Discord rompe con la verificación ligada a Palantir tras la filtración de 70.000 DNI

La decisión de Discord llega en el peor momento posible para la confianza digital. Tras una filtración de hasta 70.000 documentos de identidad vinculada a un proveedor externo de verificación de edad, la compañía ultima un sistema global que exigirá, desde marzo, escaneos faciales o documentos oficiales para acceder a servidores y funciones restringidas a adultos.
En plena polémica, salió a la luz que parte de esas comprobaciones se estaban realizando a través de Persona, una firma de verificación de identidad financiada por el vehículo inversor de Peter Thiel, cofundador de la tecnológica de vigilancia Palantir.
Las críticas estallaron de inmediato: activistas y comunidades digitales denunciaron que uno de los espacios de conversación más utilizados por jóvenes en todo el mundo se apoyaba en una red de capital vinculada a la vigilancia masiva y a los operativos de inmigración más agresivos de Estados Unidos.
Discord insiste en que se trató de un “test limitado” ya concluido, pero el episodio revela hasta qué punto la batalla por proteger a los menores está abriendo la puerta a nuevas capas de recolección de datos a una escala sin precedentes.

Una ley británica que cambia las reglas del juego

El origen inmediato de este giro está en el Online Safety Act del Reino Unido, en vigor desde el pasado verano, que obliga a las grandes plataformas a impedir el acceso de menores a contenidos considerados dañinos. Desde entonces, servicios tan dispares como Reddit, Spotify o X (antes Twitter) han desplegado sistemas más agresivos de verificación, que van desde la subida de documentos oficiales hasta el uso de algoritmos biométricos capaces de estimar la edad por el rostro.

Discord, con más de 200 millones de usuarios activos mensuales en todo el mundo, se ha visto especialmente expuesta: su base de usuarios es joven, la conversación suele moverse en servidores semiprivados y una parte relevante del tráfico incluye comunidades de videojuegos, anime o contenido adulto.
A diferencia de redes más abiertas, aquí las fronteras entre “público” y “privado” son borrosas, lo que complica cualquier intento de cumplir la ley sin convertirse en un sistema de vigilancia total.

Lo más llamativo es que Discord ha decidido anticiparse a otras jurisdicciones, extendiendo a partir de marzo un modelo “teen by default” a escala global: cualquier usuario será tratado como menor hasta que demuestre lo contrario.
La consecuencia es clara: regulaciones nacionales concebidas para un país están redefiniendo, de facto, los estándares de privacidad del resto del planeta.

Del experimento con Persona al repliegue público

En ese contexto, varios usuarios británicos comenzaron a reportar en febrero que Discord les estaba pidiendo verificar su edad a través de Persona, una empresa de verificación de identidad nacida en 2018 y especializada en sistemas antifraude y detección de suplantación.
Las capturas de pantalla mostraban procesos típicos de “conozca a su cliente”: subida de documento oficial, selfie en tiempo real y análisis automatizado de coincidencia.

Persona no es un actor marginal. La compañía ya presta servicios a plataformas como Roblox y Reddit y fue una de las grandes beneficiadas por la ola regulatoria tras el OSA.
En 2021, alcanzó una valoración de 1.500 millones de dólares tras una ronda de 150 millones, liderada por el fondo de capital riesgo Founders Fund.

Ante la reacción de los usuarios, Discord publicó una nota para enfriar el debate: quienes se habían topado con el flujo de Persona formaban parte de “un experimento” acotado y los datos se eliminarían en siete días. La compañía asegura que ese test ha concluido y que su socio principal para verificación pasará a ser k-ID, especializado en soluciones de edad para menores.
Sin embargo, este repliegue deja varias preguntas sin respuesta: ¿quién diseñó los criterios de ese experimento, qué datos se intercambiaron exactamente y bajo qué base legal se procesaron?

Quién está detrás: el músculo financiero de Founders Fund

El foco de la controversia no está tanto en la tecnología de Persona como en quién financia su expansión. Uno de sus principales inversores es Founders Fund, el fondo creado a mediados de la década de 2000 y conocido por entrar temprano en gigantes como SpaceX, Airbnb u OpenAI.

Al frente de ese vehículo figura Peter Thiel, cofundador de PayPal y uno de los nombres más influyentes —y polémicos— del capital riesgo tecnológico.
Su apuesta por compañías de vigilancia, defensa y análisis masivo de datos, como Palantir, ha alimentado durante años la preocupación de organizaciones de derechos civiles.

Que el mismo entramado financiero que impulsa empresas de inteligencia para gobiernos y fuerzas de seguridad se sitúe ahora en el centro de la verificación de edad de plataformas masivas genera un evidente conflicto de percepciones. No se trata solo de quién ejecuta técnicamente el proceso, sino de qué modelo de negocios se consolida: uno en el que la identidad de millones de usuarios se convierte en un activo más dentro del ecosistema de datos.

La conexión con Founders Fund no implica, por sí sola, que Persona vaya a compartir información con Palantir o con otras participadas. Pero, en un entorno donde una sola filtración puede exponer a decenas de miles de personas, la tolerancia social al riesgo es cada vez menor.

Palantir, vigilancia masiva y el fantasma de ICE

Palantir, la compañía que Thiel ayudó a fundar en 2003, se ha especializado en plataformas de análisis de datos para inteligencia, defensa y fuerzas de seguridad, con contratos multimillonarios con agencias de Estados Unidos y otros gobiernos.
En los últimos meses, nuevas investigaciones han detallado hasta qué punto sus herramientas se han integrado en la operativa de Immigration and Customs Enforcement (ICE).

Informaciones de 404 Media y organizaciones de derechos humanos describen aplicaciones como ELITE (Enhanced Leads Identification & Targeting for Enforcement), capaz de combinar datos médicos, registros administrativos y bases de terceros para generar mapas de barrios “prioritarios”, expedientes detallados y “índices de confianza” sobre la dirección de posibles objetivos.
Otras revelaciones apuntan al uso de sistemas de inteligencia artificial de Palantir para clasificar millones de avisos enviados a líneas de denuncia de inmigración, automatizando parte de la selección de personas sobre las que se actúa.

Este historial explica por qué la idea de que la verificación de edad de Discord pueda apoyarse, directa o indirectamente, en empresas financiadas por el mismo círculo de inversores que alimenta esa infraestructura de vigilancia enciende todas las alarmas.
Aunque no existe evidencia pública de que los datos de Persona terminen en Palantir, el contexto de concentración de poder informativo es innegable: unas pocas firmas privadas controlan herramientas capaces de perfilar tanto a menores que quieren hablar con sus amigos como a migrantes perseguidos en redadas.

La herida abierta de los 70.000 documentos filtrados

La polémica llega cuando Discord aún no ha cerrado la cicatriz de su último gran incidente de seguridad. En octubre de 2025, una brecha en un proveedor de verificación de edad expuso alrededor de 70.000 fotos de documentos de identidad y otros datos personales de usuarios que habían enviado esa información como parte de recursos y apelaciones.

Según la investigación posterior, los atacantes accedieron no solo a imágenes de pasaportes y carnés, sino también a nombres, direcciones IP y comunicaciones con el servicio de soporte. Aunque no se filtraron números completos de tarjetas, expertos en ciberseguridad recordaron que una copia de un documento oficial puede bastar para abrir cuentas bancarias, contratar líneas móviles o cometer suplantaciones de identidad.

Discord ha cortado la colaboración con ese proveedor y asegura haber reforzado sus exigencias de seguridad. Sin embargo, organizaciones como la Electronic Frontier Foundation recuerdan que el problema no es solo cómo se custodian los datos, sino que se estén recopilando en primer lugar. “Cada nueva base de datos de identidad es otro objetivo de alto valor para atacantes, gobiernos y corporaciones”, advierten.

En este contexto, pedir a millones de usuarios que vuelvan a enviar DNI o se graben en vídeo para desbloquear funciones parece, como mínimo, una apuesta arriesgada para una empresa que aspira a salir a bolsa en Estados Unidos en los próximos meses.

Privacidad frente a protección del menor: el nuevo dilema digital

Discord sostiene que “la inmensa mayoría” de sus usuarios no tendrá que subir un documento ni someterse a un escaneo facial: solo aquellos sobre los que su nuevo modelo de “inferencia de edad” no sea capaz de estimar con una fiabilidad suficiente que son adultos.
Ese modelo utilizará metadatos de cuenta, patrones de uso y otra información de contexto —pero no el contenido de los mensajes, insiste la empresa— para clasificar a los perfiles.

El enfoque apunta a reducir el número de verificaciones manuales, pero abre otra caja de Pandora: sistemas opacos que asignan edades probables a millones de personas en función de su comportamiento, sin que los usuarios sepan exactamente qué señales se emplean ni cómo impugnar errores.
Si un algoritmo decide que alguien “parece” menor de 18 años, su experiencia quedará limitada a un entorno “teen” —sin canales NSFW, sin ciertas llamadas de voz, con mensajes filtrados— hasta que entregue más datos personales.

Los defensores de estos modelos subrayan que es la única manera de cumplir con obligaciones legales cada vez más estrictas que exigen verificar la edad de hasta el 100% de los usuarios. Las organizaciones de derechos digitales replican que la proporción de menores en muchas plataformas ronda el 20%-30%, mientras el coste en privacidad afectará al 100%. La asimetría, concluyen, es difícil de justificar.

El contraste con otras regiones y plataformas

Mientras el Reino Unido avanza con un marco duro de verificación, otros reguladores, especialmente en Europa continental, exploran fórmulas menos intrusivas, como auditorías de diseño, límites estrictos de recopilación de datos o controles parentales reforzados sin identificación masiva.
En paralelo, plataformas como Meta o Google han optado, de momento, por modelos híbridos: filtros de contenido basados en IA, autodeclaraciones de edad y, solo en casos concretos o en determinadas jurisdicciones, verificación documental.

El contraste con Discord resulta llamativo. La compañía, nacida como herramienta para ‘gamers’ y convertida en infraestructura básica de comunidades juveniles, ha elegido un modelo global de “adolescente por defecto” que afectará también a países donde no existe ningún mandato legal equivalente.
Ese exceso de celo regulatorio puede tener efectos secundarios: desde la fuga de comunidades enteras hacia alternativas más laxas —algo que ya se observa en organizaciones que anuncian su salida de la plataforma— hasta un efecto de normalización de prácticas de identificación que hace apenas cinco años habrían sido consideradas extremas para redes sociales generalistas.

Para los reguladores europeos, acostumbrados a sancionar a plataformas por recopilar datos de más, el caso plantea un dilema: ¿cómo encaja un sistema de verificación de identidad masivo con principios como la minimización de datos del RGPD? La respuesta todavía no está clara.