Gran filtración de datos de Discord expone información de usuarios e IDs

Incidente de seguridad importante afecta a usuarios de Discord

Discord, la popular plataforma de comunicación con más de 150 millones de usuarios activos mensuales, ha confirmado una importante filtración de datos que afectó a usuarios que contactaron con el servicio de atención al cliente. El incidente de seguridad ocurrió a través de un proveedor externo de servicio al cliente comprometido, exponiendo información personal sensible que incluye documentos de identificación gubernamental.

¿Qué información fue filtrada?

Según la declaración oficial de Discord y expertos en seguridad, la filtración expuso una amplia gama de datos de usuarios, incluyendo nombres completos, nombres de usuario de Discord, direcciones de correo electrónico, información de contacto, direcciones IP e información de facturación limitada. Lo más preocupante es que la filtración también incluyó identificaciones gubernamentales como licencias de conducir y pasaportes que los usuarios habían enviado para verificación de edad.

'Este es uno de los peores escenarios para la verificación de edad con identificación,' dijo el experto en ciberseguridad Mark Johnson. 'Cuando los usuarios deben enviar documentos gubernamentales sensibles, confían en que las empresas protejan esa información. Esta filtración muestra cuán vulnerables pueden ser esos datos.'

Cómo ocurrió la filtración

El incidente de seguridad ocurrió el 20 de septiembre de 2025, cuando una parte no autorizada infiltró uno de los proveedores externos de servicio al cliente de Discord. Los hackers obtuvieron acceso al sistema de tickets de servicio al cliente de Discord a través del proveedor comprometido, aparentemente buscando rescate financiero en un ataque de ransomware.

Discord aclaró en su declaración oficial: 'Una vez que nos dimos cuenta de este ataque, tomamos medidas inmediatas para abordar la situación. Esto incluyó revocar el acceso del proveedor de servicio al cliente a nuestro sistema de tickets, iniciar una investigación interna, contratar a una empresa líder en informática forense para apoyar nuestra investigación y medidas de recuperación, y notificar a las autoridades encargadas de hacer cumplir la ley.'

Impacto en usuarios y respuesta

Discord notificó a los usuarios afectados por correo electrónico desde noreply@discord.com, aunque este enfoque ha recibido críticas porque limita las oportunidades de comunicación para los usuarios. La empresa aseguró a los usuarios que sus mensajes privados, números completos de tarjetas de crédito, contraseñas y direcciones físicas no se vieron comprometidos.

'El uso de una dirección de correo electrónico noreply para notificaciones tan sensibles es problemático,' señaló la abogada de privacidad Sarah Chen. 'Los usuarios que tienen preguntas o necesitan ayuda directa deberían tener canales de comunicación directos cuando su información personal más sensible ha sido expuesta.'

Implicaciones de seguridad y preocupaciones del sector

Este incidente resalta las crecientes preocupaciones sobre las políticas de verificación de edad obligatorias que requieren que los usuarios envíen identificación gubernamental. Con regulaciones como la Ley de Seguridad Online del Reino Unido y medidas similares en algunos estados estadounidenses, las empresas están recopilando cada vez más documentos de identificación sensibles que se convierten en objetivos atractivos para cibercriminales.

El grupo de hackers 'Scattered Lapsus$ Hunters' se atribuyó la responsabilidad del ataque, compartiendo capturas de pantalla de herramientas internas de Discord y amenazando con publicar material adicional robado en su sitio de filtraciones de datos.

Qué deben hacer los usuarios

Los usuarios afectados deben mantenerse alerta ante intentos de phishing y monitorear sus cuentas en busca de actividad sospechosa. Aunque Discord ha tomado medidas para contener la filtración, la exposición de identificaciones gubernamentales crea riesgos significativos de robo de identidad que pueden requerir medidas protectoras adicionales.

La respuesta de Discord incluye revocar el acceso del proveedor comprometido, iniciar una investigación interna con expertos forenses y colaborar con autoridades encargadas de hacer cumplir la ley. La empresa ha enfatizado que sus sistemas centrales no fueron hackeados directamente, pero el incidente sirve como un claro recordatorio de los riesgos de seguridad inherentes a las relaciones con terceros.