Discord notificó el 20 de septiembre de 2025 un incidente de seguridad derivado del compromiso de un proveedor externo de atención al cliente. Según la compañía, el ataque afectó a un número limitado de usuarios que interactuaron con los equipos de soporte o Trust & Safety, con posible exposición de información de pago y datos personales identificables (PII), incluidos nombres reales y, en casos acotados, imágenes de documentos de identidad utilizados para verificación de edad.
Qué ocurrió: ataque a la cadena de suministro en servicios de soporte
El caso encaja en un escenario de ataque a la cadena de suministro: los actores de amenaza no irrumpieron en la infraestructura principal de Discord, sino en un servicio subcontratado para gestionar tickets y verificaciones. Tras detectarlo, Discord revocó el acceso del proveedor a la plataforma de tickets, inició una investigación interna, contrató peritos forenses y dio aviso a las autoridades, en línea con buenas prácticas de respuesta a incidentes (IR) para contener y erradicar la intrusión.
Datos expuestos: PII, pagos y documentos de identidad
La compañía reconoce acceso no autorizado a datos de pago y a cierto volumen de PII, como nombres legales. Para un subconjunto reducido de usuarios, quedaron comprometidas fotografías de identificaciones oficiales compartidas durante procesos de verificación de edad (p. ej., pasaporte o licencia de conducir). El alcance definitivo y el inventario completo de atributos comprometidos se publicarán cuando concluya el análisis forense.
Atribución y vectores probables: Zendesk bajo la lupa y actividad de grupos
De acuerdo con BleepingComputer, podría estar implicada Zendesk, plataforma de ticketing ampliamente utilizada. En paralelo, el colectivo Scattered Lapsus$ Hunters se atribuyó el incidente y difundió capturas que mostrarían listas de control de acceso (ACL) en Kolide con cuentas administrativas de empleados de Discord. El laboratorio VX-Underground señaló que otra agrupación, aún no identificada públicamente, reclama también autoría, y que habría interacción entre ambos actores. Estas afirmaciones carecen por ahora de verificación independiente.
Por qué el soporte al cliente es un eslabón crítico
Las plataformas de soporte concentran activos sensibles: datos de contacto, detalles de pago, adjuntos con documentos y registros de sesión. Históricamente, incidents similares han explotado permisos excesivos de terceros, segmentación débil, monitoreo insuficiente y almacenamiento innecesario de documentos en tickets. Informes como el Verizon Data Breach Investigations Report (DBIR) han señalado de forma consistente el peso de los incidentes originados en socios, proveedores y herramientas SaaS, subrayando la necesidad de gestionar riesgos de terceros con el mismo rigor que los internos.
Controles recomendados para empresas
Aplicar el principio de mínimo privilegio y segmentación estricta para proveedores; exigir SSO y MFA; validar el estado de los dispositivos mediante MDM/EDR; tokenizar o redactar PII y datos de pago en tickets; limitar la retención de adjuntos; reforzar el logging y la analítica de comportamiento; auditar periódicamente a terceros; y contemplar en los planes de IR supuestos de compromiso de proveedores. Estas medidas reducen la superficie de ataque y acotan el impacto en caso de intrusión.
Qué deben hacer los usuarios de Discord ahora
Habilitar la autenticación multifactor (MFA) y cambiar contraseñas reutilizadas en otros servicios.
Revisar movimientos bancarios y activar alertas de transacciones; ante cargos sospechosos, solicitar el reemplazo de la tarjeta.
Si se enviaron documentos de identidad para verificar la edad, considerar monitorización de crédito y, donde sea posible, bloquear la apertura remota de créditos.
Extremar la precaución ante phishing dirigido: verificar dominios, evitar enlaces de “reverificación” y no proporcionar credenciales desde correos o mensajes no solicitados.
Transparencia y próximos pasos de la investigación
Discord aisló al proveedor y activó un proceso forense, pasos que ayudan a contener el daño y a determinar causas raíz. Resultará clave un informe público que detalle tipos de datos afectados, ventana temporal de acceso y los refuerzos aplicados a la cadena de suministro y a los flujos de soporte.
Los ataques a terceros demuestran que incluso ecosistemas maduros pueden verse comprometidos a través de proveedores. Reforzar controles sobre socios, exigir MFA, usar gestores de contraseñas y vigilar la actividad financiera mitiga el riesgo residual. Mantenerse informado por los canales oficiales de Discord y aplicar prácticas de higiene digital es el mejor antídoto ante un panorama de amenazas en constante evolución.
