- Un ataque a un proveedor externo de soporte expuso datos de usuarios de Discord que contactaron con Atención al cliente y Trust & Safety.
- Se vieron comprometidos nombres, correos, IP, mensajes al soporte y datos de pago limitados; en algunos casos, imágenes de documentos de identidad.
- Discord indica que sus sistemas internos no fueron vulnerados; no se filtraron contraseñas ni números completos de tarjetas.
- La compañía revocó el acceso del proveedor, investiga el incidente, notifica desde noreply@discord.com y recomienda extremar la precaución frente al phishing.
Un ciberataque contra un proveedor externo de soporte ha provocado la exposición de datos vinculados a usuarios que se comunicaron con la atención al cliente y el equipo de Confianza y Seguridad de Discord. Los intrusos accedieron a información enviada a esos canales y trataron de extorsionar con la publicación de lo robado.
La plataforma confirma que su infraestructura principal no fue vulnerada y que el alcance se circunscribe a las interacciones con el servicio de soporte. La empresa ha iniciado una investigación forense, está avisando a los afectados y ha reforzado controles sobre terceros para evitar incidentes similares.
El incidente y su alcance
Según la compañía, el acceso ilícito se produjo el 20 de septiembre y la notificación individual comenzó en los días posteriores. Discord señala que el impacto afecta a un número limitado de personas que previamente abrieron tickets o contactaron con equipos de Trust & Safety.
El punto de entrada no fue un servidor de la plataforma sino el operador externo que gestiona parte de la atención al cliente. Este episodio evidencia cómo un servicio con buenos estándares puede verse debilitado por un eslabón de la cadena de suministro digital, donde el control y la monitorización son más complejos.
La compañía recalca que no hay indicios de intrusión en sus sistemas internos ni en los contenidos de servidores y canales fuera del ámbito de soporte. Lo accedido corresponde a mensajes, adjuntos y metadatos enviados a asistencia, algo habitual cuando se tramitan consultas, quejas o verificaciones.
Qué datos quedaron expuestos
De acuerdo con la información compartida por la empresa, los campos que pudieron verse comprometidos abarcan datos de contacto, actividad ligada a tickets y detalles de pago parciales. En casos concretos, también se habrían expuesto imágenes de documentos de identidad utilizados para verificación de edad.
- Nombres y nombre de usuario de Discord.
- Direcciones de correo electrónico y otros datos de contacto.
- Direcciones IP asociadas a las comunicaciones.
- Mensajes y adjuntos remitidos al soporte o al equipo de Trust & Safety.
- Información de pago limitada: tipo de método y últimos 4 dígitos de la tarjeta, además de historial de compras.
- Un número reducido de imágenes de documentos de identidad (p. ej., carnet de conducir o pasaporte) para apelaciones de verificación de edad en Discord.
- Material corporativo interno, como presentaciones o contenidos de formación.
Discord subraya que no se han filtrado contraseñas, tokens de autenticación ni números completos de tarjetas, y que los mensajes privados fuera del soporte no forman parte del incidente.
Respuesta de Discord y medidas adoptadas
Como acción inmediata, la compañía revocó el acceso del proveedor comprometido, aisló los sistemas afectados y desplegó una investigación junto a especialistas externos en ciberseguridad.
La comunicación con los posibles afectados se realiza por correo desde la dirección noreply@discord.com. La plataforma recalca que no contacta por teléfono respecto a este asunto y pide ignorar mensajes o llamadas sospechosas que se aprovechen de la situación.
Además, Discord ha informado a las autoridades competentes y está reforzando auditorías y controles sobre terceros, con especial foco en detección de amenazas, gestión de accesos y retención mínima de datos en proveedores.
Riesgos y consejos para usuarios
Con la información obtenida, los atacantes podrían intentar phishing, ingeniería social o suplantación de la marca para pedir datos adicionales o distribuir enlaces maliciosos. Este riesgo es mayor cuando existen comunicaciones previas con soporte que permiten mensajes muy verosímiles.
Aunque Discord indica que no es necesario restablecer la contraseña por este incidente, resulta prudente elevar la protección de la cuenta y extremar la vigilancia ante cualquier contacto inesperado.
- Activa y comprueba la autenticación en dos pasos (preferentemente con app de códigos).
- Sospecha de correos o DMs que pidan datos; verifica que cualquier aviso proceda de noreply@discord.com.
- Revisa tus movimientos de pago si utilizas Nitro u otros servicios; configura alertas de actividad.
- Si reutilizas contraseñas, plantéate cambiarlas y usar un gestor de contraseñas para credenciales únicas y robustas.
- Evita reenviar o volver a cargar documentos de identidad fuera de canales oficiales y cifrados.
Si has recibido el correo de notificación, ahí se detalla qué tipos de datos se vieron afectados en tu caso. En ausencia de aviso, es recomendable mantenerse atento igualmente y no interactuar con enlaces o archivos no solicitados.
El caso pone de relieve que la seguridad de una plataforma depende también de sus socios: un tercero vulnerable puede convertirse en el atajo para atacar a toda una comunidad. La reacción de Discord ha sido rápida y transparente, pero la prioridad ahora es minimizar el riesgo de abusos derivados de la información expuesta.
Soy un apasionado de la tecnología que ha convertido sus intereses «frikis» en profesión. Llevo más de 10 años de mi vida utilizando tecnología de vanguardia y trasteando todo tipo de programas por pura curiosidad. Ahora me he especializado en tecnología de ordenador y videojuegos. Esto es por que desde hace más de 5 años que trabajo redactando para varias webs en materia de tecnología y videojuegos, creando artículos que buscan darte la información que necesitas con un lenguaje entendible por todos.
Si tienes cualquier pregunta, mis conocimientos van desde todo lo relacionado con el sistema operativo Windows así como Android para móviles. Y es que mi compromiso es contigo, siempre estoy dispuesto a dedicarte unos minutos y ayudarte a resolver cualquier duda que tengas en este mundo de internet.