Una reciente brecha de seguridad en Discord, la plataforma de comunicación ampliamente utilizada, ha comprometido los datos personales de aproximadamente 70.000 usuarios. La información robada incluye fotografías de identificación confidenciales emitidas por el gobierno, que se presentaron como parte de las verificaciones de verificación de edad. Este incidente resalta los crecientes riesgos asociados con los procesos de verificación de identidad en línea y las vulnerabilidades de los proveedores de servicios externos.
Cómo ocurrió la infracción
El compromiso provino de un proveedor externo de atención al cliente que tenía acceso a los datos de los usuarios para apelaciones relacionadas con la edad. Discord requiere que los usuarios tengan al menos 13 años (con límites de edad más estrictos para cierto contenido) y utiliza la verificación de identidad para hacer cumplir estas reglas. Los piratas informáticos se dirigieron a este proveedor y extrajeron una cantidad significativa de información personal con la intención de extorsionarlo.
Discord afirma que los atacantes robaron alrededor de 70.000 fotografías de identificación, pero el grupo de ciberseguridad VX-Underground informa que la exfiltración real puede ser mucho mayor: más de 1,5 terabytes de datos, incluidas más de 2,1 millones de imágenes. Discord cuestiona estas cifras, calificándolas de parte de un intento de extorsión. Independientemente de la cifra exacta, la infracción es sustancial.
¿Qué fue robado?
Además de las fotografías de identificación, los datos comprometidos incluían nombres, nombres de usuario, direcciones de correo electrónico y datos de contacto proporcionados al servicio de atención al cliente. También se tomó información de facturación limitada (los últimos cuatro dígitos de los números de tarjetas de crédito), aunque no los detalles completos de la tarjeta ni los códigos de seguridad. Fundamentalmente, las contraseñas y los datos de autenticación permanecieron seguros.
Es probable que este tipo de robo se vuelva más frecuente a medida que más plataformas implementen leyes estrictas de verificación de edad, exigiendo a los usuarios que presenten documentos confidenciales. Una vez que estas identificaciones se almacenan en bases de datos, se convierten en objetivos atractivos para los piratas informáticos.
Respuesta de Discord e impacto en el usuario
Discord revocó el acceso del proveedor externo y afirma estar trabajando con las autoridades. La compañía se está comunicando con los usuarios afectados a través de [email protected] y advierte contra llamadas telefónicas no solicitadas. Sin embargo, algunos usuarios informan que sus solicitudes de verificación de edad fueron ignoradas durante semanas, para luego ser notificados de la infracción.
“Discord ignoró mi ticket de verificación de identidad durante 2 semanas solo para decirme que el mismo ticket estuvo involucrado en una violación de datos”, escribió un usuario de Reddit.
El incidente subraya el equilibrio entre la seguridad de la plataforma y la seguridad de los datos. Los usuarios que enviaron identificaciones ahora pueden enfrentar mayores riesgos de robo de identidad o fraude.
Qué deben hacer los usuarios
Actualmente, los usuarios sólo pueden monitorear sus cuentas en busca de actividad sospechosa y habilitar la autenticación de dos factores si aún no está activa. La violación enfatiza la necesidad de mejores prácticas de seguridad entre proveedores externos y medidas de protección de datos más estrictas por parte de plataformas como Discord.
Este incidente sirve como un duro recordatorio de que incluso las plataformas aparentemente seguras son susceptibles a violaciones, especialmente cuando dependen de servicios externos. El futuro de la verificación de edad en línea requerirá un enfoque más sólido para proteger los datos de los usuarios de la explotación.
