By Centroamérica. – La popular plataforma de mensajería Discord, con más de 200 millones de usuarios activos mensuales, confirmó un incidente de seguridad que comprometió información sensible de quienes interactuaron con su servicio de soporte al cliente. El hecho no afectó directamente sus servidores, sino a un proveedor externo, víctima de un ataque de tipo extorsivo con características similares a un ransomware.
La compañía de ciberseguridad ESET, líder en detección proactiva de amenazas, analiza el alcance del suceso, que afectó a usuarios que habían contactado a los equipos de Customer Service y Trust and Safety de la plataforma. Entre los datos comprometidos se incluyen documentos de identidad, información parcial de pagos e historial de transacciones.
Discord informó que, según sus investigaciones, los atacantes no accedieron a datos críticos como direcciones físicas, contraseñas ni números completos de tarjetas de crédito o débito. Tampoco pudieron visualizar mensajes fuera de los intercambiados con el soporte técnico.
Aun así, desde ESET advierten que este caso evidencia la vulnerabilidad que pueden representar los proveedores externos, incluso para empresas con altos estándares de seguridad.
“LOS SERVICIOS DE TERCEROS SON MÁS DIFÍCILES DE MONITOREAR Y CONTROLAR, Y SUELEN ALMACENAR INFORMACIÓN SENSIBLE, POR LO QUE SE HAN CONVERTIDO EN BLANCOS FRECUENTES PARA LOS CIBERCRIMINALES”, EXPLICÓ JAKE MOORE, GLOBAL SECURITY ADVISOR DE ESET.
El incidente se habría producido el 20 de septiembre y continúa bajo investigación. Desde el 3 de octubre, Discord comenzó a notificar individualmente a los usuarios afectados y emitió un comunicado público para alertar a su comunidad.
Entre los datos comprometidos se incluyen:
- Nombres de usuario, correos electrónicos y datos de contacto.
- Información parcial de pagos (últimos 4 dígitos de tarjetas e historiales de compra).
- Direcciones IP.
- Mensajes y archivos enviados al servicio de soporte o al equipo de Trust and Safety.
- Materiales internos, como presentaciones o documentos de capacitación.
Discord también confirmó que se filtró un número limitado de documentos de identidad —como pasaportes o licencias de conducir— solicitados para verificar la edad de ciertos usuarios. Cada persona afectada recibirá en su notificación detallada qué tipo de información fue expuesta.
ESET recomienda máxima precaución.
“LOS USUARIOS DEBEN ESTAR ATENTOS A CORREOS O MENSAJES QUE APARENTEN PROVENIR DE DISCORD. ESTE TIPO DE INCIDENTES PUEDE SER APROVECHADO POR CIBERCRIMINALES PARA LANZAR CAMPAÑAS DE PHISHING DIRIGIDAS, INCLUSO CONTRA PERSONAS NO AFECTADAS POR LA FILTRACIÓN”, ADVIRTIÓ CAMILO GUTIÉRREZ AMAYA, JEFE DEL LABORATORIO DE INVESTIGACIÓN DE ESET LATINOAMÉRICA.
