La brecha de datos de Discord que expuso imágenes de ID gubernamentales ha provocado un escrutinio renovado de los sistemas de verificación centralizados, con varios expertos de la industria señalando las pruebas de conocimiento cero (ZKPs) como una alternativa viable para almacenar datos de identidad sensibles.
La compañía confirmó que un actor no autorizado accedió a los sistemas de un proveedor de servicios al cliente de terceros, exponiendo datos de un número limitado de usuarios, informó The Guardian.
Entre la información comprometida se encontraban nombres de usuario, correos electrónicos, detalles de facturación, direcciones IP, y en algunos casos, imágenes de documentos de identificación gubernamentales como pasaportes y licencias de conducir enviadas para la verificación de edad.
Discord dijo que revocó el acceso del proveedor y contactó a las fuerzas del orden tras el incidente.
Las figuras de la industria dicen que la brecha revela un problema más amplio en cómo las plataformas en línea manejan la verificación de identidad, uno arraigado en la práctica de recolectar y almacenar documentos personales.
Hablando con Yellow.com, Varun Kabra, Director de Crecimiento de Concordium, señaló que tales riesgos pueden reducirse significativamente cuando las plataformas evitan almacenar información sensible por completo.
Explicó que los sistemas de pruebas de conocimiento cero permiten la verificación de atributos del usuario, como la edad o la jurisdicción, sin requerir que las plataformas accedan o retengan documentos de identificación.
"Los usuarios mantienen credenciales encriptadas en sus carteras locales, mientras que los proveedores de identidad certificados mantienen copias seguras para el cumplimiento," dijo Kabra. "Si Discord hubiera usado credenciales ZK para la verificación de edad en lugar de almacenar escaneos de ID, la brecha reciente no habría expuesto ningún dato de identificación personal."
Arthur Firstov, Director de Negocios en Mercuryo, dijo que el caso de Discord ilustra cómo las bases de datos centrales siguen siendo objetivos atractivos para los atacantes.
"Una vez que la información sensible se encuentra en una base de datos, se convierte en un objetivo," dijo, añadiendo que los ZKPs ofrecen un camino para prevenir esto al permitir la verificación sin recopilación de detalles personales.
"Con ZKPs, una plataforma podría confirmar que alguien cumple con ciertos requisitos, pero los datos reales nunca abandonan el control del usuario. Eso significa que no hay nada valioso que robar desde el principio."
Para muchos defensores de la privacidad y profesionales de la seguridad, la brecha también refuerza la necesidad de reconstruir la confianza digital mediante sistemas de verificación que prioricen la privacidad.
Firstov añadió que un uso más amplio de la tecnología de conocimiento cero podría ayudar a lograr eso.
"La privacidad es lo que da a las personas y empresas la confianza para interactuar en línea, y la tecnología de conocimiento cero lo permite probando la confianza sin revelar información," dijo.
Wes Kaplan, CEO de G-Knot, dijo que la brecha ejemplifica una debilidad predecible en el panorama de las identidades digitales.
"Recolectar datos sensibles centralizados es una responsabilidad," dijo.
Kaplan señaló que si el proceso de verificación de edad de Discord hubiera dependido de atestaciones criptográficas en lugar de cargas de documentos, no habría habido una base de datos explotable de IDs personales.
"Para las plataformas de uso amplio, la transición a la verificación de identidad habilitada por ZK ya no es teórica; está volviéndose necesaria," añadió. "En un mundo donde las brechas de datos son inevitables, la única defensa real es hacer que la identidad sea inrobable."
Discord, que tiene más de 200 millones de usuarios activos mensuales, ha estado utilizando herramientas de aseguramiento de edad facial en mercados como el Reino Unido y Australia.
Bajo las regulaciones próximas de redes sociales para menores de 16 de Australia, se espera que las plataformas ofrezcan múltiples opciones de verificación de edad y procesos de apelación.
Pero los expertos dicen que, a menos que la industria se aleje por completo de los sistemas de verificación basados en documentos, brechas de este tipo continuarán exponiendo a los usuarios a riesgos innecesarios.