Discord pone fin a su contrato con el software de verificación de identidad ‘Persona’

 (fortune.com)
2 puntos por GN⁺ 2026-02-25 | 1 comentarios | Compartir por WhatsApp
  • Se descubrió código de Persona en un sistema de vigilancia del gobierno de EE. UU., por lo que Discord suspendió la colaboración
  • Persona se usa en X, OpenAI, Linkedin, Figma y Reddit, entre otros, para verificación de identidad y de edad
  • El código hallado incluía funciones de reconocimiento facial, vigilancia de figuras políticas y verificación relacionada con terrorismo
  • Además de verificar la edad de los usuarios, Persona realizaba 269 tipos de procedimientos de verificación y asignaba puntajes de riesgo y similitud
  • Discord explicó que esta colaboración fue una prueba de menos de 1 mes y que la información enviada se guarda por un máximo de 7 días antes de eliminarse

Fin de la colaboración entre Discord y Persona

  • Discord terminó su relación con Persona Identities después de que se encontrara código de la empresa en internet público y en servidores del gobierno de EE. UU.
    • Investigadores reportaron que alrededor de 2,500 archivos podían ser accedidos desde endpoints aprobados por el gobierno estadounidense
    • Ese código incluía funciones de comparación con listas de vigilancia, verificación de personas políticamente expuestas y revisión de medios relacionados con terrorismo y espionaje
  • Además de la verificación de edad, Persona realizaba 269 procedimientos individuales de verificación y revisaba 14 categorías de elementos de “medios negativos”
    • La estructura asignaba a la información de cada usuario puntajes de riesgo y similitud
  • Los investigadores señalaron que “no fue necesario escribir ni una sola línea de código de exploit” y mencionaron que se encontraron 53 MB de datos en un endpoint gubernamental FedRAMP
    • Entre esos datos había etiquetas con nombres clave de programas activos de inteligencia

Respuesta de Discord y política de privacidad

  • Discord confirmó que su colaboración con Persona fue una asociación de prueba de menos de 1 mes
    • Solo participaron algunos usuarios, y la información enviada se almacena por hasta 7 días antes de eliminarse
  • Discord ya había recibido críticas anteriormente por problemas de seguridad en servicios de terceros
    • En 2025, el hackeo del servicio 5CA expuso identificaciones gubernamentales de más de 70 mil usuarios
    • La información filtrada incluía direcciones IP y parte de datos de pagos y corporativos
  • Recientemente, Discord aplicó la configuración ‘teen-by-default’ a cuentas de todo el mundo, pero tras la reacción de los usuarios modificó la política para que la verificación de edad fuera opcional
    • La mayoría de los usuarios puede verificar su edad con una selfie en video en lugar de una identificación gubernamental
    • Discord especificó que “el escaneo facial solo se procesa en el dispositivo y no se envía al servidor”

Postura y explicación de Persona

  • El CEO de Persona, Rick Song, sostuvo que los archivos encontrados no eran una vulnerabilidad de seguridad sino información pública del frontend
    • Explicó que “solo se publicaron archivos source map sin comprimir”, y que ese código ya existe en los dispositivos de todos los usuarios
    • Aun así, reconoció que “no es deseable que archivos sin comprimir estén en línea”
  • Song afirmó que Persona no tiene relación con Palantir, ICE ni con agencias gubernamentales, y señaló que actualmente está en proceso de certificación FedRAMP
    • El objetivo de esa certificación es ofrecer servicios de seguridad para verificación de identidad de empleados
  • Los 269 elementos de verificación de Persona son opciones seleccionables por el cliente, y no se usan todos en cada caso
    • Explicó que la verificación de edad en redes sociales y las investigaciones de antecedentes en empresas tienen propósitos distintos
  • Song enfatizó que Persona ofrece soluciones de KYC (conoce a tu cliente) y AML (prevención de lavado de dinero), pero que no vincula datos biométricos faciales con registros financieros ni bases de datos de fuerzas del orden

Controversia y ataques personales en línea contra el CEO

  • Cuando la investigadora ‘Celeste’ insinuó vínculos entre Persona, Palantir e ICE, Song reveló que recibió amenazas y ataques
    • Rebatió esas acusaciones con una captura de un correo electrónico: “nuestra empresa no tiene ninguna relación con ICE ni con Palantir”
    • También mencionó que parte de las críticas están dirigidas a empleados junior, y dijo que la responsabilidad recae sobre él
  • También hubo ataques personales porque su perfil de LinkedIn no tiene foto
    • Ante eso, Song respondió que “verificar la identidad con nombre real no significa mostrar el rostro” y defendió la importancia de proteger la privacidad

Sigue la controversia sobre la confianza en la seguridad de Discord

  • El fin del contrato con Persona reavivó la desconfianza hacia el sistema de seguridad y protección de datos personales de Discord
    • Tras problemas consecutivos con servicios de terceros, la transparencia en la gestión de datos de los usuarios volvió a convertirse en un tema central
  • Discord reiteró que “solo recopila la edad del usuario, y la identidad no se vincula con la cuenta
    • Sin embargo, como las explicaciones de preguntas frecuentes anteriores diferían sobre el período de retención, persiste la controversia sobre la consistencia de la política

Lecturas relacionadas

1 comentarios

 
GN⁺ 2026-02-25
Opiniones en Hacker News

  • Hay un análisis basado en el código frontend de Persona aquí
    Recomiendo leer la fuente original antes de sacar conclusiones. Los reportes de segunda mano suelen ser de mala calidad

    • La respuesta oficial del equipo de seguridad de Persona está aquí, y la discusión de Rick en Twitter también puede verse aquí
    • Este artículo se envió hace 6 días, pero fue marcado. Vale la pena revisarlo otra vez
    • Yo leí el artículo, y como llevo mucho tiempo en la industria fintech, no comparto la mayoría de las preocupaciones
      Aun así, sí me inquieta un poco la parte donde se especifican distintos periodos de retención de datos. Lo demás es algo común en la industria de KYC/AML
    • La publicación de seguimiento está aquí
    • El artículo estuvo bien, pero el sitio era tan caótico que me dolieron los ojos y los oídos. Ojalá mejoren un poco la legibilidad

  • Yo sigo sin estar convencido
    Cierta persona compró una influencia enorme mediante lobistas, y como resultado los ultrarricos están empeorando la sociedad en general
    Tampoco creo que la respuesta de Discord esta vez sea sincera. Solo están fingiendo que corrigen el problema porque se sorprendieron por la reacción de los usuarios; desde el principio el objetivo era la vigilancia

    • Evitar a propósito decir el nombre de una persona se ve más infantil y además desvía el punto
    • Es tan exagerado que provoca respuestas como: “¿Qué, ahora resulta que es Voldemort?”
    • El verdadero problema de Discord es su IPO que se acerca. Para demostrar valor ante los inversionistas, al final van a tener que convertir en activos los datos y mensajes de los usuarios
    • Antes me preocupaba la vigilancia del gobierno, y ahora las grandes tecnológicas están ocupando ese lugar

  • El día en que corten relaciones con personas como Peter Thiel de Palantir será un buen día para toda la sociedad

    • Creo que organizaciones así deberían ser designadas directamente como grupos prohibidos

  • Artículo relacionado: La información entregada para la verificación de identidad en LinkedIn

  • El daño a la confianza ya es irreversible
    Las comunidades de Discord en las que participo siguen ahí, pero después de esto no pienso unirme a ninguna nueva

    • Me pregunto cómo Discord llegó a crecer tanto. El problema fue pasarse a esa plataforma como si fuera una alternativa a Slack
      Igual que Slack, tiene problemas de acaparamiento de datos y de plataforma cerrada, y la gente volvió a caer
    • De hecho, si este incidente termina quedando como un caso que sirva para desconfiar de empresas como Persona, sería algo positivo
    • Ya hice respaldo del servidor que administro, y si me llega una solicitud de verificación de edad, lo voy a borrar de inmediato
    • En realidad Discord ya venía perdiendo la confianza desde hace años. Deterioro en la calidad del cliente, introducción de anuncios y demás: un caso típico de enshittification
      Esta polémica de verificación es solo otra etapa de esa caída
    • Discord es un cáncer para el internet abierto
      El chat en tiempo real está bien, pero fue un desastre que comunidades y wikis se mudaran a una plataforma cerrada
      En vez de buscar alternativas parecidas, deberíamos volver a los foros abiertos y las wikis

  • No queda claro si Discord retiró el requisito de verificación facial o si solo dejó de usar Persona

    • La verificación sigue estando tercerizada a un proveedor externo. Solo cambiaron de Persona a otra empresa
      Por cierto, la verificación solo se necesita para algunas funciones, como entrar a servidores para adultos o desactivar filtros de contenido
    • Originalmente Discord pensaba usar k-ID, un proveedor con procesamiento en el dispositivo
      Pero al mismo tiempo estaba probando Persona, y como Persona almacenaba los datos, perdió la confianza de la gente
      Además, tanto Persona como 5CA sufrieron incidentes de seguridad. Parece que por eso se canceló el cambio
    • Discord no retiró el plan; solo dijo que en algunas regiones no usará Persona
      Según el resumen y disculpa del blog oficial
      el despliegue global se retrasa, y van a añadir funciones que reduzcan la necesidad de verificación, por ejemplo canales con spoiler

  • Persona publicó un informe de análisis posterior al incidente sobre este caso
    Enlace

    • Describir la “exposición de source maps” como ‘catastrófica (CATASTROPHIC)’ es exagerado
      El código frontend de por sí ya es público, y en producción basta con minimizarlo (minify)

  • Investigadores encontraron 2,500 archivos en un endpoint aprobado por el gobierno, y había registros de que Persona realizaba reconocimiento facial y cotejo contra listas de vigilancia de políticos
    Impacta que esa información estuviera expuesta públicamente sin necesidad de ningún hackeo
    Cuando las empresas dicen que “la privacidad del usuario es lo primero”, ya suena como un eslogan vacío
    Es irónico que el CEO diga que “mostrar la cara en internet es distópico” mientras al mismo tiempo hace que los usuarios entreguen su rostro

    • Esa última cita sí me dio mucha risa. Cuesta creer que diga eso mientras actúa así todos los días

  • Ahora el nombre Persona se está volviendo una marca tóxica

    • Ya ni queda claro si eso se refiere a Discord o a Thiel

  • Discord dijo que “solo lo guardan 7 días”, pero si durante ese tiempo se envía a Persona, después de eso ya nadie sabe

    • Antes decían que “se borra de inmediato” y ahora son 7 días; no veo cómo podrían recuperar la confianza después de una ruptura de confianza así