Seguridad Personal Anti-Doxxing: Eliminando Datos de Data Brokers en Brasil

Escribes tu nombre en Google y encuentras CPF parcial, direccion antigua, telefono de tu madre y foto de la boda de tu hermana indexada en un sitio de genealogia. Eso no es paranoia, es el estado por defecto de cualquier brasileno con mas de 25 anos online. El equipo Basilisk trata el doxxing como una cadena de suministro: cada broker, cada filtracion del Serasa de 2021, cada perfil de Facebook de 2009 es un nodo de la red. Cortarlos todos da una sensacion falsa de control; cortar los 12 nodos correctos reduce el 90% del riesgo real. Esta guia es el mismo runbook que aplicamos a clientes objetivo de stalkers, ex empleados rencorosos y grupos extremistas.

Antes de cualquier eliminacion, haz OSINT contra ti mismo. Abre una VM desechable, navegador limpio sin login y ejecuta busquedas estructuradas: nombre completo entre comillas, nombre + ciudad, nombre + CPF parcial, telefono con y sin codigo de pais, email principal y tus alias. Cataloga todo en una hoja de calculo con columnas url, broker, dato expuesto, prioridad, estado. Herramientas como Maltego CE, Spiderfoot y holehe automatizan parte de esto; el paso a paso esta en OSINT Etico: Investigando tu Propia Huella Digital con Maltego y Spiderfoot. Sin inventario eliminaras sintoma y dejaras la raiz. Espera encontrar entre 40 y 200 ocurrencias unicas, es normal.

En Brasil los brokers que mas aparecen en primera pagina son Tudo Sobre Todos, Telelistas, ConsultasBrasil, Quem Sou Eu, Encontre uma Pessoa, Cadastros BR y agregadores tipo 4devs y Consulta CPF. Cada uno tiene un flujo de opt-out distinto: Tudo Sobre Todos acepta formulario con foto del documento; Telelistas exige email registrado para el numero; ConsultasBrasil ignora pedidos sin mencion explicita a LGPD articulo 18. Modelo de email estandar: asunto 'Solicitud de exclusion - LGPD Art. 18, V', cuerpo citando el enlace especifico, plazo de 15 dias y aviso de denuncia a ANPD. Manten todo por escrito, jamas llames. En el 60% de los casos la eliminacion sale en 7 a 20 dias.

Las redes sociales son el vector mas subestimado. El Facebook de 2010 todavia tiene tu telefono publico en 'Acerca de'; LinkedIn filtra tu ciudad exacta por el campo de ubicacion; Instagram expone geotags en stories antiguas; Strava publica tu ruta diaria de carrera saliendo de casa. Haz auditoria por plataforma con checklist: privacidad del perfil, visibilidad de amigos, posts antiguos en masa, apps de terceros conectadas, sesiones activas. Para fotos antiguas, ejecuta exiftool y mat2 antes de republicar cualquier cosa; el procedimiento esta en Higiene de Metadatos: Limpiando EXIF, PDF y Office antes de Publicar. Separar identidades publica y privada con cuentas distintas es el siguiente paso, detallado en Compartimentacion Digital: Identidades Separadas sin Filtrar Metadatos.

Los datos gubernamentales y judiciales son caso aparte. Diarios oficiales, procesos del TJSP, JusBrasil, Escavador reindexan decisiones con tu CPF y direccion. JusBrasil acepta pedido de desindexacion via formulario citando LGPD; Escavador exige poder notarial o documento. Para procesos en secreto judicial indebidamente publicos, el camino es peticion directa al tribunal. Notarias de protesto y Junta Comercial filtran direccion residencial cuando eres socio de MEI; cambia la direccion a un coworking o casilla postal antes de abrir empresa. Si eres objetivo visible periodista, activista, ejecutivo el modelo de amenaza cambia totalmente y la guia en Seguridad Personal para Objetivos Visibles: Periodistas, Activistas y Ejecutivos cubre los controles extra.

Telefono y email merecen tratamiento quirurgico. Crea un numero VoIP (Google Voice via familiar en EE.UU., o eSIM internacional) para registros publicos y MEI; manten el numero real solo para banco, MFA critico y familia cercana. Para email, usa alias SimpleLogin o addy.io: un alias por servicio, quemable bajo ataque. Migra MFA por SMS a passkeys o TOTP en token fisico segun Passwords y MFA: Migrando a Passkeys sin Romper tu Recuperacion. Para comunicacion sensible con fuentes o abogados, Signal con numero descartado es el minimo; SimpleX sin identificador alguno es el ideal, ver OPSEC de Comunicacion: Signal, SimpleX y Session Comparados Tecnicamente. Define antes tu modelo de amenaza personal siguiendo OPSEC para Investigadores de Seguridad: Modelo de Amenaza Personal, porque protocolo sin modelo es teatro.

Finalmente, automatiza el mantenimiento. Los brokers republican datos cada 3 a 6 meses comprando bases nuevas. Crea un cron mensual que ejecute busquedas Google con site:tudosobretodos.com.br TU_NOMBRE y similares, alertandote por email cuando algo reaparece. Manten un dossier versionado en Git privado con capturas, emails enviados, plazos y protocolos ANPD. En caso de doxxing activo, congela credito en Serasa y Boa Vista, registra denuncia electronica, notifica plataformas con pedido de eliminacion emergencial y contacta abogado. Conclusion practica: bloquea el proximo miercoles de 14h a 18h, haz el OSINT contra ti mismo, dispara los primeros 12 opt-outs prioritarios y agenda revision para dentro de 60 dias. La privacidad no es estado, es proceso continuo.