La plataforma de mensajería Discord, que utilizan más de 200 millones de personas cada mes, confirmó el viernes pasado que fue afectada por un incidente de seguridad en su servicio de soporte a usuarios, administrado por un tercero.

El proveedor externo sufrió un ataque con fines de extorsión, con características similares a los de tipo ransomware, en el que los atacantes accedieron a datos sensibles y exigieron un rescate para no divulgar la información robada.

El incidente afectó a usuarios que habían interactuado con los servicios de atención al cliente (customer service) y con miembros de confianza y seguridad (trust and safety).
Entre los datos filtrados y comprometidos se encuentran documentos de identidad, datos parciales de tarjetas de crédito e historial de pagos.

Según la notificación de incidente que envió Discord a los usuarios afectados e hizo pública en su web, los atacantes no accedieron a la información más sensible, como direcciones físicas, datos completos de tarjetas de crédito o débito, ni datos de autenticación. “Tampoco mensajes fuera de los que se hayan intercambiado con el centro de soporte al cliente”, detallaron.

discord-filtracion-datos-proveedor-externo1
Comunicado oficial en el sitio web de Discord. Fuente: Discord

El rol de los proveedores externos en la seguridad

Si bien se asegura que el grupo de cibercriminales no tuvo acceso directo a servidores de la plataforma, el caso demuestra cómo un servicio con estándares altos de seguridad puede verse debilitado en uno de los eslabones de su cadena de suministro.

Los servicios de terceros y sus debilidades, explica Jake Moore, Global Security Advisor de ESET, “son más difíciles de monitorear y controlar, y a menudo guardan información sensible, por lo que se están transformando en objetivos comunes para los cibercriminales”.

¿Qué ocurrió?

El 20 de septiembre se habría producido un incidente de seguridad, que está aún bajo investigación, y desde el 3 de octubre la plataforma comenzó a notificar a cada afectado sobre la filtración y ha emitido un comunicado para alertar a la comunidad en general.

¿Qué datos se filtraron?

Entre los datos comprometidos, según la información que publicó Discord, se encuentran:

  • Nombres de usuario, correo electrónico y datos de contacto.
  • Información de pagos, como los últimos 4 dígitos de tarjetas e historiales de compra.
  • Direcciones IP.
  • Mensajes y adjuntos que se hayan enviado al servicio de atención al cliente, o consultas a miembros de trust and safety (confianza y seguridad) de la plataforma.
  • Información corporativa como materiales de capacitación y presentaciones internas.

Según la misma alerta, dentro de los datos a los que accedieron los cibercriminales están “un pequeño número” de documentos de identidad, como licencias de conducir o pasaportes, que suelen pedirse para corroborar la edad del miembro de Discord.

Si bien en este último punto no se especifica el volumen de estos documentos filtrados, la plataforma asegura que en el correo electrónico de notificación del incidente se especifica esta información para cada usuario afectado. Es decir, si recibís el mail notificando la filtración de tus datos, será allí donde se especifique qué datos fueron comprometidos.

¿Qué hacer si fuiste impactado, o si utilizas Discord?

La recomendación para cualquier usuario de la plataforma es prestar especial atención a cualquier comunicación que parezca provenir de Discord, ya que la posibilidad de que los datos sean usados en campañas dirigidas de phishing es más alta.

Los cibercriminales pueden no solo aprovechar la información filtrada, sino también la noticia de la filtración para vehiculizar, con esa excusa o anzuelo, una campaña específica dirigida a personas usuarias de la plataforma —aunque no hayan sido objetivos de esta última filtración—.

Sin importar si fuiste notificado o no, es una buena oportunidad para repasar algunas recomendaciones que pueden ser fundamentales ante incidente como este:

  • Verifica si tienes activada la verificación en dos pasos en tu cuenta. Esto te da una capa más de protección antes filtraciones de credenciales de acceso.
  • Revisa tus movimientos de pago si usas Discord Nitro u otros servicios pagos.

¿Qué se sabe sobre la atribución?

Al momento de esta publicación, y según especifica un artículo del sitio especializado BleepingComputer, el grupo de ransomware Scattered Lapsus$ Hunters (SLH) se había atribuido el ataque en un primer momento, aunque luego indicaron a ese medio que el ataque fue realizado por otro grupo que tiene contacto con SLH.

Conclusión

Este tipo de incidentes en proveedores externos recuerda la importancia de fortalecer la cadena de suministro. Una política de ciberseguridad robusta debe incluir y contemplar todos los eslabones que componen la red de proveedores.

También es clave que los usuarios comprendan la importancia de mantenerse informados y atentos a incidentes que puedan comprometer la seguridad y privacidad de sus datos, y recordar las medidas básicas con las que pueden enfrentarlos, o al menos estar mejor preparados para este tipo de situaciones, cada vez más frecuentes.