Discord ha rechazado públicamente pagar un rescate a un grupo de extorsión que asegura haber robado datos de 5,5 millones de usuarios. La compañía sostiene que el incidente no fue un compromiso de su plataforma, sino de un proveedor externo de soporte, y que el impacto real afecta a alrededor de 70.000 personas cuyas verificaciones de edad podrían incluir fotos de documentos oficiales.
Hechos confirmados por la empresa: incidente en tercero y alcance provisional
Según Discord, el evento se produjo el 20 de septiembre de 2025 y estuvo limitado a un servicio de Business Process Outsourcing (BPO) utilizado para gestionar tickets de soporte. Tras detectar el acceso indebido, la compañía afirma haber aislado al proveedor comprometido del sistema de tickets e iniciado una investigación forense. La evaluación preliminar apunta a una muestra de ~70.000 registros vinculados a la verificación de edad (posibles imágenes de pasaportes o licencias de conducir). Discord subraya que los números más altos difundidos por los atacantes forman parte de una estrategia de presión.
Versión de los extorsionadores: 1,6 TB de tickets y 5,5 millones de usuarios
De acuerdo con BleepingComputer, el colectivo Scattered Lapsus$ Hunters —que agrupa a miembros de Scattered Spider, LAPSUS$ y Shiny Hunters— reivindica el ataque. Aseguran haber comprometido credenciales de un empleado del BPO y mantener acceso al supuesto instancia de Zendesk durante 58 horas desde el 20 de septiembre. Afirman haber exfiltrado 1,6 TB con más de 8,4 millones de tickets que afectan a 5,5 millones de usuarios únicos, incluyendo información de pago parcial en unos 580.000 tickets.
El grupo también sostiene que accedió a la herramienta interna de soporte Zenbar, con capacidad para ver teléfonos y correos electrónicos y ejecutar acciones sensibles como deshabilitar el MFA. Estos extremos no han sido verificados de forma independiente por los medios.
Análisis: riesgo de terceros, BPO y privilegios peligrosos en herramientas de soporte
El incidente ejemplifica el riesgo de cadena de suministro: una brecha en un proveedor puede abrir la puerta a datos críticos sin que la infraestructura principal sea explotada. Casos recientes refuerzan la lección: el compromiso de un proveedor de soporte de Okta en 2023 derivó en accesos no autorizados a herramientas internas; Scattered Spider estuvo detrás del ataque a MGM Resorts en 2023 mediante ingeniería social dirigida a personal externalizado; y LAPSUS$ atacó a grandes tecnológicas en 2022 explotando cuentas de terceros.
Los entornos BPO requieren controles reforzados: MFA robusta con factores resistentes al phishing (passkeys/FIDO2), Zero Trust con verificación continua de dispositivos y usuarios, principio de mínimo privilegio en aplicaciones de soporte, segmentación de entornos, accesos JIT (por tiempo y propósito) y telemetría detallada con alertas para operaciones de alto riesgo (p. ej., desactivar MFA, ver identificadores legales o reemitir credenciales).
Protección de documentos de identidad y cumplimiento
Las imágenes de documentos de identidad exigen controles adicionales: cifrado a nivel de aplicación, tokenización, retención mínima y aislamiento del sistema de tickets. Estas prácticas reducen la exposición y los riesgos regulatorios bajo GDPR y CCPA, a la vez que limitan el valor de los datos para los actores de amenazas.
Rescate y presión: cronología y postura corporativa
Medios especializados indican que las exigencias de los atacantes habrían comenzado en 5 millones de dólares y bajado a 3,5 millones entre el 25 de septiembre y el 2 de octubre de 2025. Tras la negativa pública de Discord a “incentivar actividades ilícitas” y cortar la comunicación, los extorsionadores amenazaron con publicar los datos. La compañía continúa la investigación y mantiene aislado al proveedor afectado.
Recomendaciones para usuarios de Discord
- Activa o revisa tu MFA; prioriza passkeys o aplicaciones de autenticación, evita SMS cuando sea posible.
- Cambia tu contraseña y asegúrate de que sea única; habilita passkeys cuando estén disponibles.
- Vigila el phishing en email/SMS/DM: verifica dominios, no hagas clic en enlaces sospechosos y usa manager de contraseñas.
- Monitorea tus tarjetas: activa alertas del emisor y, si procede, solicita reemisión.
- Si enviaste documentos de identidad a soporte, evalúa servicios de monitoreo de identidad y sigue las notificaciones oficiales de Discord para posibles reemplazos.
La brecha subraya una realidad constante: los accesos de terceros y las herramientas de soporte con privilegios amplios son vectores críticos. Invertir en Zero Trust, accesos JIT, auditoría continua y minimización de datos sensibles reduce sustancialmente el impacto de futuras intrusiones, con independencia de lo ruidosas que sean las cifras que circulen tras un ataque. Permanecer alerta y aplicar buenas prácticas hoy es la mejor defensa para el próximo incidente.
