La plataforma de comunicaciones Discord ha sido criticada después de que se descubriera que su software de verificación de identidad Persona Identities tenía un código de interfaz disponible en la Internet pública y en servidores gubernamentales.
Los investigadores de X observaron que se encontraron aproximadamente 2500 archivos accesibles en un punto final autorizado por el gobierno de EE. UU. Estos archivos mostraron que Persona realizó verificaciones de reconocimiento facial en listas de vigilancia y evaluó a los usuarios en listas de personas políticamente expuestas.
Los investigadores descubrieron que además de verificar la edad de un usuario, Persona realiza 269 comprobaciones diferentes, incluida la comprobación de “medios adversos” en 14 categorías diferentes, como terrorismo y espionaje. Luego asigna puntuaciones de riesgo y similitud a la información del usuario.
Y la información era de dominio público. “Ni siquiera tuvimos que escribir o ejecutar un solo exploit; toda la arquitectura estaba literalmente lista para usar”, escribieron los investigadores en una publicación de blog, y agregaron que encontraron 53 megabytes de datos en el punto final del Programa Federal de Gestión de Autorizaciones y Riesgos (FedRAMP) del gobierno, que también “etiqueta informes con nombres en clave de programas de inteligencia activos”.
Desde entonces, Discord ha anunciado que cortará lazos con Persona. El software de inteligencia artificial, financiado en parte por la firma de capital de riesgo Founders Fund del cofundador de Palantir, Peter Thiel, continúa brindando servicios de verificación de edad a OpenAI, Lime y Roblox.
Tanto Persona como Discord confirmaron a Fortune que su asociación duró menos de un mes y desde entonces se disolvió. Según Discord, solo un pequeño número de usuarios participó en esta prueba, los cuales pudieron conservar cualquier información proporcionada hasta siete días antes de que fuera eliminada.
Errores en la revisión de seguridad de Discord
Esta no es la primera vez que un proveedor externo es objeto de escrutinio por manejar mal información confidencial del usuario para Discord, que es popular entre jugadores, estudiantes, personas influyentes, técnicos y otras comunidades.
El año pasado, los piratas informáticos obtuvieron acceso a las identificaciones gubernamentales de más de 70.000 personas que cumplían con los requisitos de verificación de edad.
En una declaración del 9 de octubre de 2025, la compañía dijo que el ataque “no fue una violación de Discord, sino más bien una violación de un proveedor de servicios externo, 5CA”. Discord dijo que la infracción sólo afectó a los usuarios que se comunicaron con el servicio de atención al cliente o con los departamentos de confianza y seguridad de la empresa.
Y a principios de este mes, Discord enfrentó una reacción casi inmediata después de anunciar que todas las cuentas estarían configuradas con la configuración de seguridad para adolescentes de forma predeterminada. Los usuarios que deseen acceder a funciones adicionales deberán verificar su edad mediante Persona.
“La implementación de la configuración predeterminada para adolescentes a nivel mundial se basa en la arquitectura de seguridad existente de Discord”, dijo en un comunicado la jefa de política de producto de Discord, Savannah Badalich. La compañía “continuará trabajando con expertos en seguridad, formuladores de políticas y usuarios de Discord para respaldar un bienestar significativo y a largo plazo”.
Pero después de que los usuarios señalaran rápidamente la violación de datos de octubre, Discord modificó su declaración al día siguiente para aclarar que la verificación de edad seguiría siendo opcional a menos que los usuarios quisieran acceder a servidores y canales restringidos por edad.
Discord dijo que puede determinar la edad de la mayoría de los usuarios utilizando “información que ya tenemos”. La mayoría de los usuarios no tendrán que descargar identificaciones gubernamentales y en su lugar podrán optar por selfies en vídeo.
“Ofrecemos múltiples opciones de privacidad a través de socios confiables”, dice, y agrega que “el escaneo facial nunca sale de su dispositivo. Discord y nuestros socios proveedores nunca lo recibirán”.
Cualquier documento de identificación cargado en Discord se compartirá con proveedores de plataformas externos y se eliminará de inmediato. “En la mayoría de los casos, inmediatamente después de la verificación de edad”, dice el mensaje.
“Los identificadores sólo se utilizan para determinar su edad y luego se eliminan”, continuó. “Discord solo obtiene tu edad y eso es todo. Tu identidad nunca está vinculada a tu cuenta”.
Sin embargo, una versión eliminada de las preguntas frecuentes de Discord sobre las políticas de verificación de edad parece contradecir las declaraciones de la compañía sobre cuánto tiempo un proveedor externo almacena las identificaciones gubernamentales, en este caso Persona.
“Importante: si se encuentra en el Reino Unido, es posible que esté sujeto a un experimento en el que su información será procesada por el proveedor de garantía de edad Persona”, se lee en la versión archivada del sitio. “La información que envíe se almacenará temporalmente durante un máximo de 7 días y luego se eliminará. Al verificar su documento de identificación, todo se ve borroso excepto su foto y fecha de nacimiento, por lo que solo se utiliza lo que realmente se necesita para verificar su edad”.
La persona se vuelve personal.
El director ejecutivo y cofundador de Persona, Rick Song, dijo a Fortune que estos archivos no son una vulnerabilidad, sino información pública sobre la interfaz. “Lo que se descubrió fueron archivos front-end sin comprimir que ya están en los dispositivos de todos”, dijo, y agregó que la información está disponible en el centro de ayuda de la compañía y en la documentación API. “No creo que tener archivos sin comprimir en Internet sea algo bueno”, continuó Song, pero agregó que la información que encontró el investigador era una versión sin comprimir del mapa original comprimido de la compañía en Internet.
“Creo que este es uno de esos donde el contenido parece más aterrador, pero… internamente ni siquiera lo consideramos una vulnerabilidad grave”.
Son todavía considera que la asociación entre Persona y Discord es un éxito. “Creo que el producto ha funcionado increíblemente bien”, dijo el director ejecutivo a Fortune. “La razón por la que pudimos decir que todos los datos fueron redactados inmediatamente es porque los datos fueron redactados; ya fueron redactados durante el procesamiento. No eliminamos datos debido a la rescisión de un contrato. Se eliminan inmediatamente después de la verificación de identidad”.
Song niega cualquier vínculo con Palantir, ICE o el gobierno, pero dice que la empresa está sometida a la autorización de FedRAMP. “Estamos tratando de obtener FedRAMP, y el objetivo es que estemos haciendo un gran trabajo para garantizar la seguridad de la fuerza laboral”, que utiliza un conjunto de información completamente diferente para verificar que un empleado es quien dice ser en comparación con un usuario en una plataforma de redes sociales que verifica su edad.
En respuesta a 269 tipos de pruebas de detección, estas son todas las opciones que ofrece Persona, pero eso no significa necesariamente que un cliente las necesitará todas, dijo Song. Básicamente, las necesidades de verificación de edad de una plataforma de redes sociales no serán las mismas que las de un empleador que realiza una verificación de antecedentes.
Song también ha sido atacado por su falta de información de identificación personal en línea. El usuario X publicó una captura de pantalla del perfil del CEO de LinkedIn, que muestra a Song con una insignia verificada pero sin foto de perfil. Persona maneja las solicitudes de verificación de identidad de LinkedIn.
En respuesta, Song escribió: “Estoy verificado. Ese es el punto. Es distópico que queramos que las personas traten con todos ellos mismos, que sean reales en Internet. La ironía es que las personas que escriben sobre privacidad quieren que confronte a todos”.
