Instituto Nacional de ciberseguridad. Sección Incibe
Oficina de Seguridad del Internauta. Sección Ciudadanía

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

No, INCIBE no ha sido víctima de un ciberataque. ¿Qué es el doxing y cómo INCIBE se ha visto afectado por esta práctica?

Fecha de publicación 25/02/2026
Doxing_INCIBE

INCIBE ha tenido conocimiento de publicaciones en plataformas de doxing que exponen datos personales atribuidos a antiguos y actuales empleados. 

Un aspecto clave para interpretar correctamente estos casos es que la aparición de datos de una persona vinculada a una entidad concreta no demuestra, por sí sola, que haya existido una brecha en los sistemas de esa entidad. En la práctica, estas publicaciones suelen basarse en agregación de datos procedentes de antiguas publicaciones de datos personales (nombres de usuario, contraseñas, etc.) en Internet que periódicamente circulan, pero que no corresponden necesariamente a datos reales.

Por este motivo, es esencial explicar cómo se construyen estas publicaciones, de dónde salen los datos y qué riesgos generan, para orientar medidas preventivas y de respuesta.

Qué es el doxing y cómo operan las plataformas de publicación

El doxing es la práctica de revelar información personal de una persona en Internet sin su consentimiento (por ejemplo, teléfonos, direcciones, documentos identificativos o detalles familiares), normalmente con fines de intimidación, acoso o extorsión. En cualquiera de los casos, son fuentes no autorizadas que no ofrecen fiabilidad.

En el ecosistema de estas publicaciones existen plataformas o repositorios donde se suben fichas o dosieres con datos personales. Estas plataformas suelen presentar varios rasgos operativos relevantes para comprender su impacto:

  • En primer lugar, favorecen la viralidad: una vez que un dato se publica, puede ser copiado, reempaquetado y redistribuido en otros espacios. Esto encaja con una advertencia básica de privacidad digital: cuando se divulga información en Internet, se pierde el control y puede permanecer accesible, aunque se elimine el original.
  • En segundo lugar, se integran con canales de difusión externos. Los enlaces y actualizaciones se mueven con rapidez por redes sociales, blogs, foros y servicios de mensajería instantánea, lo que multiplica la exposición y facilita resubidas.
  • En tercer lugar, la información publicada puede estar incompleta, mezclada o desactualizada. Es habitual que se combinen datos reales de filtraciones antiguas con elementos incorrectos o inferencias. Esto no reduce el riesgo: incluso datos parciales pueden habilitar campañas de fraude y suplantación.

¿Cómo extraen los datos?

La mayoría de publicaciones de doxing de este tipo no se generan “desde cero”. Suelen surgir de la industrialización del robo y reventa de datos: se filtra un conjunto de información en una brecha de cualquier entidad, se redistribuye, se cruza con otras fuentes y, finalmente, se presenta como una ficha orientada al impacto.

En términos prácticos, hay tres vías especialmente frecuentes:

  • La reutilización de datos procedentes de filtraciones anteriores (brechas en servicios ajenos a la organización, o fugas de información publicadas en repositorios clandestinos).
  • El abuso de  usuario/contraseña (credenciales) robados, un patrón que se denomina credential stuffing: el atacante prueba automáticamente credenciales filtradas en múltiples servicios, aprovechando que muchas personas reutilizan contraseñas. Cuando esta técnica tiene éxito, el atacante puede acceder a cuentas y extraer más datos personales (por ejemplo, información de perfil, históricos de pedidos, teléfonos o direcciones), que luego se agregan en nuevas publicaciones.
  • Es el uso de malware infostealer (ladrón de información). Herramientas capaces de robar datos desde navegadores y aplicaciones, incluyendo credenciales y otra información sensible, que después se comercializa en mercados criminales.

En resumen, en muchos casos, extraer datos significa agregar y correlacionar información ya comprometida (en brechas ajenas), y complementarla con accesos logrados por reutilización de credenciales o por robo en el dispositivo de la víctima.

Medidas recomendadas

Ante la publicación de datos personales en plataformas de doxing, es importante actuar con rapidez y criterio.

En primer lugar, si entre la información expuesta figura alguna contraseña (o existe la posibilidad de que haya sido reutilizada en otros servicios), se recomienda cambiarla inmediatamente en todos los sitios donde pudiera estar en uso. Es fundamental utilizar contraseñas únicas y robustas, así como activar la autenticación en dos factores (2FA/MFA) siempre que esté disponible.

Asimismo, es conveniente extremar la precaución ante posibles intentos de suplantación. La disponibilidad pública de datos personales puede facilitar campañas de phishing, llamadas fraudulentas (vishing) o mensajes SMS engañosos (smishing) personalizados.

Por último, se recomienda a cualquier persona que detecte la difusión no autorizada de sus datos personales recopilar evidencias, solicitar la retirada del contenido en la plataforma correspondiente y, si procede, poner los hechos en conocimiento de las Fuerzas y Cuerpos de Seguridad del Estado.

Es muy importante que los profesionales de los medios de comunicación y redes sociales eviten difundir publicaciones de este tipo para no alimentar el propósito malicioso de sus creadores.

Etiquetas