La plataforma de mensajería Discord, que utilizan más de 200 millones de personas cada mes, confirmó el viernes pasado que fue afectada por un incidente de seguridad en su servicio de soporte a usuarios, administrado por un tercero. El proveedor externo sufrió un ataque con fines de extorsión, con características similares a los de tipo ransomware, en el que los atacantes accedieron a datos sensibles y exigieron un rescate para no divulgar la información robada. ESET, compañía líder en detección proactiva de amenazas, analiza el incidente que afectó a usuarios que habían interactuado con los servicios de atención al cliente (customer service) y con miembros de confianza y seguridad (trust and safety).
Entre los datos filtrados y comprometidos se encuentran documentos de identidad, datos parciales de tarjetas de crédito e historial de pagos.
Según la notificación de incidente que envió Discord a los usuarios afectados e hizo pública en su web, los atacantes no accedieron a la información más sensible, como direcciones físicas, datos completos de tarjetas de crédito o débito, ni datos de autenticación. “Tampoco mensajes fuera de los que se hayan intercambiado con el centro de soporte al cliente”, detallaron.
Pie de imagen: Comunicado oficial en el sitio web de Discord. Fuente: Discord
Si bien se asegura que el grupo de cibercriminales no tuvo acceso directo a servidores de la plataforma, desde ESET aseguran que el caso demuestra cómo un servicio con estándares altos de seguridad puede verse debilitado en uno de los eslabones de su cadena de suministro.
Los servicios de terceros y sus debilidades, explica Jake Moore, Global Security Advisor de ESET, “son más difíciles de monitorear y controlar, y a menudo guardan información sensible, por lo que se están transformando en objetivos comunes para los cibercriminales”.
El 20 de septiembre se habría producido un incidente de seguridad, que está aún bajo investigación, y desde el 3 de octubre la plataforma comenzó a notificar a cada afectado sobre la filtración y ha emitido un comunicado para alertar a la comunidad en general.
Entre los datos comprometidos, según la información que publicó Discord, se encuentran:
- Nombres de usuario, correo electrónico y datos de contacto.
- Información de pagos, como los últimos 4 dígitos de tarjetas e historiales de compra.
- Direcciones IP.
- Mensajes y adjuntos que se hayan enviado al servicio de atención al cliente, o consultas a miembros de trust and safety (confianza y seguridad) de la plataforma.
- Información corporativa como materiales de capacitación y presentaciones internas.
Según la misma alerta, dentro de los datos a los que accedieron los cibercriminales están “un pequeño número” de documentos de identidad, como licencias de conducir o pasaportes, que suelen pedirse para corroborar la edad del miembro de Discord. Si bien no se detalla el volumen de estos documentos filtrados, la plataforma asegura que en el correo electrónico de notificación del incidente se especifica esta información para cada usuario afectado. Es decir, si se recibe un mail notificando la filtración de los datos, será allí donde se aclarará qué datos fueron comprometidos.
“La recomendación para cualquier usuario de la plataforma que haya sido afectado o si se utiliza Discord, es prestar especial atención a cualquier comunicación que parezca provenir de Discord, ya que la posibilidad de que los datos sean usados en campañas dirigidas de phishing es más alta. Los cibercriminales pueden no solo aprovechar la información filtrada, sino también la noticia de la filtración para vehiculizar, con esa excusa o anzuelo, una campaña específica dirigida a personas usuarias de la plataforma —aunque no hayan sido objetivos de esta última filtración—.”, advierte Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
Sin importar si se fue notificado o no, desde ESET aseguran que es una buena oportunidad para repasar algunas recomendaciones que pueden ser fundamentales ante incidentes como este:
- Verificar si se tiene activada la verificación en dos pasos en la cuenta. Esto da una capa más de protección ante filtraciones de credenciales de acceso.
- Revisar los movimientos de pago si se usa Discord Nitro u otros servicios pagos.
Al momento de esta publicación, y según especifica un artículo del sitio especializado BleepingComputer, el grupo de ransomware Scattered Lapsus$ Hunters (SLH) se había atribuido el ataque en un primer momento, aunque luego indicaron a ese medio que el ataque fue realizado por otro grupo que tiene contacto con SLH.
“Este tipo de incidentes en proveedores externos recuerda la importancia de fortalecer la cadena de suministro. Una política de ciberseguridad robusta debe incluir y contemplar todos los eslabones que componen la red de proveedores. También es clave que los usuarios comprendan la importancia de mantenerse informados y atentos a incidentes que puedan comprometer la seguridad y privacidad de sus datos, y recordar las medidas básicas con las que pueden enfrentarlos, o al menos estar mejor preparados para este tipo de situaciones, cada vez más frecuentes.”, concluye Gutiérrez Amaya de ESET.
