Discord confirma que un tercero no autorizado accedió a la infraestructura de uno de sus proveedores externos de atención al cliente, lo que facilitó la filtración de datos perteneciente a usuarios que contactaron a los equipos de soporte o de Confianza y Seguridad.
La empresa comenta que revocó de inmediato el acceso del proveedor afectado a su sistema de tickets y ha contratado a una firma de análisis forense digital para investigar los hechos junto a las autoridades competentes. Las personas afectadas recibirán un correo con detalles sobre su caso y las medidas que se adopten.
Aunque Discord habla de un incidente “recientemente descubierto”, no precisa la fecha exacta de la intrusión. Hay un dato legal que ayuda a acotar el periodo. La Ley de Seguridad en Línea del Reino Unido entró en vigor el 25 de julio de 2025, y la filtración se hizo pública el 3 de octubre. Por tanto, es razonable situar la brecha entre ambas fechas. La víctima directa del acceso fue el proveedor de atención al cliente, cuyo nombre no ha sido facilitado por la compañía.
Acceso a archivos e información personal en la filtración de Discord
Entre la información consultada por el acceso no autorizado aparecen nombres, nombres de usuario de Discord, direcciones de correo y otros datos de contacto que los usuarios facilitaron al comunicarse con soporte.
También se vieron comprometidos detalles de facturación -como el tipo de pago, los últimos cuatro dígitos de tarjetas y el historial de compras-, direcciones IP, mensajes intercambiados con agentes y cierta documentación interna del proveedor, incluyendo materiales formativos y presentaciones.
Pero aún más grave, los atacantes lograron obtener un número reducido de imágenes de documentos oficiales -DNI, carnets de conducir, pasaportes- aportadas por usuarios que apelaron una determinación de edad. Cuando proceda, el correo informativo que reciba cada persona especificará si su documento fue uno de los afectados.
Lo curioso es que, hace pocas semanas, Discord publicó un texto explicando su proceso de verificación de edad y afirmando que ni la empresa ni el servicio k-ID almacenan permanentemente las imágenes de identificaciones ni las selfis usadas para cotejo. El hecho de que ahora existan pruebas de que se accedió a imágenes de identificaciones oficiales plantea preguntas sobre el ciclo de vida real de esos archivos en manos de terceros y sobre las garantías ofrecidas a los usuarios.
Riesgos para los usuarios
Tener imágenes de identificaciones oficiales fuera de un control estricto pueden servir para suplantaciones, solicitudes fraudulentas o verificaciones falsas en otros servicios.
Los usuarios que reciban la notificación deben revisar con atención el contenido del mensaje y vigilar señales como intentos de acceso no autorizados a otras cuentas, comunicaciones sospechosas vinculadas a su correo o movimientos extraños en tarjetas asociadas a su cuenta.
Cambiar contraseñas, habilitar doble verificación donde sea posible y poner en alerta a los emisores de tarjetas ante movimientos inusuales son pasos sensatos. No es para volverse loco, pero sí para tomárselo en serio.