Una serie de incidentes recientes ha puesto a Discord en el centro del debate sobre ciberseguridad. Desde timos que manipulan la confianza de los usuarios hasta nuevas familias de malware que se ocultan tras su tráfico legítimo, la plataforma vuelve a ser objeto de interés para atacantes y analistas por igual.
El caso más sonado fue el de una creadora cripto, conocida como Princess Hypio, que perdió alrededor de 170.000 dólares en criptomonedas y NFT tras aceptar jugar con un supuesto amigo en Steam. Mientras ella se entretenía, el estafador se infiltró en su equipo y comprometió su Discord, una táctica que, según denuncias de la comunidad, lleva años circulando bajo el nombre de “Try my game”.
La estafa “prueba mi juego” se cuela en servidores
El patrón se repite: los atacantes se unen a un servidor de Discord, observan, toman nota de la dinámica y, cuando identifican un objetivo con criptoactivos o NFT, inician el acercamiento. Para ganarse la confianza, hacen preguntas y muestran interés en aquello que la víctima valora, como ocurrió con un NFT Milady que convirtió a la usuaria en blanco prioritario.
Tras esa fase de confianza, el siguiente paso es invitar a “probar un juego” y enviar un enlace que redirecciona a un servidor malicioso. El título puede ser legítimo, pero el alojamiento incluye un troyano que abre la puerta al robo de datos, claves y carteras conectadas. En el caso de Princess Hypio, el servidor de descarga era el elemento comprometido.
Este tipo de emboscada, que varios usuarios han reportado en foros especializados y Reddit, se ha vuelto más común, hasta el punto de que Discord ha reforzado su postura frente a prácticas engañosas y recuerda que promover estafas financieras viola sus términos de uso.
Expertos como Nick Percoco, responsable de seguridad en Kraken, subrayan que estos fraudes no se apoyan tanto en vulnerabilidades técnicas como en la confianza: los delincuentes imitan a amigos, crean urgencia y empujan a tomar decisiones precipitadas. La recomendación: “desconfía por defecto y verifica por otro canal”.
Inf0s3c Stealer: robo de datos a través de Discord
En paralelo a las campañas de ingeniería social, investigadores de Cyfirma han identificado Inf0s3c Stealer, un ladrón de información escrito en Python que ataca equipos Windows y exfiltra datos usando canales/webhooks de Discord. La combinación de técnicas clásicas de reconocimiento con canales modernos de comunicación le permite camuflarse con facilidad.
El ejecutable de 64 bits muestra un empaquetado doble: primero con UPX y después con PyInstaller, lo que dificulta las firmas y entorpece el análisis inverso. Con un tamaño aproximado de 6,8 MB y entropía elevada (en torno a 8), evidencia ofuscación intensa para eludir herramientas estáticas.
Al ejecutarse, reconstruye el bytecode incrustado y crea su espacio de trabajo bajo %TEMP%. Lanza comandos nativos como systeminfo y getmac, además de APIs del sistema (por ejemplo, para token e identidad del host), con el fin de perfilar hardware, clave de producto y parámetros de red.
Después recorre las carpetas de usuario (Escritorio, Documentos, Descargas, etc.) con listados jerárquicos y captura pantallas mediante GDI+; si el entorno lo permite, también intenta obtener imágenes de la webcam. Todo ello se ordena en directorios temáticos (System, Directories, Credentials) para su empaquetado final.
El golpe maestro llega al final: extrae credenciales de navegadores (cookies, autocompletado e historial), contraseñas de Wi-Fi y sesiones/tokens de apps como Discord, Telegram, monederos cripto y plataformas de juego (Steam, Epic, Roblox o Minecraft). A continuación, crea un RAR con contraseña (archivo tipo Blank-WDAGUtilityAccount.rar, clave “blank123”) y lo sube a través de un webhook de Discord etiquetado como “Blank Grabber”, mezclando el robo con tráfico HTTPS legítimo.
Persistencia y evasión dignas de un APT
Para permanecer en el sistema, Inf0s3c Stealer se copia en la carpeta de Inicio de Windows con extensión .scr (disfrazado de salvapantallas) mediante una rutina tipo PutInStartup, y puede apoyarse en funciones de seguridad del sistema para reducir fricción con UAC. Esta maniobra asegura su ejecución en cada arranque.
En evasión, realiza comprobaciones anti-VM y anti-depuración (p. ej., inspección de BIOS y temporización con QueryPerformanceFrequency), bloquea dominios de antivirus, incluye un modo “melt” para autodestruirse tras operar y un “pump stub” que infla el tamaño del binario para burlar heurísticas basadas en tamaño.
La exfiltración mediante la API de Discord evita la necesidad de un C2 tradicional: el archivo viaja como si fuera contenido ordinario, lo que reduce la visibilidad ante sistemas de monitorización que no inspeccionan adjuntos cifrados o fuera de listas de bloqueo.
Qué puedes hacer para blindarte
Ante campañas que explotan la confianza y la curiosidad, conviene extremar cautelas: desconfía de invitaciones a descargar “juegos” o ejecutables, confirma identidades por otro canal y recuerda que no hacer clic es una decisión válida si hay dudas.
- Implanta protección de endpoints basada en comportamiento capaz de desempaquetar PyInstaller y detectar uso anómalo de compresores (UPX, RAR).
- Aplica egress filtering para bloquear webhooks de Discord no autorizados y vigila adjuntos HTTP inusuales hacia dominios de la plataforma.
- Activa el logging de PowerShell y línea de comandos (systeminfo, getmac, tasklist, tree, etc.) y crea alertas sobre patrones de reconocimiento.
- Haz cumplir el principio de mínimo privilegio, audita cambios en Registro y carpeta de Inicio, y mantiene reglas YARA actualizadas (p. ej., de Cyfirma).
- Refuerza la segmentación de red, copias de seguridad fuera de línea y la formación frente a phishing e ingeniería social.
El panorama muestra dos frentes que convergen en la misma plataforma: engaños que persuaden a ejecutar software y un stealer moderno que usa las propias vías de Discord para sacar la información. Con hábitos prudentes, controles de salida y telemetría afinada, es posible reducir el impacto de estas campañas y complicar la vida a quienes tratan de convertir nuestras comunidades en su próximo botín.