Conclusión crítica
Steam miente descaradamente, encubre a los delincuentes y obstaculiza la investigación.
Introducción: Un delito de negligencia deliberada
En agosto de 2025, la mayor plataforma de videojuegos del mundo, Steam, no solo sufrió una brecha de seguridad, sino que la provocó deliberadamente. A través de una serie de fallos sistémicos y de una negligencia grave, Valve permitió que el juego BlockBlasters (AppID 3872350) para convertirse en un troyano al servicio de una devastadora campaña de malware. No se trató de un ataque sofisticado e inevitable. Fue una operación de robo de datos de manual que tuvo éxito porque la seguridad de Steam presenta fallos fundamentales. Durante 22 días, se sustrajeron cientos de miles de dólares, se vaciaron carteras de criptomonedas y se comprometieron cuentas de usuario, mientras Valve no hacía nada al respecto.
Cuando salió a la luz la verdad, la respuesta de Valve no fue proteger a sus usuarios, sino proteger su imagen. La empresa emitió un único comunicado engañoso en el que culpaba a una «cuenta de desarrollador comprometida», una patética mentira diseñada para desviar la culpa y eludir su responsabilidad. Este artículo desmontará esa mentira. Utilizando datos forenses, análisis cronológicos y las propias políticas de Valve, demostraremos que este incidente no fue solo una falta de actuación, sino un encubrimiento deliberado de negligencia criminal.
Identidad al descubierto
Steam miente descaradamente y oculta a Valentin Lopes, el desarrollador verificado responsable de la aplicación maliciosa.
Los 22 días de inacción
Valve tuvo 22 días para poner fin a esto. Las denuncias de los usuarios no dejaban de llegar y los datos de la plataforma mostraban claros indicios de problemas. Su silencio fue una decisión deliberada.
Se lanza BlockBlasters. Una versión limpia y legítima ha sido aprobada por el proceso de verificación de Steam.
La trampa está tendida. Los atacantes lanzan la actualización Patch Build 19799326. Esta actualización, que contiene el código malicioso, es aprobada por Steam y distribuida a todos los jugadores.
Las primeras víctimas dan la voz de alarma. Los usuarios inundan el servicio de asistencia de Steam con tickets en los que denuncian un uso anómalo de la CPU, tráfico de red sospechoso y, lo más grave de todo, el robo de criptomonedas. Estos tickets caen en un agujero negro, ignorados por Valve.
Los datos lanzan una señal de alarma. La telemetría pública de SteamDB muestra que el número de jugadores se ha reducido a una sola cifra, pero el juego sigue instalado en cientos de equipos, filtrando datos de forma silenciosa. Esta enorme discrepancia es una señal de alarma que cualquier sistema de supervisión competente debería haber detectado.
La comunidad entra en acción. Unos investigadores de seguridad independientes sacan a la luz la infraestructura de mando y control del malware basada en Telegram, lo que obliga a los hackers a actuar.
Las pruebas son irrefutables. G DATA CyberDefense AG publica un informe forense completo en el que se confirma el vector de ataque en varias fases del malware y se revelan los detalles técnicos de la filtración.
La anatomía del ataque
No se trataba de un malware de última generación. Era una mezcla rudimentaria, pero eficaz, de scripts comunes y programas de robo de datos que debería haber sido muy fácil de detectar para una plataforma valorada en miles de millones de dólares.
Fase 1: Infiltración inicial (game2.bat)
La carga útil inicial, un sencillo script por lotes, llevó a cabo un reconocimiento básico: recopiló direcciones IP, datos de geolocalización y datos de los usuarios de Steam. A continuación, descargó un archivo ZIP protegido con contraseña (v1.zip), una técnica clásica para eludir los escáneres automáticos poco sofisticados.
Fase 2: Evasión y escalada (cargadores VBS)
Mediante scripts VBS, el malware ejecutaba sus componentes principales en ventanas de comandos ocultas. Añadía su propio directorio a la lista de exclusiones de Microsoft Defender, una acción que debería activar una alerta inmediata de alta prioridad en cualquier sistema supervisado.
Fase 3: Robo de datos (Client-built2.exe y Block1.exe)
Una vez desactivadas las defensas, el malware desplegó sus cargas útiles principales: una puerta trasera basada en Python para obtener acceso persistente y una variante del ladrón de información StealC. Se centró en los datos del navegador, los tokens de sesión y, lo más importante, los monederos de criptomonedas de Chrome, Edge y Brave. Todos los datos robados se canalizaron hacia dos servidores de comando y control a través de tráfico HTTP no cifrado. Los indicadores de compromiso (IOC) del ladrón de criptomonedas confirmaron que Steam era un vector de distribución de malware para operaciones de robo organizadas.
Confianza traicionada
Fue precisamente su certificado de confianza y su despreocupación lo que provocó las decenas de robos que han encubierto. Esto constituye un ataque clásico a la cadena de suministro que se aprovecha de la confianza depositada en la plataforma a gran escala.
Indicadores de compromiso (IoC)
| Archivo | Algoritmo de hash seguro 256 | Clasificación |
|---|---|---|
game2.bat | aa1a1328e0d0042d071bca13ff9a13116d8f3cf77e6e9769293e2b144c9b73b3 | BAT.Trojan-Stealer.StimBlaster.F |
launch1.vbs | c3404f768f436924e954e48d35c27a9d44c02b7a346096929a1b26a1693b20b3 | Script.Malware.BatchRunner.A@ioc |
test.vbs | b2f84d595e8abf3b7aa744c737cacc2cc34c9afd6e7167e55369161bc5372a9b | Script.Malware.BatchRunner.A@ioc |
Client-built2.exe | 17c3d4c216b2cde74b143bfc2f0c73279f2a007f627e3a764036baf272b4971a | Win64.Backdoor.StimBlaster.L6WGC3 |
Block1.exe | 59f80ca5386ed29eda3efb01a92fa31fb7b73168e84456ac06f88fdb4cd82e9e | Win32.Trojan-Stealer.StealC.RSZPXF |
Desmontando la mentira: lo de la «cuenta pirateada» es una auténtica tontería
El encubrimiento al descubierto
Steam miente y ayuda a las víctimas, mientras que su empresa supervisa a los desarrolladores y otorga el máximo certificado de confianza a sus contenidos.
Llamemos a la excusa de Valve sobre el «desarrollador hackeado» por lo que es: una mentira patética y fácil de desmentir. Es un insulto a la inteligencia de sus usuarios, una historia inventada para protegerlos de las consecuencias de su propia negligencia. Toda esta fantasía se desmorona en cuanto se analizan los propios procedimientos obligatorios de Steam.
- El «muro de los 100 dólares» y la verificación de identidad: Para publicar en Steam, todos los desarrolladores deben pasar por el programa Steam Direct. Esto implica pagar una cuota de 100 dólares y completar un proceso de «Conoce a tu cliente» (KYC), en el que hay que facilitar los nombres legales, la información bancaria y los documentos fiscales. El autor no era un fantasma anónimo; Valve tenía su identidad verificada y sus datos financieros en sus archivos. Esto convierte su inacción en una decisión consciente de proteger a un socio verificado en detrimento de sus propios usuarios.
- El mito del apagón de 22 días: Steamworks ofrece a los desarrolladores herramientas fiables para proteger sus cuentas. Un desarrollador legítimo que haya perdido el control podría presentar un ticket por «pérdida de acceso a las credenciales de editor». Este proceso está diseñado para ser rápido, bloqueando los derechos de publicación y las compilaciones en cuestión de horas, no de semanas. La idea de que un desarrollador pueda quedarse bloqueado durante más de 20 días mientras su juego distribuye malware es absurda. Implica uno de dos escenarios, ambos incriminatorios para Valve: o bien el desarrollador era cómplice, o bien Valve ignoró sus frenéticos tickets de soporte, además de las docenas de quejas de los usuarios.
- Desatención sistemática de las quejas de los usuarios: Decenas de usuarios presentaron informes detallados sobre robos de dinero, comportamiento de malware y cuentas comprometidas. No se trataba de quejas vagas, sino de información útil para actuar. Un sistema de asistencia competente habría detectado estos casos, habría elevado el asunto a un nivel superior y habría bloqueado la página de la aplicación en espera de una investigación en un plazo de 24 horas. El hecho de que Valve no lo hiciera durante 22 días no es un descuido, sino una política de ignorancia deliberada.
El engaño fundamental: la manipulación de una escena del crimen digital
Es aquí donde el encubrimiento de Valve pasa de ser una simple negligencia a lo que solo puede describirse como alteración de una escena del crimen digital. Que quede claro: Valve no ha retirado el juego infectado.
Las pruebas forenses y los análisis realizados por los investigadores de seguridad que rastreaban la infraestructura C2 lo confirman de manera inequívoca: fueron los propios delincuentes quienes eliminaron sus versiones maliciosas de los servidores de Steam. Lo hicieron el 21 de septiembre, solo después de que su grupo de control de Telegram quedara al descubierto públicamente. Llevaron a cabo una retirada de «tierra quemada», destruyendo las pruebas para borrar sus huellas.
La afirmación de Valve de que tomó medidas es una mentira descarada. Al esperar a que los atacantes borraran sus propias huellas antes de intervenir para eliminar la página de la tienda, Valve permitió, en la práctica, que se destruyeran las pruebas principales. No se trató de un intento de minimizar los daños, sino de una obstrucción. No estaban protegiendo a los usuarios, sino a sí mismos, asegurándose de que la escena del crimen quedara limpia.
El coste humano de la indiferencia empresarial
La negligencia de Valve tuvo consecuencias en el mundo real, de las que no ha asumido ninguna responsabilidad.
- Ruina financiera: Se robaron más de 150 000 dólares estadounidenses (parece que superan el millón de dólares). Para muchos, se trataba de una cantidad de dinero que les habría cambiado la vida. Un streamer perdió 32 000 dólares durante una retransmisión benéfica en directo destinada al tratamiento del cáncer.
- Abuso de confianza: Cientos de usuarios sufrieron el robo de sus datos, el acceso no autorizado a sus cuentas y la infección de sus sistemas.
- Silencio absoluto: Hasta la fecha, Valve no ha ofrecido ningún reembolso, ninguna indemnización ni ninguna disculpa sincera. Su respuesta, una carta tipo, fue un insulto para todas las víctimas.
El motivo: el beneficio por encima de las personas
¿Por qué permitiría Valve que esto ocurriera? El motivo es tan sencillo como cínico: era más barato.
Una verdadera reforma de la seguridad —que incluya la implementación de pruebas en entornos aislados para todas las compilaciones, la separación de las credenciales de los desarrolladores, la contratación de un equipo de seguridad competente y la publicación de informes de transparencia— costaría millones. Indemnizar a las víctimas sentaría un costoso precedente.
¿La alternativa? Emitir un comunicado impreciso y engañoso, dejar que el ciclo de noticias siga su curso y asumir el mínimo impacto en la imagen pública. Se trató de una decisión empresarial calculada en la que se consideró que la seguridad de los usuarios era una pérdida aceptable.
Este patrón de negligencia no es nada nuevo. Desde PirateFi (2024) hasta Chemia (2025), Valve ha ignorado repetidamente las advertencias y ha permitido la entrada de malware en su plataforma, actuando solo tras la indignación pública. BlockBlasters no fue una excepción; fue el resultado inevitable de una cultura de seguridad deficiente.
Veredicto final: Culpable de los cargos
Que los hechos hablen por sí mismos.
- Hecho: Los sistemas automatizados de Valve aprobaron una versión que contenía un malware insignificante.
- Hecho: El equipo de asistencia de Valve ignoró las advertencias directas de las víctimas durante tres semanas.
- Hecho: Valve no tomó medidas hasta que los propios hackers eliminaron los archivos maliciosos.
- Hecho: La declaración oficial de Valve fue una tergiversación deliberada de los hechos, destinada a eludir su responsabilidad.
Valve no solo falló. Mintió. Encubrió su propia negligencia, protegió sus beneficios y dejó que sus usuarios pagaran las consecuencias. La confianza que la comunidad depositaba en Steam se ha roto de forma irrevocable. Esto no fue un error; fue una traición.
