros prominentes de la comunidad de doxing. Las acciones de doxing han generado ingresos de «más de seis cifras al año» y los métodos incluyen realizar solicitudes falsas a las autoridades para obtener datos de las personas, según las entrevistas de Larsen.

«El principal objetivo del doxing, especialmente cuando implica un componente de extorsión física, son las finanzas», afirma Larsen, que dirige un equipo de seguridad ofensiva en la empresa de ciberseguridad CyberCX, pero realizó la investigación sobre doxing a título personal con el apoyo de la empresa.

En varias sesiones de chat en línea en agosto y septiembre, Larsen entrevistó a dos miembros de la comunidad de doxing: «Ego» y «Reiko». Aunque ninguna de sus identidades fuera de línea se conoce públicamente, se cree que Ego fue miembro del grupo de doxing de cinco personas conocido como ViLe, y Reiko se desempeñó como administradora del sitio web público de doxing más grande, Doxbin, el año pasado, además de participar en otros grupos. (Otros dos miembros de ViLe Se declaró culpable de piratería informática y robo de identidad (En junio). Larsen dice que tanto Ego como Reiko eliminaron sus cuentas de redes sociales después de hablar con él.

Las personas pueden ser víctimas de doxing por diversas razones, desde acoso en juegos en línea hasta incitación a la violencia política. El doxing puede «humillar, dañar y reducir la autonomía informativa» de las personas objetivo, dice Bree Anderson, criminóloga digital de la Universidad Deakin en Australia, que investigó el tema con colegas. Hay daños directos de “primer orden”, como los riesgos para la seguridad personal, y daños de “segundo orden” a largo plazo, incluida la ansiedad en torno a futuras divulgaciones de información, dice Anderson.

La investigación de Larsen se ha centrado principalmente en aquellos que hacen fraude con fines de lucro. Doxbin es fundamental para muchos esfuerzos de doxing, y el sitio alberga a más de 176.000 doxers públicos y privados, que pueden contener nombres, detalles de redes sociales, números de seguro social, domicilios, lugares de trabajo y detalles similares de miembros de la familia. Larsen dice que cree que la mayor parte del doxing en Doxbin está motivado por actividades de extorsión, aunque puede haber otras motivaciones y doxing para obtener notoriedad. Una vez cargada la información, Doxbin no la eliminará a menos que viole los términos de servicio del sitio.

«Es tu responsabilidad mantener tu privacidad en Internet», dijo Reiko en una de las conversaciones con Larsen, quien ha publicó las transcripciones. Ego agregó: «Es responsabilidad de los usuarios mantener su estricta seguridad en línea, pero seamos realistas, no importa cuán cuidadoso seas, alguien aún puede rastrearte».

Representando a la policía, la violencia como servicio.

Ser completamente anónimo en línea es casi imposible, y muchas personas no lo intentan, a menudo usan sus nombres reales y datos personales en cuentas en línea y comparten información en las redes sociales. Tácticas de doxing para recopilar datos de las personas, algunas de las cuales se han detallado en cargos contra miembros de ViLe, puede incluir la reutilización de contraseñas comunes para acceder a cuentas, el acceso a bases de datos públicas y privadas y la ingeniería social para lanzar ataques de intercambio de SIM. También existen métodos más nefastos.

También se puede abusar de las solicitudes de datos de emergencia (EDR), afirma Larsen. EDR permitir que los agentes del orden soliciten a las empresas de tecnología nombres y datos de contacto de personas sin ninguna orden judicial porque creen que puede haber peligro o riesgo para la vida de las personas. Estas solicitudes se realizan directamente a plataformas tecnológicas, a menudo a través de portales en línea específicos, y normalmente deben provenir de direcciones de correo electrónico oficiales de la policía o del gobierno.