El viernes pasado, la plataforma de mensajería Discord -utilizada por más de 200 millones de personas mensualmente- sufrió un incidente de seguridad en su servicio de soporte a usuarios, administrado por un tercero. El proveedor externo fue víctima de un ataque extorsivo, con características tipo ransomware, mediante el cual los atacantes accedieron a datos sensibles y exigieron un rescate para no divulgar la información robada, que incluye documentos de identidad, datos parciales de tarjetas de crédito e historial de pagos. La compañía especialista en detección proactiva de amenazas ESET examina el incidente.
El ataque afectó a usuarios que habían interactuado con los servicios de atención al cliente (customer service) y con miembros de confianza y seguridad (trust and safety). De acuerdo con el aviso de incidente que Discord envió a los usuarios impactados y que publicó en su sitio web, los agresores no lograron obtener datos más delicados, tales como direcciones físicas, información completa de tarjetas de crédito o débito, ni detalles de autenticación. “Tampoco mensajes fuera de los que se hayan intercambiado con el centro de soporte al cliente”, aseguraron.
Aunque se confirma que la banda de delincuentes cibernéticos no tuvo acceso inmediato a los servidores de la plataforma, desde ESET afirman que este incidente evidencia de qué manera un servicio con altos niveles de seguridad puede ser vulnerado en uno de los eslabones de su cadena de suministro.
Jake Moore, Global Security Advisor de ESET, explica que los servicios de terceros y sus debilidades “son más difíciles de monitorear y controlar, y a menudo guardan información sensible, por lo que se están transformando en objetivos comunes para los cibercriminales”.
El 20 de septiembre ocurrió un problema de seguridad que todavía se está investigando, y a partir del 3 de octubre la plataforma inició el proceso de informar a cada persona afectada sobre la filtración, además de emitir un aviso para alertar a la comunidad en su conjunto.
Según publicó Discord, entre la información comprometida se incluyen:
- Nombres de usuario, correo electrónico y datos de contacto.
- Información de pagos, como los últimos 4 dígitos de tarjetas e historiales de compra.
- Direcciones IP.
- Mensajes y adjuntos que se hayan enviado al servicio de atención al cliente, o consultas a miembros de trust and safety (confianza y seguridad) de la plataforma.
- Datos corporativos como materiales de capacitación y presentaciones internas.
Según la misma alerta, entre los datos a los cibercriminales accedieron se encuentra “un pequeño número” de documentos de identidad, como licencias de conducir o pasaportes, que suelen pedirse para comprobar la edad del usuario de Discord. Aunque no se menciona la cantidad de estos archivos filtrados, la plataforma afirma que en el correo electrónico que avisa sobre el incidente se incluye esta información para cada usuario implicado. En otras palabras, si se recibe un correo informando sobre la fuga de los datos, será en ese mensaje donde se detallará qué información fue expuesta.
“La recomendación para cualquier usuario de la plataforma que haya sido afectado o si se utiliza Discord, es prestar especial atención a cualquier comunicación que parezca provenir de Discord, ya que la posibilidad de que los datos sean usados en campañas dirigidas de phishing es más alta. Los cibercriminales pueden no solo aprovechar la información filtrada, sino también la noticia de la filtración para vehiculizar, con esa excusa o anzuelo, una campaña específica dirigida a personas usuarias de la plataforma —aunque no hayan sido objetivos de esta última filtración—”, advierte Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
Sin importar si se recibió una notificación o no, desde ESET destacan que es un momento adecuado para revisar ciertas sugerencias que pueden ser clave en situaciones como esta:
- Verificar si se tiene activada la verificación en dos pasos en la cuenta. Esto da una capa más de protección ante filtraciones de credenciales de acceso.
- Revisar los movimientos de pago si se usa Discord Nitro u otros servicios pagos.
De acuerdo a lo que menciona un artículo del sitio especializado BleepingComputer, el grupo de ransomware Scattered Lapsus$ Hunters (SLH) había reclamado inicialmente la autoría del ataque, aunque posteriormente comunicaron a ese medio que el asalto fue llevado a cabo por otro grupo que tiene vínculos con SLH.
“Este tipo de incidentes en proveedores externos recuerda la importancia de fortalecer la cadena de suministro. Una política de ciberseguridad robusta debe incluir y contemplar todos los eslabones que componen la red de proveedores. También es clave que los usuarios comprendan la importancia de mantenerse informados y atentos a incidentes que puedan comprometer la seguridad y privacidad de sus datos, y recordar las medidas básicas con las que pueden enfrentarlos, o al menos estar mejor preparados para este tipo de situaciones, cada vez más frecuentes”, finaliza Gutiérrez Amaya.
