ES
ES EN FR DE JA AR
Inicio | Blog | Doxxing Ejecutivo: Cómo Funcionan los Ataques y Cómo Detenerlos

Doxxing Ejecutivo: Cómo Funcionan los Ataques y Cómo Detenerlos

Escrito por: Orlaith Traynor

8 minutos de lectura16 de enero de 2025

Los ataques dirigidos a ejecutivos se duplicaron en 2025, alcanzando su nivel más alto registrado, y la aceleración continúa en 2026. El Security Executive Council rastreó un 313% aumento en el total de incidentes entre 2023 y 2025, describiéndolo como ‘un palo de hockey, avanza y luego se dispara hacia arriba’.’

Esta guía cubre cómo se construyen los ataques de doxxing a ejecutivos, cuáles son las consecuencias y los controles que los equipos de seguridad utilizan para detectar y responder antes de que se produzca el daño.

1. ¿Qué es el doxxing y el swatting?

¿Qué es el doxing? ¿Y en qué se diferencia del swatting? Aquí tienes un resumen rápido de los significados de swat y dox:

  • Significado de doxeado El doxxing (abreviatura de ‘document tracing’) consiste en recopilar y publicar en línea información privada de una persona sin su consentimiento, como su información financiera o números de seguro social.
  • Significado de "swatted": El "swatting" es una forma de "doxing" en la que se realiza una denuncia falsa a las fuerzas del orden, enviando un equipo SWAT a la dirección de domicilio de la víctima y creando una situación potencialmente mortal.

El doxxing puede ser perpetuado por abusadores que quieren intimidar a sus víctimas, acosadores de celebridades famosas, o cibercriminales que quieren dañar la reputación de una empresa, por ejemplo.

¿Cómo funciona el doxxing?

Si bien puede ocurrir de diversas maneras, el doxxing generalmente implica varios pasos que los perpetradores utilizan para recopilar, compartir y explotar datos sensibles.

Paso 1: Recopilación de la información

Hay muchas maneras en que los "doxers" pueden recopilar información sobre sus víctimas, entre ellas:

  • Raspado de redes sociales: Plataformas de redes sociales como Facebook, Instagram y LinkedIn a menudo contienen una gran cantidad de información personal identificable (Información de Identificación Personal), incluyendo fotos, ubicaciones, números de teléfono y detalles sobre relaciones personales.
  • Registros públicos y bases de datosLa información de bases de datos públicas, como registros de votantes, registros de propiedad inmobiliaria y documentos judiciales, a menudo se puede acceder en línea.
  • Violaciones de datos: Cuando la base de datos de una empresa es comprometida, la información personal como direcciones de correo electrónico, contraseñas, números de teléfono e incluso información de tarjetas de crédito puede filtrarse.
  • Ingeniería social: Un doxer podría usar phishing correos electrónicos u otras tácticas de suplantación de identidad para persuadir a alguien a compartir información valiosa sobre sí mismo.
  • Motores de búsqueda de personas Sitios web como Spokeo, Whitepages y Pipl recopilan y venden datos personales, incluyendo direcciones, números de teléfono y detalles de empleo.
  • Servicios de búsqueda inversa: Los doxers pueden rastrear al propietario de una imagen o número de teléfono en particular para recopilar más información.

Paso 2: Publicar la información

Una vez recopilada la información, los doxers pueden compartirla en documentos abiertos, plataformas públicas o en cualquier otro lugar que elijan, incluyendo:

  • Plataformas de redes socialesLos doxxers pueden compartir públicamente los datos personales de la víctima en plataformas como Twitter, Reddit o Facebook, y etiquetar a amigos o familiares de la víctima para aumentar la exposición.
  • Sitios web de doxxingAlgunos sitios web están diseñados específicamente para alojar información de doxxing y a menudo tienen un gran número de seguidores.
  • Foros y comunidades en línea: Plataformas como 4chan y otros foros anónimos son conocidos por ser centros de actividades de doxxing.

2. ¿Es el doxing un delito?

Depende de la jurisdicción, pero en general, el doxxing puede considerarse un delito. Es un acto malicioso que puede dar lugar a acoso en línea, robo de identidad, reputaciones arruinadas y angustia psicológica para sus víctimas y sus familiares.

Las consecuencias de la divulgación de información personal incluyen:

  • Acoso y amenazasLas víctimas a menudo se enfrentan a un acoso en línea implacable, incluyendo mensajes abusivos, llamadas de spam y amenazas a su seguridad.
  • Daño a la reputación: El doxxing puede empañar la reputación personal o profesional de una persona, especialmente si se comparte información falsa o perjudicial.
  • Angustia emocionalLa exposición de detalles privados puede generar ansiedad, miedo y trauma emocional, afectando la salud mental.
  • Peligro físicoEn casos extremos, el doxxing puede conducir al acoso, al swatting o incluso a ataques físicos, poniendo vidas en peligro.
  • Pérdida financieraSi se expone información sensible como datos de cuentas bancarias o números de tarjetas de crédito, las víctimas pueden sufrir robo de identidad o fraude financiero.
  • Consecuencias profesionalesLa exposición pública de opiniones controvertidas, errores pasados o detalles privados puede poner en peligro carreras o relaciones comerciales.

¿Cuáles son algunas leyes de doxxing?

Existen muchas leyes en todo el mundo que podrían aplicarse a los doxxers, entre ellas:

La Ley de Comunicaciones Maliciosas del Reino Unido (1988)

Bajo esta ley, enviar mensajes amenazantes, ofensivos o falsos con la intención de causar angustia o ansiedad es un delito penal. El doxing puede entrar en esta categoría si alguien publica detalles privados en línea con intenciones maliciosas, lo que resulta en daño o angustia para la víctima.

Ley de Delitos Informáticos de Australia (2001)

Ley de Delitos Informáticos de Australia incluye disposiciones relativas al acoso en línea y las brechas de privacidad. Penaliza el uso de redes de telecomunicaciones o de datos para dañar intencionalmente a otros, incluida la publicación de datos personales en línea sin consentimiento.

El Reglamento General de Protección de Datos de la UE (2016)

Si bien no es específicamente una “ley de doxxing”, la RGPD Proporciona una fuerte protección para los datos personales. Exige que las organizaciones manejen los datos personales de forma segura y otorga a las personas el derecho a solicitar la eliminación de sus datos si son expuestos públicamente o mal manejados. El doxxing podría violar las disposiciones del RGPD, y los responsables pueden enfrentar fuertes multas.

La Ley Interestatal de Prevención del Doxxing (2015-16)

El Congreso de los Estados Unidos tiene introdujo una ley que penaliza la publicación intencional de información personal de alguien en línea con la intención de acosar, intimidar, acechar o dañar a esa persona. Esta ley prevé sanciones para los infractores, incluyendo posibles penas de cárcel de hasta cinco años.

3. ¿Cuáles son algunos casos de uso recientes de doxxing?

Veamos algunos ejemplos de la vida real del doxing en acción, con consecuencias devastadoras (y a veces trágicas).

Cuando los ejecutivos de Fortune 500 fueron expuestos masivamente

En mayo de 2025, un sitio llamado luigiwasright.com —y su clon theceodatabase.com— publicó nombres completos, correos electrónicos de negocios, números de móvil, detalles de compensación y perfiles de LinkedIn de cientos de ejecutivos de Fortune 500. Los sitios estuvieron en línea por menos de 24 horas, pero los datos fueron archivados y permanecen indexados. Los equipos de seguridad que detectaron la exposición en cuestión de horas pudieron iniciar solicitudes de eliminación mientras la ventana estaba abierta. Los equipos que se enteraron más tarde todavía están lidiando con las versiones indexadas. En 2026, la brecha entre la primera exposición y la primera explotación se mide en horas, no en días.

Cuando la policía fue expuesta…

En 2011, la coalición en línea llamada Anonymous filtró datos de agentes de policía de toda América, presuntamente en represalia por la violencia policial en una serie de protestas recientes.

Una captura de pantalla de la información filtrada de Anonymous. Fuente.

Cuando J.K. Rowling fue un objetivo…

En 2021, JK Rowling acusó a tres manifestantes de compartir una foto de la dirección de su casa en Edimburgo en Twitter, “posicionándose cuidadosamente” para exhibirla. Su mansión también aparece en Wikipedia.

El tuit de JK Rowling en respuesta a la foto frente a su casa. Fuente.

Cuando un ataque de swat tuvo consecuencias trágicas…

Tras una disputa por un nombre de usuario de Twitter, un swatter luego reportó un asesinato falso en la casa de un hombre de 60 años. Trágicamente, el hombre murió de un infarto cuando la policía rodeó su casa con las armas desenfundadas.

Noticias de última hora, un reciente atentado en los Estados Unidos. Fuente.

Cuando X/Twitter perdió los datos de sus usuarios…

En 2023, piratas informáticos publicaron datos de 200 millones de usuarios de Twitter en un foro de forma gratuita, y los expertos dijeron que “provocaría que muchas cuentas fueran pirateadas, objetivo de phishing y doxxeadas”.”

Una noticia de la BBC sobre el hackeo de Twitter. Fuente.

Cuando un sitio de doxxing sufrió…

En un giro irónico en 2022, el sitio web de doxxing Doxbin[.]com fue el objetivo de un actor de amenazas y sufrió una filtración propia. Los foros ilícitos a menudo son objeto de luchas internas y acciones de represalia entre sí.

4. Cómo evitar ser víctima de doxxing

Las campañas de doxxing siguen un patrón reconocible: la información personal se comparte primero en comunidades pequeñas y cerradas, foros privados, canales cifrados, plataformas marginales, antes de extenderse a los sitios principales. Para cuando aparece en Twitter o Reddit, ya ha ganado impulso y la ventana para una intervención discreta se ha cerrado.

Paso de detección: Supervisa sitios de paste, foros de la dark web y canales de Telegram en busca de los nombres, direcciones de correo electrónico y ubicaciones de sus ejecutivos. Una mención en un foro cerrado hoy en día suele ser una publicación pública en 48-72 horas.

Paso de detección: Realiza una auditoría trimestral de OSINT a tus cinco principales ejecutivos: busca su nombre combinado con su ciudad de residencia, empleador y correo electrónico personal en sitios de corredores de datos, motores de búsqueda de personas y Google. Cualquier resultado que revele una dirección de domicilio o el nombre de un familiar son datos que un atacante puede usar para un paquete de ataque.

Paso de detección: Notifica a los proveedores de correo electrónico personales y a las plataformas sociales de tus ejecutivos para que habiliten las notificaciones de inicio de sesión. Los ataques de doxxing a menudo comienzan con el compromiso de la cuenta, extrayendo la bandeja de entrada en busca de detalles personales antes de que ocurra cualquier exposición pública.’

Bono: Invertir en protección de marca

Protección de marca servicios, como los que ofrece CybelAngel, juegan un papel crucial en la protección de su información personal y la reputación de su empresa.

integral de CybelAngel protección de marca Las soluciones incluyen la protección contra la suplantación de identidad en redes sociales y aplicaciones, protección de dominios y fraude en la dark web.

Protección de marca puede luchar contra:

  • La difusión de información falsa
  • Daño reputacional
  • El riesgo de incidentes de swatting o acoso

Mediante la supervisión continua, CybelAngel puede detectar cuándo tu información personal o de empresa se comparte o vende en sitios web no autorizados, dándote la oportunidad de intervenir antes de que el daño se agrave.

La suplantación de identidad en redes sociales es una amenaza creciente..

5. ¿Puedes comprobar si te han hecho doxxing en algún sitio web?

Sí, pero puede llevar tiempo. Una de las formas más sencillas es buscar tu nombre, dirección, correo electrónico y otros datos personales en páginas populares, sitios web de doxxing y plataformas de redes sociales.

Algunos servicios, como los que ofrece CybelAngel, puede monitorear automáticamente la web y alertarte si tu información aparece en plataformas de filtración de datos conocidas, páginas de la dark web o foros de doxxing.

6. Qué hacer si te han hecho doxxing

Si descubres que has sido doxeado, es importante actuar con rapidez. Estos son los pasos inmediatos que debes seguir:

  1. Eliminar la informaciónPonte en contacto con los sitios web y plataformas donde se ha publicado tu información. Muchos sitios web te permitirán solicitar la eliminación de datos personales. Si la plataforma se niega, toma capturas de pantalla como prueba, escala el problema y considera buscar asistencia legal.
  2. Notificar a las autoridadesSi te sientes amenazado, o si tu información fue compartida con intenciones maliciosas, contacta a las autoridades locales. Si el doxxing escala a amenazas de violencia, ya sea por correo electrónico, llamadas telefónicas o de cualquier otra manera, es importante reportarlo de inmediato.
  3. Involucrar a expertos en ciberseguridadSi eres una empresa o una figura pública, trabaja con profesionales de ciberseguridad para identificar cómo se expuso tu información y mitigar el daño. Esto puede incluir eliminar datos de intermediarios y proveedores de servicios, asegurar tus cuentas de redes sociales y tu red, e implementar protección de marca servicios.
La protección de marca es un componente esencial de cualquier estrategia de seguridad.

Terminando

El doxxing a ejecutivos rara vez se anuncia. Los datos se recopilan discretamente, se comparten primero en canales cerrados y, cuando llegan a las plataformas principales, el ataque ya está en marcha. CybelAngel monitorea continuamente foros de la dark web, sitios de "paste" y canales cerrados, alertando a los equipos de seguridad cuando aparecen datos personales de ejecutivos, antes de que puedan ser utilizados como armas.

Ver lo que ya está expuesto

Sobre el autor

Orlaith Traynor

Orlaith es una estratega de marketing de contenidos B2B con sede en París especializada en ciberseguridad y tecnología, con gran experiencia en SEO, AEO, planificación editorial y gestión de CMS. Tras haber dirigido contenidos en empresas como CybelAngel y PhantomBuster, ayuda a las marcas tecnológicas a crear estrategias de contenidos que impulsan la visibilidad orgánica y la confianza de los compradores en mercados competitivos.

lee todos los artículos