Discord enfrenta una de las filtraciones de datos más graves en su historia reciente. Un grupo de hackers accedió a información sensible de 5,5 millones de usuarios, incluyendo nombres, correos electrónicos, datos bancarios y documentos oficiales como pasaportes. La empresa confirmó el incidente, aunque sostiene que el número de afectados es menor.
El ataque ocurrió el 20 de septiembre de 2025. El colectivo responsable, identificado como Scattered Lapsus$ Hunters, logró infiltrarse en el sistema de atención al cliente de Discord. Según sus declaraciones, una instancia de Zendesk les permitió acceder a números de teléfono y direcciones de correo electrónico. El grupo asegura haber robado 1,6 terabytes de datos provenientes de tickets de soporte, que contienen información de millones de usuarios únicos.
Tras obtener los datos, los hackers exigieron un rescate de cinco millones de dólares. Discord se negó a pagar y las negociaciones se rompieron. La empresa publicó una actualización oficial en su sitio web, donde reveló detalles del incidente y reiteró que no entregará dinero a los atacantes.
La filtración expuso información como nombres, nombres de usuario, correos electrónicos y otros datos de contacto. También se comprometieron detalles de facturación, incluyendo el tipo de pago, los últimos cuatro dígitos de tarjetas de crédito y el historial de compras vinculado con las cuentas. Los atacantes accedieron a direcciones IP, mensajes intercambiados con agentes de soporte y materiales corporativos como presentaciones internas y documentos de capacitación.
Uno de los aspectos más delicados del ataque involucra la obtención de identificaciones oficiales. Los hackers accedieron a tickets de soporte utilizados para verificar la edad de los usuarios, donde se solicitaban imágenes de pasaportes, DNI u otras credenciales emitidas por gobiernos. Discord informó que se trata de 70 000 imágenes, aunque el colectivo afirma que el número real supera las 521 000, correspondientes a todos los tickets relacionados con la verificación de edad.
Los atacantes acusaron a Discord de ocultar la magnitud del incidente y amenazaron con divulgar los datos si la empresa no paga 3,5 millones de dólares. Discord reiteró su negativa a ceder ante la extorsión.
El ataque no se dirigió directamente a Discord, sino a un proveedor externo. Scattered Lapsus$ Hunters empleó técnicas de ingeniería social para obtener credenciales de un agente de soporte. Durante 58 horas, el grupo accedió a una instancia de Zendesk y desactivó la verificación en dos pasos, lo que facilitó el robo de información.
Discord aseguró que no se filtraron números completos de tarjetas de crédito, contraseñas ni mensajes privados, salvo aquellos compartidos con el equipo de soporte. La empresa implementó medidas para mitigar el impacto del ataque y reafirmó su postura de no negociar con los responsables.
