Blíndate contra el doxeo

Doxing o doxear es el acto de hacer pública información privada o confidencial, una táctica utilizada en internet por personas agresoras que desean intimidar y hacer vulnerables a ataques adicionales a sus víctimas.

Los troles en línea pueden rastrear y publicar la dirección de casa, el número de teléfono, el lugar de trabajo, el nombre de la escuela de un hijo o hija, o cualquier otra referencia personal que encuentren. Si bien parte de esta información puede ser pública y estar disponible en bases de datos o sitios web, generalmente la intención de quien ataca es darle la mayor difusión para hacer patentes sus amenazas e intensificar el acoso.

Periodistas, activistas o quienes escriben sobre temas sensibles son particularmente vulnerables al doxeo. Si tú eres blanco de este tipo de agresión, puedes tomar medidas de protección:

• Gugléate. Busca en Google tu nombre, tu número de teléfono, tu dirección particular y tus nombres de usuario en línea. Cierra la sesión de tu cuenta de Google y, si es el caso, cierra tu sesión del navegador de Google mientras realizas las búsquedas (no hacerlo podría sesgar tus resultados). También puedes hacerlo desde la ventana de incógnito de tu navegador. Revisa qué aparece en la sección de web, así como en videos dentro del mismo buscador. Prueba con otros motores de búsqueda, como Bing y DuckDuckGo. Aprovecha estos consejos de búsqueda de Google. ¿Qué tipo de información has encontrado? ¿De qué sitios viene? ¿Cuentas de redes sociales, semblanzas de equipo de trabajo, sitios web de empresas? Prueba con herramientas OSINT (Open Source Intelligence) para la búsqueda de personas, como webmii.com. La línea de ayuda de Access Now tiene una guía muy práctica para “autodoxearte” [en inglés]. Consulta la guía de autodoxeo de Zen y el arte de que la tecnología trabaje para ti.

• Busca tus imágenes. Gugléate para revisar qué imágenes tuyas están disponibles en línea. Haz clic con el botón derecho en cada imagen y «busca imágenes en Google» para ver en dónde más circulan tus fotos y qué uso se les da. Haz lo mismo con las fotos de tu perfil en Twitter, Facebook, Instagram o LinkedIn e intenta una búsqueda por imágenes mediante plataformas como Yandex o TinEye. Recuerda: ¡nunca subas imágenes confidenciales o privadas!

• Monitorea las filtraciones de datos. Cuando hay una filtración masiva de datos, tu información privada puede verse comprometida. Mediante Haveibeenpwned.com [en inglés] y monitor.firefox.com, verifica si alguno de tus correos electrónicos fue parte de una vulneración de datos importante. En caso de que una de tus cuentas haya sido afectada, cambia la contraseña lo antes posible y no vuelvas a usar esa contraseña en otra plataforma. También puedes configurar una alerta en el Monitor de Firefox por si una de tus cuentas resulta involucrada en futuras filtraciones de datos.

• Audita tus redes sociales. Las personas que acosan en internet revisan las redes sociales en busca de datos privados que puedan aprovechar contra sus víctimas: un tuit “vergonzoso” olvidado, una fotografía que revela una ubicación. Las plataformas desean que sus usuarios compartan la mayor cantidad de información personal posible, por lo que a menudo ocultan la configuración de privacidad. Revisa que tus cuentas no aparezcan como públicas. Si alguien está recopilando información tuya puede beneficiarse de una configuración de privacidad laxa.

• Ajusta tu configuración en redes sociales. Sé estratégica sobre qué plataformas utilizas y para qué fines: si estás usando una por motivos personales, ajusta tu configuración de privacidad; si te metiste a otra con fines profesionales –como rastrear noticias de última hora en Twitter y tuitear sobre tu trabajo– y quieres dejar varias de las opciones públicas, evita incluir información e imágenes personales (tu cumpleaños, número de celular, domicilio, nombres y fotos de familiares o de lugares reconocibles que permitan dar con tu ubicación). Aquí hay enlaces a la configuración de privacidad para:

• • Google
  • Facebook
  • Twitter
  • Instagram
  • LinkedIn
  • Whatsapp

Para una revisión más profunda, consulta las listas de verificación de seguridad y privacidad en redes sociales de The New York Times [en inglés].

• Semblanzas, CV y sitios web personales. Echa un vistazo a la información personal disponible relacionada con tu presencia profesional en línea. Para ver si existen en la web archivos en PDF de tu currículum, busca en Google de esta forma: «[Nombre] [Apellido]» filetype: pdf. (Este tipo de búsqueda sofisticada se denomina Google dorking o Google hacking y puede ser muy útil). Si encuentras un currículum vitae (CV) que contenga una dirección, correo electrónico o número telefónico privados, contacta a quienes administran el sitio para que eliminen el archivo. Cuando consideres pertinente, proporciona una versión pública –sin datos personales– de tu CV y pide que lo reemplacen.

Ya descubriste lo que hay ahí afuera y puede ser perturbador. La buena noticia es que sí es factible eliminar tu información privada disponible en internet y reducir la probabilidad de que vuelva a aparecer. Aunque no existe una fórmula mágica para salvaguardar tu privacidad y seguridad en línea, el objetivo es dificultar que terceros te causen daño.

• Configura alertas de Google para tu nombre completo, tu número telefónico, la dirección de tu casa u otros datos privados que te preocupen. Así sabrás si aparecen repentinamente en línea, lo que podría significar que has sido doxeada.

• Haz limpieza de tus datos. En Estados Unidos existen sitios web de venta de datos que recopilan información personal y la entregan a cualquiera que pague por ella. Servicios como DeleteMe, PrivacyDuck o ReputationDefender eliminan dicha información de algunos de esos sitios, pero no son gratuitos. Te recomendamos revisar qué plataformas en México y otros países de América Latina podrían estar recopilando información personal tuya que luego hacen pública, como los sitios de monitoreo de casos judiciales. Pero incluso se han llegado a filtrar bases de datos de instancias oficiales con datos de millones de personas, como el padrón electoral de México, que se vendía ¡en Amazon! 

• Establece correos electrónicos independientes para fines distintos. Considera tener al menos tres cuentas de correo electrónico: personal, para spam y profesional. Así, la primera la dedicas a la correspondencia privada con personas cercanas, familiares y demás contactos de confianza; es mejor no hacer pública esta dirección. La segunda la usas para el registro en plataformas, servicios y promociones; también existen opciones de correo temporal para el spam, como TempMail. Y la tercera cuenta, que destines sólo a asuntos profesionales, es la que podrías compartir públicamente. Al igual que con las cuentas de redes sociales que utilices de forma pública, trata de no incluir datos de identificación en las direcciones de correo electrónico (nombre completo, origen étnico, fecha de nacimiento, religión, ubicación).

• Desactiva tu ubicación. Asegúrate de que tus publicaciones en redes sociales –fotos y actualizaciones de estado– no comparten tu ubicación en tiempo real. Para restringir el rastreo desde aplicaciones o plataformas, verifica la configuración en tu teléfono y desactiva la ubicación; de lo contrario, las aplicaciones sospechosas podrían vender tus datos de ubicación o fallar en protegerla. Considera, además, borrar los metadatos de las fotos que subes a internet: hora, fecha y ubicación, pues es información valiosa a la que otros pueden acceder. Para eliminarlos los metadatos de una imagen usa ImageOptim [en inglés]. Hay también una vía más sencilla: descarga la aplicación de mensajería Signal, envíate las fotos a ti misma –lo que borra automáticamente los metadatos– y luego guárdalas en tu teléfono.

• No abras la puerta trasera. Si quieres retirar el permiso para acceder a ciertas apps o sitios web con Facebook y/o Google, sigue las instrucciones de las siguientes guías (Facebook y/o Google). ¿Alguna vez has seleccionado la opción de «iniciar sesión» automáticamente a través de Google o Facebook? Al hacerlo, le estás abriendo a ese software o plataforma de terceros una puerta trasera para husmear en tu correo electrónico u otras cuentas de redes sociales. Y sí, también les estás facilitando el acceso a tus contactos, imágenes, ubicación, sitios web que frecuentas.

• Sé tu propia editora de contenido personal. Tú decides cuándo, cómo y dónde das información personal en línea. Ten presente, por ejemplo, que al firmar una petición en línea quien administra el sitio web podría publicar o vender la información que le proporcionaste. Revisa el texto de tus tuits, estados de Facebook o mensajes en Instagram antes de publicar. ¿Contienen datos sobre tu ubicación? ¿Tu información de contacto? ¿Personas cercanas a ti? Si quieres ver qué es público en tu perfil, asegúrate de haber cerrado la sesión antes de ir a tu cuenta. Para constatar qué pueden ver otras personas, pídele a una de tus amistades que te haga capturas de pantalla. Y si te preocupa que tus tuits antiguos sean usados como arma en tu contra, puedes configurar un borrado automático en TweetDelete [en inglés] que los eliminará.

• ¿Usarías un seudónimo? Para muchas escritoras y periodistas, esto puede no ser una opción. Pero si se presenta la oportunidad de firmar tus textos con un seudónimo podrías evitar agresiones más graves en línea y, al mismo tiempo, garantizarías que el público tenga acceso a tus publicaciones, especialmente si eres una persona que apenas comienza su carrera o emprendes un proyecto que no tiene relación con tu vida profesional diaria.

• Registro de dominio. Cuando compras un dominio, quien registra el nombre debe ingresar su información de contacto en WHOIS, una base de datos con capacidad de búsqueda que es pública. El listado que contiene –personas que poseen dominios– puede ser un riesgo para escritoras y periodistas que se convierten en objetivos de doxeo, hackeo o ciberacoso. La mayoría de los servicios de registro de dominios ofrecen la opción de mantener su información privada, aunque suelen cobrar una pequeña tarifa por ello. Antes de adquirir un dominio asegúrate de que tus datos de contacto no serán públicos.

• Tus seres queridos también pueden ser doxeados. Si crees que las personas cercanas a ti corren el riesgo de ser doxeadas, conversa con ellas sobre cómo usan internet y qué información revelan sobre sí mismas en línea. Compárteles las prácticas que mencionamos en esta sección y ofréceles tu apoyo para realizarlas si es necesario. Respetuosamente, pídeles que tengan cuidado con lo que publican sobre ti y si te etiquetan. Al ser doxeadas, las personas con reconocimiento público o que cubren temas sensibles pueden terminar exponiendo inadvertidamente a sus familiares.

Las recomendaciones anteriores fueron adaptadas del artículo Por qué deberías de doxearte a ti misma (más o menos) [en inglés], publicado en Slate.com en febrero de 2020, y se desarrolló en consulta con personas expertas en ciberseguridad de PEN America y Freedom of the Press Foundation.