La filtración de datos de Discord que expuso imágenes de identificaciones gubernamentales ha provocado un escrutinio renovado de los sistemas de verificación centralizada, con varios expertos de la industria señalando las pruebas de conocimiento cero (ZKPs) como una alternativa viable para almacenar datos de identidad sensibles.
La empresa confirmó que un actor no autorizado obtuvo acceso a los sistemas de un proveedor de servicios al cliente de terceros, exponiendo los datos de un número limitado de usuarios, informó The Guardian.
Entre la información comprometida se encontraban nombres de usuario, correos electrónicos, detalles de facturación, direcciones IP y, en algunos casos, imágenes de identificaciones gubernamentales como pasaportes y licencias de conducir enviadas para verificación de edad.
Discord dijo que revocó el acceso del proveedor y entabló contacto con las fuerzas del orden tras el incidente.
Figuras de la industria sostienen que la brecha revela un problema más amplio sobre cómo las plataformas en línea manejan la verificación de identidad, uno arraigado en la práctica de recolectar y almacenar documentos personales.
Hablando con Yellow.com, Varun Kabra, Director de Crecimiento de Concordium, señaló que dichos riesgos pueden reducirse significativamente cuando las plataformas evitan almacenar información sensible por completo.
Explicó que los sistemas de prueba de conocimiento cero permiten la verificación de atributos del usuario, como edad o jurisdicción, sin requerir que las plataformas accedan o retengan documentos de identificación.
“Los usuarios mantienen credenciales cifradas en sus billeteras locales, mientras que los proveedores de identidad certificados guardan copias seguras para el cumplimiento,” dijo Kabra. “Si Discord hubiera utilizado credenciales ZK para la verificación de edad en lugar de almacenar escaneos de identificaciones, la reciente brecha no habría expuesto datos de identificación personal.”
Arthur Firstov, Director de Negocios de Mercuryo, comentó que el caso de Discord ilustra cómo las bases de datos centrales continúan siendo objetivos atractivos para los atacantes.
“Una vez que se guarda información sensible en una base de datos, se convierte en un objetivo,” dijo, añadiendo que las ZKPs ofrecen un camino para prevenir esto al permitir la verificación sin la recopilación de detalles personales.
“Con las ZKPs, una plataforma podría confirmar que alguien cumple ciertos requisitos, pero los datos reales nunca salen del control del usuario. Eso significa que no hay nada valioso que robar en primer lugar.”
Para muchos defensores de la privacidad y profesionales de la seguridad, la brecha también refuerza la necesidad de reconstruir la confianza digital a través de sistemas de verificación centrados en la privacidad.
Firstov agregó que el uso más amplio de la tecnología de conocimiento cero podría ayudar a lograr eso.
“La privacidad es lo que da a las personas y negocios la confianza para interactuar en línea, y la tecnología de conocimiento cero lo habilita al probar la confianza sin revelar información,” dijo.
Wes Kaplan, CEO de G-Knot, dijo que la brecha ejemplifica una debilidad predecible en el paisaje de identidad digital.
“Recolectar datos sensibles y centralizados es una responsabilidad,” dijo.
Kaplan señaló que si el proceso de verificación de edad de Discord hubiera dependido de atestaciones criptográficas en lugar de cargas de documentos, no habría habido una base de datos de identificaciones personales explotable.
“Para plataformas ampliamente utilizadas, la transición a verificación de identidad activada por ZK ya no es teórica; se está volviendo necesaria,” añadió. “En un mundo donde las filtraciones de datos son inevitables, la única defensa real es hacer que la identidad no pueda ser robada.”
Discord, que cuenta con más de 200 millones de usuarios activos mensuales, ha estado utilizando herramientas de aseguramiento de edad facial en mercados como el Reino Unido y Australia.
Bajo las próximas regulaciones de redes sociales para menores de 16 años de Australia, se espera que las plataformas ofrezcan múltiples opciones de verificación de edad y procesos de apelación.
Pero expertos dicen que a menos que la industria se aleje por completo de los sistemas de verificación basados en documentos, las brechas de este tipo continuarán exponiendo a los usuarios a riesgos innecesarios.