El 3 de octubre de 2025, Discord informó que hackers habían comprometido a uno de sus proveedores de soporte y atención al cliente de terceras partes (5CA), y supuestamente robaron al menos 70.000 imágenes(ventana nueva) de identificaciones emitidas por el gobierno (como pasaportes o licencias de conducir) utilizadas para la verificación de edad.

Según Discord, otra información sensible que fue robada incluye:

  • Nombres, nombres de usuario de Discord, direcciones de correo electrónico y otros detalles de contacto que los usuarios proporcionaron para recibir soporte.
  • Mensajes o transcripciones de conversaciones con agentes de soporte (por ejemplo, lo que los usuarios comunicaron a los equipos de soporte).
  • Metadatos limitados de facturación y pago, incluyendo método de pago, historial de compras y los últimos cuatro dígitos de las tarjetas de crédito.
  • Direcciones IP asociadas con interacciones de soporte.
  • “Datos corporativos limitados” como materiales de formación o presentaciones internas almacenadas en el sistema de soporte.

También dice que no se accedió a los siguientes tipos de información sensible:

  • Números completos de tarjetas de crédito y códigos de seguridad (CCV)
  • Mensajes o actividad en Discord más allá de lo que los usuarios pueden haber discutido con la atención al cliente
  • Contraseñas o datos de autenticación

La vulneración aparente(ventana nueva)mente comenzó el 20 de septiembre(ventana nueva) después de que los atacantes comprometieran la cuenta de un agente de soporte, y tuvieron acceso a los datos de usuario de Discord durante aproximadamente 58 horas. Discord está contactando a todos los usuarios afectados por correo electrónico en noreply@discord.com.

La motivación de los ataques parece ser totalmente financiera, con la demanda inicial de rescate de 5 millones de $ de los hackers reducida posteriormente a 3,5 millones de $. El portavoz de Discord dijo a The Verge(ventana nueva) que Discord “no recompensará a los responsables de sus acciones ilegales”.

Sin embargo, hay informes contradictorios sobre el alcance del ataque y quién es realmente culpable. El grupo de cibercrimen que reclama el crédito por el ataque, Scattered LAPSUS$ Hunters, dice que robó 1,5 terabytes de datos de 5,5 millones de usuarios, incluyendo más de 2,1 millones de fotos de identificaciones gubernamentales. Y el 14 de octubre, 5CA, el servicio de atención al cliente de terceras partes que Discord alega que es responsable de la vulneración, (ventana nueva)negó que(ventana nueva) manejara identificaciones emitidas por el gobierno para Discord, o que su sistema fuera hackeado (mientras también admitía que el incidente resultó potencialmente de un error humano).

Entonces, ¿por qué Discord recopiló fotos de documentos de identidad gubernamentales?

Para cumplir con la nueva ley de verificación de edad del Reino Unido(ventana nueva) (y la próxima de Australia), Discord ha estado experimentando con la verificación de edad(ventana nueva) utilizando un escaneo facial o un documento de identidad escaneado (como un pasaporte o un permiso de conducir).

Normalmente, Discord requería una selfie del usuario(ventana nueva) y luego usaba software para escanear la foto y estimar su edad. Discord luego eliminaba la foto al final del proceso. El sistema que supuestamente fue hackeado era parte de su proceso de apelaciones.

Si un usuario sentía que había sido baneado injustamente por ser demasiado joven, podía enviar una foto de su documento de identidad emitido por el gobierno para ayudar a probar su edad. Son estos datos los que supuestamente fueron robados. Y dados los 200 millones de usuarios activos de Discord, si incluso una pequeña fracción de ellos tuviera que pasar por el proceso de apelación, eso supone potencialmente millones de identificaciones.

Que una plataforma de redes sociales utilizada principalmente por jugadores sienta la necesidad de recopilar esta información muestra hasta dónde se ha extendido ya la desviación de la misión de las leyes de verificación de edad, cuyo propósito declarado es proteger a los niños de la pornografía.

Cómo protegerte

Esta vulneración es otro recordatorio de que a menudo nos vemos obligados a entregar datos sensibles con poca visibilidad sobre cómo se almacenan, aseguran o comparten. Si bien no puedes recuperar datos que ya se han filtrado, puedes intentar tomar el control de qué datos compartes en el futuro. Así es cómo:

  • Audita dónde están tus datos sensibles: si tuviste que compartir tus datos sensibles (como un documento de identidad), lee su política de privacidad. Si ya no usas esa cuenta, mira si hay una opción para eliminar tus datos.
  • Usa servicios que no requieran datos invasivos: esto se está volviendo más difícil, pero los datos que nunca se recopilan no se pueden filtrar. Si necesitas un servicio, busca aquellos que sean transparentes(ventana nueva) sobre qué datos recopilan, con qué propósito y cuánto tiempo se almacenarán.
  • Mantén el intercambio de datos al mínimo online: incluso (o, dados los muchos ataques recientes centrados en portales de soporte, especialmente) durante las interacciones de soporte, no compartas ninguna información innecesaria. Usa una VPN(ventana nueva) y alias de correo electrónico siempre que sea posible.

Lo que esto significa para la verificación de edad

La necesidad de proteger a los niños de los muchos daños online(ventana nueva) es real, por lo que es comprensible que los gobiernos de todo el mundo, desde la UE(ventana nueva) hasta Australia(ventana nueva) y Canadá(ventana nueva), estén ansiosos por seguir la ley de verificación de edad recién aplicada en el Reino Unido.

Si tales leyes son la mejor solución al problema está abierto a debate(ventana nueva), pero lo que es seguro es que las vulneraciones de datos se han convertido en un goteo diario tal que apenas notamos los titulares de noticias sobre otra empresa de alto perfil que filtra los datos personales de millones de personas.

Y nunca ha habido ninguna razón para suponer que los datos de verificación de edad, excepcionalmente sensibles, serían inmunes a tales filtraciones, un punto demostrado dramáticamente por este incidente.

Esto significa que, incluso si apruebas las leyes de verificación de edad en principio, no deberían implementarse antes de que se desarrollen y estén ampliamente disponibles soluciones de estándar abierto, descentralizadas y genuinamente seguras que respeten genuinamente tu privacidad.