Iamprovider

Una filtración de la empresa de verificación de edad podría haber expuesto fotos de identificación de 70,000 usuarios de Discord

Una filtración de la empresa de verificación de edad podría haber expuesto fotos de identificación de 70,000 usuarios de Discord

Detalles de la filtración: qué sucedió y cuándo

El 3 de octubre de 2025, Discord reveló que una entidad no autorizada obtuvo acceso a uno de sus proveedores externos de servicio al cliente, 5CA. La filtración, que comenzó alrededor del 20 de septiembre, comprometió la cuenta de un agente de soporte, dando a los hackers acceso a los datos de los usuarios de Discord durante aproximadamente 58 horas. El atacante(s) supuestamente robó al menos 70,000 imágenes de documentos de identidad emitidos por el gobierno, como pasaportes o licencias de conducir, presentadas por los usuarios para la verificación de edad. El perpetrador también estaría intentando extorsionar a la empresa afectada.

¿Qué datos fueron expuestos?

Además de las fotos de identificación, la filtración podría haber expuesto nombres, direcciones de correo electrónico, información de contacto, direcciones IP e interacciones con el soporte al cliente de Discord. Afortunadamente, no se accedió a información completa de tarjetas de crédito ni contraseñas. Sin embargo, el alcance sigue siendo discutido: el grupo de ciberdelincuencia que se atribuye la responsabilidad, Scattered LAPSUS$ Hunters, afirma que robaron 1.5 terabytes de datos de 5.5 millones de usuarios, incluyendo más de 2.1 millones de fotos de identificación. Discord, por su parte, mantiene que la cifra se acerca a los 70,000 usuarios afectados a nivel mundial.

Cómo funciona la verificación de edad en Discord

Método de identificación con foto para apelaciones

Discord requiere verificación de edad cuando un usuario es bloqueado por ser menor de edad o al acceder a servidores con restricción de edad. Los usuarios pueden enviar una foto de ellos mismos sosteniendo un documento de identidad emitido por el gobierno (que muestre la fecha de nacimiento) y un papel con su nombre de usuario de Discord. Esta única foto se envía al equipo de Confianza y Seguridad de Discord a través de un formulario de soporte. La información proporcionada se utiliza únicamente para la verificación de edad y no para ningún otro propósito.

Verificación automática de edad mediante k-ID

En regiones seleccionadas, Discord se asocia con k-ID para una verificación automática de edad. Los usuarios se toman un video selfie, que se procesa en su dispositivo y se elimina inmediatamente después de la estimación de edad. Discord afirma que ni ellos ni k-ID almacenan escaneos faciales. Si la verificación automática falla, los usuarios deben recurrir al método de identificación con foto.

Por qué ocurrió esta filtración: problemas de retención de datos

Según fuentes, la filtración ocurrió porque Discord no eliminó las fotos de identificación de los usuarios de manera oportuna después de la verificación. A diferencia del sistema de k-ID, que procesa los selfies en el dispositivo y los elimina de inmediato, el sistema de soporte de Discord retuvo las imágenes de identificación durante meses. Esta ventana de retención permitió a los hackers acceder y extraer los datos. El hacker supuestamente obtuvo acceso al portal de soporte de Discord, no al sistema de k-ID, lo que destaca una vulnerabilidad crítica en las prácticas de manejo de datos.

Implicaciones para la privacidad del usuario y la verificación futura

Este incidente subraya los riesgos inherentes al almacenamiento centralizado de datos biométricos sensibles. A medida que Discord expande su verificación de edad a nivel mundial, impulsada por regulaciones como la ley de verificación de edad del Reino Unido, la filtración sirve como una advertencia. Si bien las verificaciones automáticas de edad con procesamiento en el dispositivo reducen el riesgo, el método de apelación con identificación con foto sigue siendo vulnerable. Los usuarios deben confiar en que sus datos se eliminarán de inmediato, una confianza que se ha roto. En el futuro, Discord y otras plataformas deben adoptar políticas más estrictas de minimización y retención de datos para evitar exposiciones similares.

Qué deben hacer ahora los usuarios de Discord

Discord está contactando a los usuarios afectados por correo electrónico desde noreply@discord.com. Si recibes dicho correo, verifica su autenticidad y sigue las instrucciones. Evita enviar tickets duplicados o compartir tu foto de identificación fuera de los canales oficiales. Para aquellos preocupados por futuras filtraciones, considera usar identificaciones desechables o de propósito limitado, y monitorea tus cuentas en busca de actividad sospechosa. El incidente resalta la necesidad de una legislación más sólida sobre la retención de datos y la seguridad de los proveedores externos.