Hace tres semanas, escribí aquí sobre cómo Instagram apagado silencioso cifrado de extremo a extremo mensajes directos. Al mismo tiempo, Discord va exactamente en la dirección opuesta en un nivel - a principios de marzo de 2026, completó una transición en la que había estado trabajando durante casi dos años, y el cifrado de extremo a extremo (E2EE) es ahora el estado por defecto para las llamadas de voz y vídeo soportadas en la plataforma. No es necesario activar nada, ni hay ningún interruptor oculto en los ajustes.
Pero al mismo tiempo, la discordia anunció un segundo movimiento que va en contra de Privacidad Usuarios: despliegue mundial de la verificación de la edad mediante datos biométricos o documentos de identidad. Y dado que menos de un año antes se filtraron fotos de DNI y pasaporte de decenas de miles de usuarios a través de sus proveedores, es un paso que es justo considerar con especial cuidado. Este texto trata, por tanto, de las dos caras de la Discordia al mismo tiempo, y de lo que nosotros, como usuarios, podemos aprender de ella.
Qué es la Discordia y a quién sirve
Discord se creó en 2015 como un chat de voz para jugadores que necesitaban hablar con baja latencia mientras jugaban. Pero hace tiempo que superó su nicho original de jugadores. En la actualidad, es una de las mayores plataformas de comunicación y comunidad del mundo: cuenta con unos 200 millones de usuarios activos mensuales, y más de la mitad de ellos ya no utilizan la plataforma principalmente para jugar. Encontrarás comunidades de aprendizaje, colectivos creativos, equipos de desarrollo y comunidades en torno a herramientas de IA.
La unidad básica son los servidores, espacios separados divididos en canales de texto y voz. Junto a ellos, funciona la comunicación privada clásica: mensajes directos y de grupo, llamadas de voz y vídeo, pantalla compartida y retransmisión en directo (Go Live). Las aplicaciones funcionan en ordenadores de sobremesa, móviles, navegadores web y videoconsolas, y es esta diversidad de dispositivos la clave para entender la nueva encriptación.
El protocolo DAVE y el funcionamiento del cifrado
Discord no construyó el cifrado sobre una solución ajena, sino sobre su propio protocolo DAVE (Discordia Audio y Vídeo Cifrado de extremo a extremo), que presentó en septiembre de 2024. En cuanto a la fiabilidad, considero esenciales tres cosas que la distinguen del típico „encriptamos, confía en nosotros“ corporativo:
- DAVE se libera como código abierto (biblioteca libdave), para que cualquiera pueda verificar su funcionamiento, y no sólo fiarse de su palabra.
- Diseño y aplicación auditoría externa empresa Trail of Bits y el protocolo está cubierto por un programa de recompensas por fallos.
- Utiliza un estándar moderno para la gestión de claves en grupos MLS (Messaging Layer Security, RFC 9420) en combinación con la tecnología WebRTC.
La mecánica está razonablemente diseñada. Las claves de cifrado son diferentes para cada llamada, y cambian cada vez que un participante se une o se desconecta - por lo que un recién llegado no puede descifrar lo que se dijo antes, y el que se va no podrá captar la continuación de la llamada. Técnicamente, Discord no puede acceder al contenido de las llamadas durante la transmisión entre los participantes. (Por supuesto, esto no significa que nadie pueda interceptar la llamada en absoluto: cualquiera de los participantes puede grabarla, compartirla en pantalla o utilizar un cliente personalizado. E2EE protege la ruta de extremo a extremo, no la fiabilidad de las personas y el software en cada extremo).
Además, para que el cifrado sea realmente omnipresente, Discord exige que el cliente admita el protocolo DAVE antes de conectarse a la llamada; los dispositivos que no lo admitan no se conectarán a la llamada y las rutas sin cifrar heredadas se irán eliminando gradualmente. Que la empresa se lo toma en serio lo demuestra un detalle de la integración con el navegador: en lugar de solucionar el problema con Firefox, ha trabajado con Mozilla para arreglarlo directamente en el código del navegador.
A partir de la primavera de 2026, DAVE se aplicará a las llamadas de voz y vídeo en conversaciones en directo y en grupo, a los canales de voz y a las emisiones Go Live. No se aplica a los mensajes de texto (más información a continuación). Las modalidades de audio/vídeo siguen exentas canales de escenario - un formato concebido para la radiodifusión pública destinada a audiencias más amplias, donde es difícil tolerar la codificación de extremo a extremo con moderación y audiencias dinámicas.
Donde la protección tiene límites
Es importante ser preciso aquí, porque es en los detalles donde reside el valor real de estas notificaciones, y la frase de marketing „lo ciframos todo“ sería engañosa.
Las llamadas se cifran, no los mensajes escritos. El cifrado de extremo a extremo se aplica a voz y vídeo. Los mensajes de texto en Discord no están encriptados, y la empresa dice que no tiene planes de hacerlo: sus funciones de texto se construyeron desde el principio sobre un principio no encriptado, y un cambio significaría una revisión importante de la arquitectura. Así pues, el contenido escrito sigue estando sujeto a moderación. Discord no es, por tanto, una herramienta adecuada para comunicaciones escritas sensibles, por muy seguras que sean las llamadas.
Metadatos permanecer. Como ya comenté en mi artículo sobre los metadatos frente al contenido de las comunicaciones, el cifrado protege Qué estás pensando, no. Que a con quién se dirá usted. Quién contactó con quién y cuándo, cuánto duró la llamada y desde qué dispositivo está fuera del alcance de E2EE. Para el usuario medio esto es aceptable, para un uso más sensible es bueno tenerlo en cuenta.
Sin embargo, incluso con estas salvedades, Discord figura entre las plataformas convencionales más seguras en cuanto a voz y vídeo, en un momento en que varios servicios de la competencia van en dirección contraria.
La otra cara: la verificación global de la edad
La segunda noticia, anunciada por Discord a principios de febrero de 2026, va en contra de la privacidad de los usuarios. La plataforma está introduciendo gradualmente verificación global de la edad (garantía de edad). Ahora, todas las cuentas empiezan en modo „adolescente por defecto“, con funciones más limitadas y contenidos filtrados; los usuarios que quieran tener acceso completo a determinadas áreas o ajustes deben demostrar su edad. Tras una oleada de críticas, Discord retrasó el despliegue hasta la segunda mitad de 2026, pero no ha abandonado el principio.
Existen básicamente tres opciones de verificación. Escaneado facial para estimar la edad del vídeo selfie, que, según Discord, se supone que tiene lugar exclusivamente en el dispositivo del usuario: sólo la información sobre el grupo de edad debe llegar al servidor, no la imagen facial. Cargar un documento nacional de identidad a través de un proveedor externo (globalmente k-ID, en el Reino Unido Persona), que Discord dice que debe eliminar el documento poco después de la verificación. Y luego en segundo plano se ejecuta modelo automático, que, según Discord, intenta estimar la edad a partir de la antigüedad de la cuenta, el dispositivo y otros datos operativos -según la empresa, sólo una minoría de usuarios superará el proceso de verificación manual, mientras que la mayoría ni siquiera notará el resto del proceso.
Desde el punto de vista del marketing, parece una buena idea. Sin embargo, desde el punto de vista de la privacidad, todo el entramado tiene algunos puntos débiles fundamentales que es necesario nombrar en su totalidad.
Ninguna de esas garantías es verificable externamente. Que el escáner facial no sale realmente del dispositivo, que el proveedor borra realmente el documento, que la empresa no obtiene más que un grupo de edad... todo esto sólo lo saben hoy Discord y sus socios. El cliente de Discord no es de código abierto, las auditorías de proveedores son limitadas, no hay sobre la mesa esquemas públicamente verificables para atestiguar que una imagen facial no se está filtrando a ninguna parte. Es el clásico modelo de „confía en nosotros“, contra el que a su vez se define DAVE para las llamadas.
El riesgo es demostrable, no sólo teórico. En octubre de 2025 Discord admitió que a través de su proveedor de atención al cliente 5CA datos filtrados de los usuarios que se han puesto en contacto con el servicio de asistencia en el pasado, y durante unos 70 mil de ellos Según la información disponible, se trataba también de fotografías de los documentos nacionales de identidad, que tuvieron que aportar al recurrir la verificación de la edad anterior. Algunos análisis posteriores hablan de cifras aún mayores. Los atacantes accedieron a los datos a través de una cuenta comprometida de un agente de soporte -no por medios técnicos, sino por ingeniería social- y luego exigieron un rescate a Discord. Este es un momento clave para comprender la naturaleza del problema: no la propia Discord, sino su proveedor fue el punto de inflexión. El mismo modelo en el que se basa toda la nueva verificación.
„Eliminado inmediatamente después de la verificación“ no es lo mismo que „no creado“. Aunque el nuevo sistema traslada la autenticación a proveedores especializados como k-ID y Persona, el documento debe llegar primero a ellos. El trayecto desde el móvil del usuario hasta el proveedor, la estancia del usuario en su infraestructura (por breve que sea) y la propia gestión de los permisos de acceso siguen siendo espacios en los que pueden filtrarse datos. Y las credenciales, a diferencia de las contraseñas, no pueden rotarse.
El voluntarismo es una verdad a medias. Discord está cumpliendo parte del despliegue por obligación legal (UK Online Safety Act, leyes australianas, pronto Brasil). Pero el despliegue global en adelante es decisión propia y se adelanta a la regulación en muchas jurisdicciones. Lo llamó acertadamente en enero EFFDiscord introduce la verificación obligatoria de la edad voluntariamente, por encima y más allá de la llamada del deber - a pesar de la nueva experiencia de lo frágiles que son los datos de identidad en manos de las plataformas y sus proveedores.
Y, por último, la eliminación. 15 millones de adultos estadounidenses no tienen carné de conducir. En la República Checa y en Europa en general, las cosas van mejor con la posesión del carné de identidad, pero aun así: cada paso obligatorio de identificación excluye de la participación anónima a las personas que no quieren o no pueden identificarse. Se trata de una decisión política, no de un detalle técnico.
En resumidas cuentas: en el caso de las llamadas, Discord ha hecho avanzar la privacidad de forma significativa; en el de las identidades de usuario, la ha hecho retroceder. Que la misma empresa haga ambas cosas casi al mismo tiempo habla de las presiones a las que se ven sometidas las grandes plataformas hoy en día, y de que la privacidad no es un elemento aislado de la configuración, sino el resultado de muchas decisiones distintas.
¿Utilizable como alternativa a otras plataformas?
Depende de lo que esperes de la herramienta, y no hay una respuesta universal.
Para comunidades y comunicación de voz o vídeo en grupo Discord es difícil de sustituir: la combinación de baja latencia, compatibilidad entre dispositivos y, ahora, cifrado de llamadas de extremo a extremo, lo convierten en una opción sólida para grupos de estudio, clubes, partidas o equipos informales. En esta función, el nuevo cifrado se acerca al nivel que ofrecen los servicios dedicados.
Para máxima comunicación de texto privada pero no se puede recomendar y es mejor optar por una herramienta con E2EE completo incluso para mensajes - típicamente Señal, donde los mensajes de texto y las llamadas están encriptados, o WhatsApp, que encripta mensajes y llamadas por defecto. (También es justo: los metadatos tampoco desaparecen: números de teléfono, marcas de tiempo, enlaces de contacto siguen siendo visibles para el operador. El anonimato total no lo da ninguna de estas herramientas por sí sola). Telegrama, a pesar de su reputación, sólo cifra los „chats secretos“, no las conversaciones normales. En compromiso empresarial Con un énfasis en la gestión de usuarios, la integración y la auditabilidad, plataformas como Slack o Microsoft Teams tienen más sentido, aunque éstas no suelen ofrecer E2EE completo por defecto para todas las comunicaciones. Y para los actores o comunidades que desean un control total sobre la infraestructura y evitar la capa de identidad, las soluciones autoalojadas como Mumble, TeamSpeak o plataforma abierta Revuelta, que también es promovido por un post compartido de Reddit, que me llevó a esta actualización.
En otras palabras: Discord no es un sustituto para „todo“. Es un sustituto muy bueno en lo que respecta a la comunicación en grupo en directo, un sustituto pobre en lo que respecta a la privacidad escrita - y, a partir de 2026, en lo que respecta a que los usuarios se sientan incómodos con cualquier forma de prueba obligatoria de edad o identidad.
Lo que hay que aprender
Discord es un claro ejemplo en 2026 de que la privacidad en las grandes plataformas no es un interruptor, sino la suma de muchas decisiones que pueden ir en distintas direcciones al mismo tiempo. En el plano de las conversaciones, Discord ha hecho exactamente lo que debía hacer: poner el cifrado de extremo a extremo como estado por defecto, ...lo construyó sobre un protocolo abierto y auditado y fue en contra de la tendencia marcada por algunos competidores. Eso merece un reconocimiento sin ironías.
Pero en lo que respecta a la identidad de los usuarios, es al revés. La verificación global de la edad, basada en la biometría y en documentos procesados por terceros, es un riesgo en sí mismo y, en el contexto de la filtración de octubre de 2025, sigue siéndolo incluso con la retórica de „sólo está en el dispositivo“ y „bórralo ahora“. Aquí no hay nada controlable. Al usuario sólo le queda confiar en el operador, sus proveedores y sus procesos. Este es exactamente el modelo contra el que se define elegantemente DAVE para las llamadas.
Por lo tanto, la conclusión práctica es un poco desagradable y no se puede concluir en una frase. Para la comunicación y las llamadas de grupo ordinarias, Discord sigue siendo utilizable después de 2026 y, en algunos aspectos, incluso por encima de la media. Pero para las personas que rechazan el principio de identificación obligatoria para una plataforma de comunicación privada - y yo soy uno de ellos - ahora hay razones para reconsiderar esta elección. Y para todos los demás, vale lo que repito aquí en cada artículo de este tipo: una sección en un anuncio de marketing no basta para hacerse una idea de una plataforma. La privacidad se juzga por el conjunto, no por los titulares.
La información y las calificaciones de este artículo se basan en fuentes públicas disponibles en la fecha de publicación y están sujetas a cambios con el tiempo. Recomendamos comprobar el estado actual de las aplicaciones individuales directamente con sus operadores antes de tomar una decisión.
Čeština
English
Deutsch
Español
Français