En los primeros días de octubre de 2025, se hizo pública una grave brecha de seguridad que involucró a Discord, la popular plataforma de comunicación para gamers, comunidades y usuarios en general. Aunque el ataque no penetró directamente los sistemas centrales de Discord, sí comprometió datos sensibles de miles de usuarios, incluyendo fotografías de documentos oficiales usados para verificación de edad.
Cómo ocurrió el incidente
- El ataque se dirigió a un proveedor externo (tercera parte) que Discord contrata para gestionar su servicio de atención al cliente (Customer Support / Trust & Safety).
- Discord afirma que este tercero comprometido es 5CA, que operaba parte del sistema de atención.
- Los atacantes ganaron acceso al sistema de tickets de soporte, pudiendo extraer datos de usuarios que habían sido requeridos para enviar documentación como parte de apelaciones por verificación de edad.
- Discord afirma que revocó el acceso de ese proveedor al sistema de tickets una vez detectado el problema y notificó a las autoridades de protección de datos pertinentes.
Imagen de la noticia en 20minutos.es
Qué tipo de datos podrían haber sido expuestos
Tras el compromiso de un proveedor externo de servicio al cliente, Discord informó que aproximadamente 70,000 usuarios podrían haber tenido sus fotos de identificación gubernamental expuestas (como pasaportes o licencias de conducir), documentos que se habían proporcionado para la verificación de edad.
Los datos comprometidos también incluyen nombres, nombres de usuario de Discord, direcciones de correo electrónico, direcciones IP, mensajes de soporte e información parcial de facturación (como los últimos cuatro dígitos de las tarjetas). Sin embargo, Discord asegura que las contraseñas, los mensajes regulares entre usuarios y los datos completos de tarjetas de crédito (números completos o CVV) no se vieron afectados.
En contraposición, los atacantes afirman haber descargado un volumen mucho mayor, alegando poseer más de 2.1 millones de fotos de identificación y un total de 1.5 TB de contenido, cifras que Discord ha rechazado por considerarlas exageradas o parte de un intento de extorsión.
Reacciones y medidas adoptadas
Frente al incidente, Discord ha tomado medidas concretas, incluyendo la negativa a pagar rescate a los atacantes y la notificación por correo electrónico a los usuarios potencialmente afectados, especificando si sus documentos de identidad estuvieron comprometidos.
La empresa se ha comprometido a reforzar la seguridad, auditando con mayor rigor los sistemas de sus proveedores externos, revisando sus propios controles de seguridad y cooperando activamente con las autoridades policiales y de protección de datos.
Este hackeo ha reavivado el debate sobre la seguridad y los riesgos de los sistemas de verificación de edad obligatoria, ya que, aunque buscan proteger a los menores, exponen información altamente sensible a posibles vulnerabilidades. Actualmente, autoridades como la Information Commissioner’s Office (ICO) del Reino Unido ya están evaluando el caso.
¿Cómo saber si fuiste afectado?
Discord está enviando correos electrónicos oficiales a las cuentas implicadas en la filtración. Si tu información fue comprometida, recibirás una notificación directa desde un correo del dominio @discord.com.Para verificarlo de forma segura:
- Revisa tu bandeja de entrada y spam buscando mensajes oficiales de Discord.
- Si alguna vez enviaste un documento de identidad a través del soporte (por apelaciones o verificación de edad), existe la posibilidad de que tu información esté entre los datos comprometidos.
- No confíes en correos que pidan hacer clic en enlaces o descargar archivos: podrían ser intentos de phishing.
- Puedes consultar los canales oficiales de Discord (su Centro de ayuda y su blog oficial) para mantenerte informado sobre actualizaciones del caso.
Lo que deja esta brecha
Este incidente demuestra que una cadena es tan fuerte como su eslabón más débil. La filtración de documentos oficiales es especialmente grave, ya que esos datos no pueden reemplazarse fácilmente.Para los usuarios, la lección es clara: activar la autenticación de dos factores, desconfiar de correos sospechosos y evitar subir documentos innecesarios.
El ataque a un proveedor externo de Discord dejó al descubierto miles de identificaciones personales, recordando que la seguridad digital no depende solo de una empresa, sino de todo su ecosistema.En un mundo cada vez más conectado, la protección de los datos personales se ha convertido en la nueva frontera de la confianza online.