Durante los últimos días, las redes sociales y foros especializados se llenaron de rumores sobre una supuesta filtración masiva en Discord, con afirmaciones de que más de 1,5 terabytes de información confidencial habrían sido sustraídos. Ante la creciente preocupación, la compañía ha confirmado el incidente, aunque asegura que el número de usuarios afectados es mucho menor y que no se trató de un ataque directo a sus servidores.
El origen: un proveedor externo de soporte
Según explicó un portavoz de Discord a The Verge, la brecha de seguridad no afectó a los sistemas internos de la plataforma, sino a un proveedor externo de atención al cliente, concretamente el servicio Zendesk. Este sistema se utiliza para gestionar solicitudes de soporte, y fue allí donde los atacantes habrían accedido a datos de algunos usuarios.
“Queremos abordar las afirmaciones inexactas que están circulando. Este no fue un ataque a Discord, sino a un tercero que utilizamos para gestionar soporte al usuario”, declaró Nu Wexler, portavoz de la compañía. Discord afirma que los responsables del ataque están intentando extorsionar a la empresa con información exagerada o directamente falsa.
Datos potencialmente comprometidos
Entre la información afectada se incluyen nombres, direcciones de correo electrónico, los últimos dígitos de tarjetas de crédito y direcciones IP. También se habrían filtrado algunos documentos de identidad enviados por usuarios durante los procesos de verificación de edad, aunque Discord insiste en que el número de casos es reducido y que el volumen de datos divulgado en redes sociales es “muy inferior” al que se ha mencionado en los rumores.
La compañía asegura que ya se ha puesto en contacto con los usuarios potencialmente afectados, ha roto su relación con el proveedor comprometido y está colaborando con las autoridades competentes para esclarecer el incidente.
Cómo se utilizan estos documentos en Discord
Desde hace un tiempo, la plataforma exige verificaciones de edad en determinadas circunstancias, como el acceso a servidores con contenido restringido o a comunidades con límites de edad. En estos casos, se solicita una fotografía de un documento oficial que permita comprobar la identidad del usuario. Este proceso, según Discord, se lleva a cabo cumpliendo las normativas internacionales de privacidad como el Reglamento General de Protección de Datos (GDPR) en Europa o la Children’s Online Privacy Protection Act (COPPA) en Estados Unidos.
La verificación de edad puede implicar el tratamiento de datos sensibles, motivo por el cual la compañía subraya que reforzará las medidas de control sobre sus proveedores externos y revisará sus protocolos de seguridad.
Medidas adoptadas y recomendaciones
Discord ha indicado que no se filtraron contraseñas, mensajes privados ni datos financieros completos. Aun así, la empresa ha instado a los usuarios a mantener activas las medidas de seguridad recomendadas, como la autenticación en dos pasos, y a desconfiar de posibles intentos de suplantación de identidad o correos fraudulentos que hagan referencia al incidente.
Además, la compañía ha señalado que no cederá ante las demandas de los atacantes y que su prioridad sigue siendo “proteger los datos de la comunidad”.
