Posible filtración de datos de identificación de 70,000 usuarios de Discord

 (theverge.com)
1 puntos por GN⁺ 2025-10-09 | 1 comentarios | Compartir por WhatsApp
  • Discord reveló que, debido a un incidente de seguridad en un proveedor externo de atención al cliente, podrían haberse expuesto fotos de identificaciones oficiales emitidas por el gobierno de aproximadamente 70,000 usuarios
  • Este incidente ocurrió en un proveedor de servicios externo, no en los sistemas propios de Discord
  • Los atacantes intentaron extorsionar económicamente a Discord difundiendo cifras exageradas por encima del alcance real del incidente
  • Todos los usuarios afectados ya fueron notificados directamente de forma individual, y Discord está colaborando estrechamente con las autoridades y fuerzas del orden
  • Discord terminó su contrato con el proveedor afectado y aplicó de inmediato medidas de refuerzo de seguridad

Resumen del incidente de seguridad

  • Discord compartió una postura oficial sobre un reciente incidente de seguridad ocurrido en un proveedor externo de servicio al cliente
  • Se generó confusión porque los responsables de la actividad ilegal están difundiendo información falsa en línea y afirmaciones exageradas, incluyendo una inflación del número de víctimas

La naturaleza del incidente

  • El objetivo del ataque no fueron los sistemas propios de Discord, sino los sistemas de un proveedor externo utilizados para soporte de servicio al cliente
  • Debido a la exposición de datos del proveedor externo, existe la posibilidad de que se hayan expuesto fotos de identificaciones oficiales emitidas por el gobierno de hasta unos 70,000 usuarios
  • Esta información de identificación se usaba principalmente para verificación de edad y gestión de apelaciones relacionadas con restricciones por edad

Respuesta de Discord

  • Ya se completó la notificación individual a todos los usuarios afectados
  • Discord sigue colaborando con las autoridades, organismos de protección de datos y expertos externos en seguridad
  • Rescindió de inmediato el contrato con el proveedor externo donde ocurrió el incidente
  • Reforzó las medidas de seguridad del sistema correspondiente

Postura adicional de Discord

  • Enfatizó que no tiene ninguna intención de negociar ni ofrecer compensación frente a las afirmaciones falsas y los actos ilegales de la parte que realiza las amenazas
  • Señaló que asume con la mayor seriedad su responsabilidad en la protección de la privacidad y comprende la preocupación de los usuarios

Lecturas relacionadas

1 comentarios

 
GN⁺ 2025-10-09
Opiniones de Hacker News

  • Siento que ya me convertí en una persona cínica y escéptica, pero esto ya ni siquiera me sorprende. Si le das tus datos personales a alguien, asumo que ahora todo el mundo va a terminar teniendo acceso a ellos. Aunque un servicio diga en sus TOS que “no vende la información a terceros”, al final en algún lado habrá una brecha de seguridad mal cubierta y se filtrará. No creo que sea culpa de una sola empresa, sino un problema sistémico donde el gobierno no establece ni hace cumplir medidas de seguridad fuertes. Ya dejé de esperar que mis datos personales vayan a estar protegidos, y cualquier información realmente importante y que quiera mantener privada ni siquiera la digitalizo desde el principio, y jamás permito que se copie

    • La razón por la que se reportan estos hechos no es para sorprender a la gente, sino porque son temas importantes. Ahora más gobiernos están aprobando leyes de verificación de edad, y precisamente este tipo de datos está terminando en manos de más empresas privadas peligrosas. Esta filtración demuestra que esas leyes están mal, y difundir lo ocurrido puede ayudar a cambiar la percepción pública

    • La causa del problema es el gobierno. El gobierno obligó a que se les pidiera una identificación a los clientes sí o sí, y por eso pasa esto. No hay ninguna medida de seguridad real aparte de no recolectar estos datos. El gobierno ni siquiera puede proponer un esquema de seguridad adecuado desde el inicio. Ahora es muy probable que estos datos nunca se borren para siempre, sin importar si Discord paga o no

    • La razón por la que esto no sorprende es que no ha habido castigos grandes. Como la gente se volvió insensible a las filtraciones masivas, casi no ha habido una respuesta adecuada. Y también influye que sea difícil aprobar legislación que realmente vaya en contra de los intereses de las grandes empresas

    • Lo verdaderamente absurdo es que siempre toda la responsabilidad recae en que la persona esté ansiosa y se cuide sola, mientras que los sistemas que manejan los datos prácticamente no sufren consecuencias ni castigos

    • La tecnología de Zero Knowledge (pruebas de conocimiento cero) para verificación de identidad debería volverse cotidiana lo antes posible. Ya existe tecnología para verificar identidad o edad sin revelar información personal, pero da pena que todavía falte mucho para que se vuelva algo masivo y común

  • El gran problema que más se está pasando por alto es la falta de transparencia de los proveedores terceros que manejan identificaciones sensibles. Cada vez que hay una filtración, las empresas no aclaran con precisión qué proveedor fue el que realmente manipuló los datos. Por esa opacidad, los usuarios no pueden saber dónde quedó su información, y en la práctica ni siquiera tienen oportunidad de vigilar a esos proveedores o exigir que sean vigilados. Mientras esa capa siga sin regulación, las filtraciones van a continuar y la responsabilidad seguirá sin quedar clara

    • Esa capa de proveedores terceros es la “materia oscura” del ecosistema de filtraciones de datos. Para el usuario no tiene forma concreta, las empresas casi no la mencionan, y cuando algo sale mal tampoco asume realmente la responsabilidad

  • Discord usa Zendesk(referencia). Pero en esta postura oficial no dijeron cuál fue el tercero compromised (comprometido), y Zendesk dice que no fue su servicio. Entonces queda la duda de qué otro proveedor tercero estaba usando Discord y a quién demonios están tratando de protegerle la reputación

  • No entiendo por qué están almacenando la identificación a la fuerza. Con completar la verificación de edad debería bastar, así que ¿por qué la siguen guardando? A estas empresas deberían obligarlas a divulgar correctamente los detalles de los incidentes, como hacen Google o Cloudflare

  • Las empresas normalmente prometen que usan la identificación solo para verificar y luego la borran de inmediato. Entonces, ¿cómo es que pueden filtrarse tantas identificaciones? Me pregunto si de verdad están verificando millones cada mes

    • En el mensaje de orientación de Discord (en Australia) aparece: “La información que proporciones solo se usará para confirmar tu grupo de edad y se eliminará inmediatamente después de la verificación”(ver captura). Yo todavía no la he enviado, pero estoy pensando cómo podría engañar el proceso de reconocimiento facial. No quiero darle una identificación gubernamental a una app de chat, sin importar la escala. Por cierto, creo que con distinguir entre “13 a 18 años” y “18 años o más” sería suficiente. Si lo segmentan más allá de eso, parece que solo sirve para marketing y análisis de datos

    • En una postura oficial anterior decían que “una persona no autorizada vio una pequeña cantidad de imágenes de identificaciones gubernamentales de usuarios que solicitaron una ‘reconsideración de edad’”(fuente). En ese caso, por el proceso de apelación tal vez sí necesiten conservar la identificación durante cierto tiempo. Como esas apelaciones tardan bastante en resolverse, puede que se haya guardado por más tiempo y así se haya filtrado

    • O la promesa de borrado inmediato era mentira, o el tercero subcontratado estaba reteniendo los datos por su cuenta

    • Según la normativa, los proveedores de verificación de identidad pueden almacenar información de identificaciones hasta por 3 años. Las empresas también la usan para entrenar machine learning con fines de seguridad y detección de fraude

    • Me da curiosidad si en realidad los TOS dicen que la borran, y qué tan específicamente detallan en cuánto tiempo la eliminan. Términos como “inmediatamente” o “pronto” pueden interpretarse de muchas formas si no están definidos con claridad en el contrato, y en algunos casos el gobierno incluso puede exigir legalmente la retención de datos

  • Creo que más gobiernos deberían ofrecer sistemas como la identificación electrónica alemana (eID), con la que solo puedes demostrar tu edad. Hace mucha falta, pero da pena que en la práctica sea difícil de usar y casi nadie la use

    • Bélgica tiene un servicio llamado “itsme”. Existe desde hace mucho tiempo, empezó muy enfocado en el gobierno, pero ahora muchos bancos también lo han adoptado

    • El eID alemán no es simplemente incómodo: tampoco es fácil ni barato implementarlo e integrarlo en un servicio. Casi parece hecho con la intención de empujar a la gente a usar sistemas comerciales (soluciones de pago)(más detalles)

  • Subir una identificación gubernamental a Discord es una estupidez

    • En Reino Unido, para cumplir con la Online Safety Act, tienes que demostrar tu identidad ante Discord para poder acceder a canales de libertad de expresión para mayores de 13 años

    • Es común que baneen a gente por parecer menor de 13 años. Por ejemplo, alguien pregunta cuántas velas hay en una foto y tú respondes, pero luego si editan el chat a “¿cuántos años tienes?”, tu respuesta de pronto parece una edad. Discord es como lo eran antes MSN Messenger o Yahoo IM, y toda tu red digital y el historial de servidores dependen de esa sola cuenta. Si la pierdes, pierdes amigos y comunidades, así que después de una semana de verificar tu identidad deberían borrar por completo la información de la identificación, o permitir quitarla totalmente desde el panel de la cuenta

    • Echarle la culpa al usuario no está bien. La empresa definió esta política por leyes del gobierno y obliga a verificar que eres mayor de 18 años. Yo también intenté verificarme con una IA de reconocimiento facial, pero falló tanto que al final hice lo recomendado y contacté a soporte, y subí la identificación al ver la política oficial de Discord de que “la identificación se elimina justo después de la verificación”(política) (política de borrado). Pero Discord no pudo borrarla como prometió y terminó filtrándose. La responsabilidad total es del proveedor tercero, de Discord por manejar los datos con torpeza y del gobierno por imponer estas políticas. Los que sabemos de tecnología podemos encontrar fácilmente opciones self-hosted o rutas alternas, pero para el público general eso es imposible. Ojalá este caso sirva para resistir este tipo de políticas de verificación forzada en el futuro. Aunque el gobierno británico probablemente va a gritar “protejan a los niños” y echarle toda la culpa a Discord

    • Ya tengo mi licencia de conducir, pasaporte y otras identificaciones registradas en un montón de exchanges cripto. Es una realidad inevitable, y en el KYC real incluso es obligatorio el proceso de verificación de identidad por video

  • La explicación de “fue culpa de un tercero” ya se ha vuelto un patrón demasiado común. Si vas a recopilar información tan sensible como identificaciones gubernamentales, la seguridad asociada debe estar al más alto nivel, sin importar en manos de quién estén los datos

  • Pregunto por simple curiosidad: ¿legalmente se exige guardar estos datos incluso después de completar la verificación de edad?

    • Ese es el punto más raro de este caso. No entiendo por qué querrían cargar con esa responsabilidad. Si de verdad tienen que guardarlos, entonces deberían asumir que una filtración sería gravísima y ponerlos en un servicio separado, estrictamente aislado y con acceso muy limitado

    • Trabajo en otro sector, pero cuando se necesita verificación de identidad, extraemos solo los metadatos en el momento en que se muestra la información y luego desechamos la imagen de inmediato. Sería impensable, por regla general, almacenar esas imágenes a largo plazo sin aprobación del equipo legal, y menos aún para verificaciones simples como edad o nombre

    • Tal vez ni siquiera está comprobado que realmente los almacenaran. Puede ser una suposición sin base. También es posible que en esta filtración los datos se hayan extraído en tiempo real durante el procesamiento, y que no hayan comprometido un repositorio estático de almacenamiento permanente

    • Mi suposición es que quizá guardaron algunas imágenes originales de identificación para auditorías de cuentas duplicadas. Si un modelo de machine learning sospecha que dos cuentas pertenecen a la misma persona, podrían usar la imagen original para compararla y confirmar duplicados

    • En la UE (Unión Europea) es más bien al revés. Por el GDPR (Reglamento General de Protección de Datos), solo se debe usar la mínima cantidad de datos y está prohibido usarlos fuera de su propósito; por ejemplo, los datos enviados para verificar edad deben eliminarse obligatoriamente después de la verificación

  • ZenDesk presume que “Discord ofrece soporte fluido gracias a su inversión en autoservicio impulsado por IA dentro de la plataforma Zendesk CX”