La reciente detención en Granada de un menor investigado por la difusión de datos personales de miembros de organismos e instituciones sensibles del Estado ha vuelto a poner sobre la mesa una amenaza cada vez más presente en el ámbito de la ciberseguridad: el doxing.
Aunque tradicionalmente se ha asociado a la publicación de información personal en internet con fines intimidatorios o de represalia, los expertos advierten de que el doxing ha evolucionado hasta convertirse en una herramienta utilizada para facilitar campañas de ingeniería social, ataques dirigidos, suplantaciones de identidad e intentos de acceso a sistemas corporativos y gubernamentales.
Según informó el Ministerio del Interior, la información difundida afectaba a miembros de organismos como INCIBE, el Consejo de Seguridad Nacional, la Policía Nacional, la Guardia Civil, la Fiscalía General del Estado, el Ministerio de Hacienda o la Agencia Tributaria, generando riesgos tanto para la seguridad de las personas afectadas como para la propia Seguridad Nacional.
"Estos casos demuestran que una filtración de datos personales no termina cuando se publica la información. A partir de ese momento puede empezar una cadena de riesgos que puede conllevar suplantación, extorsión, ingeniería social, ataques dirigidos o intentos de acceso a servicios internos", explica Josep Albors, director de investigación y concienciación de Ontinet
El problema no siempre empieza con una brecha
Uno de los aspectos que más preocupa a los especialistas es que este tipo de incidentes no suele originarse necesariamente en una intrusión reciente contra la organización afectada. En muchos casos, los atacantes recopilan información procedente de filtraciones históricas, credenciales reutilizadas, bases de datos expuestas o malware especializado en el robo de información, como los denominados infostealers. El resultado es la creación de perfiles cada vez más detallados sobre empleados, proveedores o responsables de áreas críticas.
"Los atacantes ya no necesitan comprometer directamente una institución para obtener información valiosa. En muchos casos les basta con recopilar datos dispersos procedentes de filtraciones anteriores, redes sociales, credenciales robadas o información pública para elaborar perfiles muy precisos sobre empleados, proveedores o responsables de áreas críticas", señala Albors.
La publicación de información personal suele ser solo el primer paso de una cadena de riesgos mucho más amplia. Una vez expuestos, estos datos pueden emplearse para lanzar campañas de phishing altamente personalizadas, realizar intentos de acceso mediante la reutilización de credenciales, ejecutar fraudes de ingeniería social o incluso ejercer presión sobre personas concretas con responsabilidades sensibles.
Los expertos advierten además de que el creciente uso de herramientas de inteligencia artificial está facilitando la elaboración de mensajes cada vez más creíbles y personalizados, aumentando la efectividad de este tipo de ataques.
Proteger identidades también es ciberresiliencia
Desde Ontinet consideran que este tipo de incidentes obliga a ampliar la visión tradicional de la ciberresiliencia. Además de proteger redes, aplicaciones e infraestructuras, las organizaciones deben adoptar medidas orientadas a reducir la exposición de información personal y detectar de forma temprana posibles filtraciones que afecten a empleados o colaboradores con acceso a sistemas críticos.
Entre las recomendaciones destacan:
Implantar autenticación multifactor en todos los accesos sensibles.
Evitar la reutilización de contraseñas entre servicios.
Monitorizar posibles filtraciones de credenciales y datos corporativos.
Limitar la exposición pública de información personal y profesional.
Formar a empleados frente a técnicas de phishing, vishing e ingeniería social.
Establecer protocolos de respuesta específicos para incidentes relacionados con la exposición de datos personales.
"La ciberseguridad ya no consiste únicamente en proteger sistemas. También implica proteger a las personas que los utilizan. En muchos casos, la diferencia entre un intento de ataque frustrado y un incidente grave está en la información que los atacantes han conseguido recopilar previamente sobre sus objetivos", concluye Josep Albors.
