70.000 identificaciones gubernamentales filtradas en vulneración de datos de Discord

El 3 de octubre de 2025, Discord informó que los piratas informáticos habían comprometido a uno de sus proveedores de soporte y servicio al cliente externos (5CA), y supuestamente robaron al menos 70.000 imágenes(nueva ventana) de identificaciones emitidas por el gobierno (como pasaportes o licencias de conducir) utilizadas para la verificación de edad.

Según Discord, otra información confidencial que fue robada incluye:

• Nombres, nombres de usuario de Discord, direcciones de correo electrónico y otros detalles de contacto que los usuarios proporcionaron para recibir soporte.
• Mensajes o transcripciones de conversaciones con agentes de soporte (por ejemplo, lo que los usuarios comunicaron a los equipos de soporte).
• Metadatos limitados de facturación y pago, incluido el método de pago, el historial de compras y los últimos cuatro dígitos de las tarjetas de crédito.
• Direcciones IP asociadas con interacciones de soporte.
• “Datos corporativos limitados”, como materiales de capacitación o presentaciones internas almacenadas en el sistema de soporte.

También dice que no se accedió a los siguientes tipos de información confidencial:

• Números completos de tarjetas de crédito y códigos de seguridad (CCV)
• Mensajes o actividad en Discord más allá de lo que los usuarios pueden haber discutido con el soporte al cliente
• Contraseñas o datos de autenticación

La vulneración aparentement(nueva ventana)e comenzó el 20 de septiembre(nueva ventana) después de que los atacantes comprometieran la cuenta de un agente de soporte, y tuvieron acceso a los datos de usuario de Discord durante aproximadamente 58 horas. Discord se está contactando con todos los usuarios afectados por correo electrónico en noreply@discord.com.

La motivación de los ataques parece ser completamente financiera, con la demanda de rescate inicial de los piratas informáticos de $5 millones reducida más tarde a $3,5 millones. El portavoz de Discord le dijo a The Verge(nueva ventana) que Discord “no recompensará a los responsables de sus acciones ilegales”.

Sin embargo, hay informes contradictorios sobre el alcance del ataque y quién tiene realmente la culpa. El grupo de ciberdelincuencia que se atribuye el crédito del ataque, Scattered LAPSUS$ Hunters, dice que robó 1,5 terabytes de datos de 5,5 millones de usuarios, incluidas más de 2,1 millones de fotos de identificaciones gubernamentales. Y el 14 de octubre, 5CA, el servicio de soporte al cliente externo que Discord alega que es responsable de la vulneración, (nueva ventana)negó qu(nueva ventana)e gestionara identificaciones emitidas por el gobierno para Discord, o que su sistema fuera hackeado (mientras admitía también que el incidente resultó potencialmente de un error humano).

Entonces, ¿por qué Discord recopiló fotos de identificaciones gubernamentales?

Para cumplir con la nueva ley de verificación de edad del Reino Unido(nueva ventana) (y la próxima de Australia), Discord ha estado experimentando con la verificación de edad(nueva ventana) utilizando un escaneo facial o una identificación escaneada (como un pasaporte o licencia de conducir).

Por lo general, Discord requería una selfie del usuario(nueva ventana) y luego usaba software para escanear la foto y estimar su edad. Discord luego eliminaba la foto al final del proceso. El sistema que supuestamente fue hackeado era parte de su proceso de apelaciones.

Si un usuario sentía que fue expulsado injustamente por ser demasiado joven, podía enviar una foto de su identificación emitida por el gobierno para ayudar a demostrar su edad. Son estos datos los que supuestamente fueron robados. Y dados los 200 millones de usuarios activos de Discord, si incluso una pequeña fracción de ellos tuviera que pasar por el proceso de apelación, eso es potencialmente millones de identificaciones.

Que una plataforma de redes sociales utilizada principalmente por jugadores sienta la necesidad de recopilar esta información muestra cuán lejos ya se ha extendido la desviación de la misión de las leyes de verificación de edad, cuyo propósito declarado es proteger a los niños de la pornografía.

Cómo protegerse

Esta vulneración es otro recordatorio de que a menudo nos vemos obligados a entregar datos confidenciales con poca visibilidad sobre cómo se almacenan, aseguran o comparten. Si bien no puede recuperar datos que ya se han filtrado, puede intentar tomar el control de qué datos comparte en el futuro. Así es como:

• Audite dónde están sus datos confidenciales: Si tuvo que compartir sus datos confidenciales (como una identificación), lea su Política de privacidad. Si ya no usa esa cuenta, vea si hay una opción para eliminar sus datos.
• Use servicios que no requieran datos invasivos: Esto se está volviendo más difícil, pero los datos que nunca se recopilan no se pueden filtrar. Si necesita un servicio, busque aquellos que sean transparentes(nueva ventana) sobre qué datos recopila, con qué propósito y cuánto tiempo se almacenarán.
• Mantenga el intercambio de datos al mínimo en línea: Incluso (o, dados los muchos ataques recientes centrados en portales de soporte, especialmente) durante las interacciones de soporte, no comparta ninguna información innecesaria. Use una VPN(nueva ventana) y alias de correo siempre que sea posible.

Lo que esto significa para la verificación de edad

La necesidad de proteger a los niños de los muchos daños en línea(nueva ventana) es real, por lo que es comprensible que los gobiernos de todo el mundo, desde la UE(nueva ventana) hasta Australia(nueva ventana) y Canadá(nueva ventana), estén ansiosos por seguir la ley de verificación de edad recientemente aplicada en el Reino Unido.

Si tales leyes son la mejor solución al problema está abierto a debate(nueva ventana), pero lo que es seguro es que las vulneraciones de datos se han convertido en un redoble de tambor diario tal que apenas notamos los titulares de noticias sobre otra compañía de alto perfil filtrando los detalles personales de millones de personas.

Y nunca ha habido ninguna razón para suponer que los datos de verificación de edad excepcionalmente confidenciales serían inmunes a tales filtraciones, un punto dramáticamente probado por este incidente.

Esto significa que incluso si aprueba las leyes de verificación de edad en principio, no deben implementarse antes de que se desarrollen y estén ampliamente disponibles soluciones de estándar abierto, descentralizadas y genuinamente seguras que respeten genuinamente su privacidad.