Para millones de jugadores, Steam no es solo una tienda digital, sino un punto de encuentro, un repositorio de recuerdos y logros acumulados a lo largo de años. Las credenciales de una cuenta de Steam, típicamente compuestas por un nombre de usuario y una contraseña, son la llave de acceso a este vasto universo digital, permitiendo a los usuarios gestionar su biblioteca de juegos, acceder a datos de pago guardados y disfrutar de las funciones sociales de la plataforma.
Sin embargo, como cualquier fortaleza digital, su seguridad nunca es absoluta. Recientemente, se ha revelado un incidente significativo que subraya la vulnerabilidad de estas credenciales.
Una Brecha de Seguridad Masiva: Credenciales de Steam en la Dark Web
Mal asunto para los usuarios de Steam. Datos de más de 89 millones de usuarios de Steam han aparecido en la dark web, lo que representa casi el 70% de la base total de usuarios activos de la plataforma. Este conjunto de datos con información sensible se vende por solo 5.000 dólares en la dark web, todo un chollo para los cibercriminales y un dolor de cabeza para los afectados, según ha destapado XDA Developers. Fue la empresa Underdark AI quien dio la voz de alarma tras detectar esta venta de credenciales en la dark web.
Origen del Problema: Un Proveedor Externo Compromiso
El origen del problema parece estar relacionado con un proveedor externo de autenticación de dos factores (2FA) que Valve utilizó para gestionar las verificaciones de identidad en su plataforma. Aunque no se ha confirmado que los servidores principales de Steam hayan sido comprometidos, el uso de terceros para manejar servicios críticos como el envío de mensajes de 2FA podría haber sido el punto débil que permitió esta filtración. Según las primeras investigaciones, el agujero no está en los propios servidores de Valve (dueña de Steam) ni en Twilio, que inicialmente sonó como posible fuente. La compañía ha negado cualquier vínculo con Twilio en este asunto, lo que apunta a que algún proveedor externo podría haber metido la pata hasta el fondo.
Datos Comprometidos
Los datos comprometidos incluyen, según las mismas fuentes, nombres de usuario, contraseñas, registros de SMS de autenticación de dos factores y correos electrónicos. La situación pone en jaque a millones de jugadores que guardan en Steam desde sus tarjetas de crédito hasta colecciones de juegos que, en algunos casos, valen miles de euros.
Los Riesgos Inminentes para los Usuarios
Para los usuarios, el riesgo es significativo. La exposición de estas credenciales abre la puerta a múltiples formas de ataque y explotación.
Acceso a Cuentas y Reutilización de Credenciales
Esto podría permitir a los atacantes no solo acceder a cuentas de Steam, sino también intentar reutilizar estas credenciales en otros servicios donde los usuarios hayan usado las mismas combinaciones de usuario y contraseña, una práctica tristemente común. Si no tienes activado Steam Guard, estás en serios apuros. Cualquiera con las credenciales filtradas podría acceder a tu cuenta como Pedro por su casa y llevarse todo lo que encuentra: desde tus juegos hasta los datos de pago guardados.
Evasión de la Autenticación de Dos Factores (2FA)
Incluso si los usuarios no reutilizan contraseñas, el acceso a los registros de 2FA podría permitir a los atacantes eludir una de las capas más importantes de protección de cuentas.
Phishing Dirigido y Robo de Cuentas para Reventa
El mayor peligro no es solo que te roben la cuenta, sino el phishing. Imagina recibir un correo perfectamente personalizado, con tu nombre y detalles que solo Steam conoce. Hasta el más espabilado podría picar ante semejante nivel de personalización. Y no olvidemos el mercadillo de cuentas robadas. Muchos gamers tienen bibliotecas repletas de juegos y objetos raros que valen una fortuna. Los ladrones lo saben y han montado todo un negocio alrededor de la reventa de estas cuentas.
Videojuego es usado para robar datos, advierte empresa de seguridad
Medidas de Protección Urgentes y Recomendaciones
Por eso, se recomienda a todos los usuarios de Steam que tomen medidas de seguridad de inmediato.
- Activar Steam Guard: Es vital activar Steam Guard si aún no lo has hecho.
- Cambiar Contraseñas: Cambia tus contraseñas de inmediato y evita usar las mismas credenciales en múltiples servicios.
- Ignorar Enlaces Sospechosos: Mantente alerta ante correos electrónicos o mensajes que soliciten tus credenciales o te dirijan a sitios web externos.
- Revisar Actividad Reciente: Revisa regularmente la actividad reciente de tu cuenta para detectar accesos extraños.
El Silencio de Valve y la Lección de Ciberseguridad
Valve, hasta el momento, no ha emitido un comunicado oficial sobre esta brecha, más allá de desvincularse de Twilio. Este silencio oficial tras la filtración no ayuda a calmar los ánimos entre los usuarios, que empiezan a preguntarse si pueden seguir confiando en la plataforma. Es probable que la compañía esté investigando el alcance del incidente y trabajando para identificar al proveedor comprometido.
Este caso podría servir como un recordatorio más de que, en un mundo cada vez más conectado, la cadena de suministros es un elemento crítico en la ciberseguridad. La privacidad parece haberse convertido en artículo de lujo.
El Valor de los Datos en la Dark Web
Los 5.000 dólares que piden por estos datos son calderilla. Sale a menos de un céntimo por cuenta, lo que hace pensar que parte de los datos están obsoletos. Pero ojo, incluso información antigua puede ser oro para los ciberdelincuentes, como vimos tras la exposición de 3.800 millones de correos y contraseñas por DarkBeam en 2023. No es la primera vez que vemos algo así; en agosto, vimos cómo la filtración de 2.900 millones de registros de National Public Data se vendió por 3,5 millones, y en enero, una brecha en Gravy Analytics dejó al descubierto ubicaciones de usuarios de aplicaciones. Casos similares abundan, como en 2023, cuando un error de Microsoft filtró 38 TB de información interna mientras entrenaba modelos de IA, lo que hace que estos 89 millones de Steam parezcan poca cosa en comparación, pero no menos peligrosos para los afectados.