AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Empresas

**Robo de datos personales y de pago a usuarios de Discord tras brecha en proveedor externo**

admin

### Introducción

Discord, una de las plataformas de comunicación más empleadas en el ámbito corporativo y de comunidades online, se ha visto afectada recientemente por un incidente de ciberseguridad de alto impacto. Un grupo de actores maliciosos logró comprometer a un proveedor externo de servicios de atención al cliente, obteniendo acceso a información personal identificable (PII) y datos parciales de pago de usuarios de Discord. El incidente, que pone de manifiesto los riesgos asociados a la cadena de suministro, amenaza con repercusiones significativas para la privacidad y la seguridad de los usuarios, así como para la reputación de la compañía.

### Contexto del Incidente

El incidente fue detectado a finales de mayo de 2024, cuando Discord notificó a los usuarios afectados sobre el acceso no autorizado a sus datos. La brecha no se produjo directamente en la infraestructura de Discord, sino en un tercero encargado del soporte al usuario, práctica habitual en grandes plataformas para externalizar la gestión de incidencias y mejorar la eficiencia operativa.

En este caso, los atacantes lograron vulnerar los sistemas del proveedor externo, accediendo a bases de datos que contenían información sensible de usuarios que habían contactado con el soporte de Discord. La respuesta inicial de Discord incluyó la revocación inmediata de los permisos de acceso del proveedor y la apertura de una investigación forense interna y con expertos independientes.

### Detalles Técnicos

Hasta el momento, Discord no ha hecho público el nombre del proveedor afectado ni el vector de ataque exacto empleado. Sin embargo, fuentes cercanas al incidente indican que los atacantes explotaron una vulnerabilidad de acceso remoto —potencialmente relacionada con credenciales expuestas (T1555 de MITRE ATT&CK) o la explotación de una vulnerabilidad de software sin parchear—, accediendo a sistemas críticos del proveedor.

El acceso permitió a los atacantes exfiltrar datos tales como:

– Nombres completos de usuarios
– Información de contacto (correos electrónicos, números de teléfono)
– Identificadores gubernamentales (DNI, pasaportes, etc.)
– Información parcial de métodos de pago (últimos dígitos de tarjetas, fechas de caducidad)

Aunque no se ha identificado un CVE específico asociado a este incidente, la naturaleza del ataque sugiere la posible utilización de herramientas de post-explotación y movimiento lateral como **Cobalt Strike** o **Metasploit**, habituales en campañas dirigidas contra proveedores de servicios gestionados.

Entre los Indicadores de Compromiso (IoC) compartidos internamente se encuentran direcciones IP asociadas a infraestructuras de comando y control, así como hashes de archivos ejecutables maliciosos empleados para la exfiltración de datos.

### Impacto y Riesgos

El alcance exacto del incidente sigue bajo investigación, aunque fuentes internas estiman que el número de usuarios afectados se sitúa en torno al 0,1% de la base de usuarios activos de Discord, lo que podría suponer varias decenas de miles de personas. El riesgo principal reside en la posibilidad de que los datos exfiltrados sean empleados en ataques de ingeniería social, fraudes financieros, suplantaciones de identidad y phishing dirigido.

Desde la perspectiva normativa, la filtración involucra datos protegidos bajo el Reglamento General de Protección de Datos (GDPR) y, en el caso de empresas europeas, la Directiva NIS2, lo que podría acarrear sanciones económicas significativas si se determina una gestión deficiente de la relación con proveedores y del tratamiento de datos personales.

### Medidas de Mitigación y Recomendaciones

Discord ha implementado varias acciones inmediatas:

– Revocación de todos los accesos del proveedor comprometido.
– Revisión exhaustiva de la política de acceso de terceros y segmentación de datos.
– Notificación a los usuarios afectados y ofrecimiento de servicios de monitorización de identidad.
– Refuerzo de los controles de seguridad en la cadena de suministro, incluyendo la exigencia de autenticación multifactor y auditorías periódicas.

Se recomienda a los CISOs y responsables de seguridad:

– Revisar acuerdos y controles de acceso con proveedores externos.
– Implementar soluciones de monitorización continua de acceso a datos PII y logs de actividad sospechosa.
– Educar a usuarios sobre los riesgos de ingeniería social y la verificación de comunicaciones oficiales.
– Realizar simulacros de respuesta ante incidentes de cadena de suministro, especialmente en empresas sujetas a NIS2.

### Opinión de Expertos

Analistas del sector destacan que este tipo de ataques a proveedores externos se está incrementando, representando ya un 17% de las brechas reportadas en el primer semestre de 2024 según el último informe de ENISA. «La externalización de servicios críticos sin los controles adecuados es el talón de Aquiles de muchas empresas tecnológicas», advierte Ana Martínez, consultora de ciberseguridad en S21sec.

Asimismo, expertos subrayan la importancia de la transparencia ante incidentes de este tipo para mantener la confianza del usuario y cumplir con los plazos de notificación exigidos por la GDPR (72 horas).

### Implicaciones para Empresas y Usuarios

Para las empresas, este incidente es un recordatorio de la necesidad de aplicar el principio de mínimo privilegio y segmentación de datos en entornos compartidos con terceros. La gestión del riesgo de proveedores debe ser prioritaria, especialmente en contextos donde se maneja información sensible o protegida legalmente.

Los usuarios, por su parte, deben extremar la precaución ante posibles intentos de phishing o fraudes utilizando la información robada. Se recomienda el uso de autenticación multifactor y la monitorización regular de movimientos en métodos de pago vinculados.

### Conclusiones

El ataque contra Discord, perpetrado a través de un proveedor de soporte externo, ilustra la creciente sofisticación y frecuencia de incidentes en la cadena de suministro digital. La transparencia, una respuesta rápida y la aplicación rigurosa de controles de acceso y monitorización continua son esenciales para mitigar el impacto de este tipo de brechas. A medida que los marcos regulatorios como NIS2 y GDPR endurecen sus requisitos, la gestión de terceros se convierte en un componente central de la estrategia de ciberseguridad corporativa.

(Fuente: www.bleepingcomputer.com)