Butlletins de l'Oficina de Seguretat

Servei de Salut de les Illes Balears (Ibsalut)

  2. Inici
  3. Professionals
  4. Salut digital: eines per als professionals
  5. Seguretat de la informació
  6. Butlletins de l'Oficina de Seguretat
  7. Butlletí núm. 142: Robatori de dades personals i dòxing
Butlletins de l'Oficina de Seguretat

Butlletí núm. 142: Robatori de dades personals i dòxing

L’exposició no autoritzada de dades personals és un dels riscs creixents en l’àmbit digital. En els últims anys, els incidents vinculats al dòxing —la publicació d’informació personal sense consentiment— han augmentat i han afectat tant ciutadans com empleats públics, directius i fins i tot organitzacions especialitzades en ciberseguretat.

 

El sector sanitari, per la seva naturalesa i la sensibilitat de les dades que gestiona, és especialment vulnerable a aquest tipus d’amenaces.

 

Què és el dòxing?

El dòxing consisteix a recopilar, combinar i publicar informació personal d’algú sense el seu consentiment, normalment amb la intenció d’intimidar, extorsionar, assetjar o danyar la reputació de la víctima.

 

Les dades exposades solen incloure:

  •  Noms i llinatges.
  • Telèfons personals.
  • Adreces físiques.
  • Correus electrònics.
  • Documents identificadors.
  • Informació laboral o familiar.

 

El més important és que la publicació d’aquestes dades no implica necessàriament que hagi hagut una bretxa en els sistemes de l’organització afectada. Moltes vegades, els atacants simplement agreguen informació antiga, incompleta o errònia.

 

Com es recopilen les dades?

 

Els actors maliciosos empren diverses tècniques per obtenir informació personal. Entre les més destacades hi ha les següents:

  1. OSINT (Open Source Intelligence) 

L’OSINT consisteix en la recopilació sistemàtica de dades disponibles públicament a Internet, com ara:

 

  • xarxes socials,
  • registres públics,
  • notícies i notes de premsa,
  • comentaris en fòrums,
  • perfils professionals,
  • fonts històriques indexades,
  • antigues filtracions accessibles en repositoris públics.

 

Per mitjà de l’OSINT, un atacant pot construir un perfil complet, tot i que cap base de dades hagi estat compromesa.

 

  1. Filtracions antigues o combinades 

Els repositoris de dòxing solen mesclar dades reals amb:

 

  • informació desactualitzada,
  • inferències,
  • dades incorrectes,
  • fragments obtinguts de bretxes de fa anys.

 

Això crea un perfil aparentment recent o robat, malgrat no ho sigui.

 

Exemples reals 

INCIBE 2026

 

Al febrer del 2026 es van difondre en plataformes de dòxing dades personals d’empleats, extreballadors i directius de l’INCIBE, incloent telèfons, adreces i correus electrònics.

 

L’organisme va negar haver patit un ciberatac i va explicar que les dades procedien de filtracions antigues recombinades, una cosa habitual en aquest tipus de publicacions.

 

L’exposició va afectar tant personal tècnic com càrrecs directius, la qual cosa va generar un important impacte en la reputació.

 

Aquest incident demostra com els atacants poden crear perfils aparentment robats fent servir dades antigues, informació pública i tècniques d’OSINT, sense necessitat de vulnerar els sistemes de l’organització.

 

Podeu consultar més informació aquí.

 

Govern d’Espanya (2025) 

Al juny del 2025, un hacker conegut com a Akkaspace va filtrar a Doxbin les dades personals de ministres i altres alts càrrecs, incloent-hi domicilis, telèfons i números d’identificació, cosa que va generar una àmplia repercussió mediàtica. La informació es va difondre ràpidament mitjançant grups d’ultradreta a Telegram, i el mateix atacant va assegurar que planejava publicar més filtracions. L’Audiència Nacional va obrir una investigació a causa del risc que aquesta exposició suposava per a la seguretat de les persones afectades.

 

Podeu consultar més informació aquí.

 

Per què és un risc per al nostre entorn sanitari? 

El sector sanitari gestiona dades especialment sensibles, de manera que l’exposició d’informació personal pot generar molts riscs:

 

  1. Suplantació de professionals

 

Actors maliciosos poden fer servir dades filtrades per fer-se passar per:

 

  • metges,
  • responsables d’àrea,
  • directius,
  • personal administratiu.

 

Per mitjà de telefonades, correus o missatgeria poden sol·licitar:

 

  • informació clínica,
  • accés a sistemes,
  • validació de processos interns.

 

  1. Enginyeria social avançada

 

L’ús de dades reals fa que els atacs de pesca (phishing), pesca per veu (vishing) o pesca per SMS (smishing) resultin més convincents.

 

  1. Amenaces i pressió sobre responsables

 

Directius o personal visible poden ser el blanc de:

 

  • campanyes de desprestigi,
  • extorsió,
  • publicació d’informació privada manipulada.

 

  1. Impacte operatiu i en la reputació

 

Un incident de dòxing pot:

 

  • afectar la confiança en la comunicació interna,
  • dificultar la gestió d’incidents reals,
  • generar renou mediàtic,
  • provocar estrès i desgast en el personal.

  

Senyals d’alerta davant campanyes de dòxing

Un indici clar de dòxing és rebre missatges que incorporen dades personals que no haurien d’estar en mans de tercers, la qual cosa suggereix que algú ha recopilat informació sense autorització. També és sospitós quan s’intenta suplantar la identitat de companys o responsables, emprant detalls personals per semblar convincent.

 

Un altre senyal és l’aparició de comunicacions amb un to d’urgència inusual, apel·lant a la jerarquia perquè actuem sense verificar la informació. En xarxes socials, poden sorgir perfils falsos que imiten el personal per generar confiança o difondre informació manipulada. I, finalment, és important desconfiar de consultes externes que esmentin dades privades que mai no s’han fet públiques.

 

Bones pràctiques per prevenir i actuar 

La millor manera de reduir el risc és mantenir una exposició digital mínima: revisar quina informació mostram en xarxes, esborrar perfils antics i demanar la retirada de dades que ja no haurien d’estar en línia. També és clau protegir les nostres credencials, evitant compartir contrasenyes, emprant autenticació multifactor i canviant-les si sospitam que s’han filtrat.

 

Davant de qualsevol comunicació inesperada o poc habitual, convé verificar sempre la identitat del remitent, especialment quan el missatge inclou urgència o dades personals per semblar legítim. De la mateixa manera, és important no obrir enllaços ni arxius adjunts la procedència dels quals no sigui totalment fiable.

 

I si detectam quelcom sospitós o creiem que s’ha produït una exposició d’informació, ho hem de reportar immediatament als canals interns:

  • Aquesta adreça de correu-e està protegida dels robots de spam.Necessites Javascript habilitat per veure-la.
  • Aquesta adreça de correu-e està protegida dels robots de spam.Necessites Javascript habilitat per veure-la.

  

Conclusió 

El robatori de dades personals i el dòxing són amenaces reals que creixen i afecten fins i tot organismes especialitzats en ciberseguretat, com demostra el cas recent d’INCIBE.

 

Amb formació, atenció als detall i bones pràctiques podem reduir-ne l’impacte i enfortir el nostre entorn digital.