Discord confirmó esta semana una violación de seguridad en uno de sus contratistas de atención al cliente que expuso información de usuarios, incluyendo, en algunos casos, IDs gubernamentales escaneadas enviadas para verificación de edad. Aunque la compañía insiste en que no se trata de una filtración de sus propios servidores, esto ofrece poco consuelo cuando los datos en cuestión solo existían porque Discord comenzó a recopilarlos en primer lugar.
Los detalles del ataque
Según la empresa, el atacante comprometió a un proveedor de soporte de terceros alrededor del 20 de septiembre. Discord divulgó públicamente la brecha a principios de octubre, explicando que el hacker accedió a nombres de usuarios, correos electrónicos, detalles de facturación y comunicaciones internas de soporte.
La compañía enfatizó que no se robaron contraseñas ni números completos de tarjetas de crédito, pero confirmó que se filtraron «un pequeño número» de imágenes de IDs emitidas por el gobierno. Estas procedían principalmente de usuarios que habían sido obligados a apelar una verificación de edad, lo que significa que la filtración es una consecuencia directa del nuevo sistema de identidad de Discord.
El sistema de verificación de edad: un arma de doble filo
Este sistema se implementó este año para cumplir con las nuevas leyes de verificación de edad en el Reino Unido y las reglas COPPA establecidas desde hace tiempo en Estados Unidos. La intención era mantener a los usuarios menores de 13 años fuera de la plataforma y separar el contenido «para adultos» de los menores.
En la práctica, esto significó que los usuarios ordinarios tuvieron que entregar documentos sensibles como:
- Licencias de conducir
- Pasaportes
- Selfies claras faciales
Todo para demostrar que son adultos. Ahora, al menos algunos de esos documentos están en manos de actores maliciosos.
Las consecuencias de la regulación excesiva
Discord afirma que su proveedor de verificación (k-ID) elimina las imágenes de IDs después de verificarlas, y la implicación es que esta es la razón por la cual solo se robó «un pequeño número» de imágenes de ID.
Sin embargo, cualquier recopilación de datos de identificación personal, sin importar cuán temporal sea, es un premio mayor para los actores maliciosos. Una vez que un gobierno comienza a exigir prueba de edad, las empresas tienen poca opción más que construir sistemas que la almacenen en algún lugar.
Un ejemplo de políticas contraproducentes
La Ley de Seguridad en Línea del Reino Unido hizo que violaciones como esta fueran inevitables. Este ataque es una simple lección práctica de cómo la regulación excesivamente celosa y el teatro de cumplimiento corporativo pueden combinarse para hacer que internet sea menos seguro, no más.
Los usuarios confiaron a Discord sus identidades reales porque la ley y las políticas resultantes de la empresa no les dieron una alternativa real. Ahora esas mismas políticas se han convertido en un desastre de privacidad.
¿Qué deben hacer los usuarios?
Los usuarios afectados pueden:
- Revisar su correo electrónico para un mensaje de Discord si fueron impactados
- Consultar la declaración oficial de Discord sobre el asunto
- Considerar las implicaciones de proporcionar documentos de identidad a plataformas digitales en el futuro
Esta brecha no solo erosiona la confianza en Discord, sino que sirve como una advertencia sobre el creciente apetito de gobiernos y empresas tecnológicas por vincular la identidad en línea con documentación del mundo real.
