La plataforma de chat Discord ha confirmado una violación de datos que expuso la información del usuario después de que los piratas informáticos comprometieran a un proveedor externo de atención al cliente. El incidente es el último de una serie de infracciones reportadas en 2025 que afectaron a importantes empresas, incluidas Google, Allianz, Farmers y Dior.
En un comunicado, Discord confirmó que la violación ocurrió el 20 de septiembre de 2025. La compañía aclaró que el incidente no fue un ataque directo a sus propios servidores. En cambio, los atacantes obtuvieron acceso no autorizado a 5CA, uno de los proveedores externos de servicio al cliente de Discord. Esto permitió a los atacantes ver datos pertenecientes a usuarios que se habían puesto en contacto previamente con el servicio de atención al cliente de Discord o con Trust & Equipos de seguridad.
Discord, una aplicación utilizada para mensajes de texto, chats de voz y videollamadas, tiene una base de usuarios mensual de más de 200 millones. Si bien lo utilizan principalmente jugadores, su base de usuarios se ha ampliado para incluir otras comunidades.
Los datos expuestos incluyen nombres de usuario de Discord, nombres reales, direcciones de correo electrónico, direcciones IP y el contenido de los mensajes intercambiados con agentes de servicio al cliente. También se vieron comprometidos detalles de facturación limitados, como el tipo de pago y los últimos cuatro dígitos de los números de tarjetas de crédito.
Para algunos usuarios, las imágenes de identificación emitidas por el gobierno proporcionadas con fines de verificación de edad también formaban parte de los datos expuestos. Discord estima que aproximadamente 70.000 usuarios en todo el mundo vieron comprometidas sus fotografías de identificación gubernamental en el ataque.
El grupo de amenazas conocido como Scattered Lapsus$ Hunters (SLH) se ha atribuido la responsabilidad del ataque. Según los informes, el grupo intentó utilizar su acceso para exigir un rescate a Discord. SLH también afirmó estar en posesión de más de mil millones de registros de Salesforce, por los que, según se informa, exige un rescate por separado.
Discord reveló la infracción al público el 3 de octubre de 2025, 13 días después del incidente inicial. La respuesta de la compañía incluyó cancelar el acceso del proveedor externo a sus sistemas, iniciar una investigación interna con un equipo forense digital y comenzar el proceso de notificación a los usuarios afectados. Discord declaró que todas las comunicaciones oficiales sobre la infracción se enviarán desde la dirección de correo electrónico [email protected] y que no se comunicará con los usuarios por teléfono sobre este asunto.
La empresa también precisó que cierta información sensible no fue expuesta. Esto incluye números completos de tarjetas de crédito, códigos de seguridad CCV, contraseñas de cuentas y cualquier actividad del usuario fuera de las conversaciones con atención al cliente. Discord ha notificado a las autoridades de protección de datos pertinentes, está cooperando con las autoridades y ha comenzado una auditoría de sus proveedores externos para hacer cumplir estándares mejorados de seguridad y privacidad.
Se recomienda a los usuarios que crean que sus datos pueden haber sido expuestos que tomen varias medidas de seguridad. Las recomendaciones incluyen habilitar la autenticación de dos factores, usar contraseñas seguras y únicas para todas las cuentas y monitorear activamente las cuentas para detectar actividades sospechosas. Además, los usuarios deben tener cuidado con los correos electrónicos, mensajes o enlaces no solicitados; utilice software antivirus de buena reputación; mantener actualizados los dispositivos y el software; y considere un servicio de eliminación de datos personales para reducir su huella digital.
