89 millones de cuentas de Steam filtradas a la darknet — se aconseja a los usuarios que cambien sus contraseñas inmediatamente.
Si la filtración es auténtica, bibliotecas enteras de juegos pueden estar en peligro. Esto es especialmente cierto para aquellos que no utilizan la autenticación de dos factores (2FA). Aun así, hay dudas sobre esta información.
Si seguimos la cronología, los primeros en prestar atención a la situación fueron los usuarios de X. El usuario MellowOnline1 publicado capturas de pantalla de una publicación en LinkedIn de Underdark AI. La imagen muestra que un atacante bajo el apodo Machine1337 ofreció vender una gran base de datos de Steam por 5000 dólares. Publicó la oferta en uno de los foros más reputados del mercado negro.
El puesto indica que la base de datos contiene:
- contacto en Telegram para comunicarse con el vendedor,
- enlaces a muestras de datos (publicadas en Gofile),
- referencias a los datos internos del proveedor (probablemente se refieran al proveedor de servicios de autenticación de dos factores).
Los usuarios se dieron cuenta de que el propio post parecía Cross-site scripting (XSS). Esta vulnerabilidad de seguridad web permite a los atacantes inyectar scripts maliciosos en páginas web vistas por otros usuarios. Esto puede utilizarse para robar datos, secuestrar sesiones o incluso cambiar el contenido de una página.
Yesterday, an alleged major @Steam data breach occurred, compromising over 89 million user records (roughly two-thirds of all Steam accounts).
These datasets are being sold for over $5,000 on what appears to be a site akin to Mipped.
Mipped alongside their sister sites is a…
— Mellow_Online1 (@MellowOnline1) May 11, 2025
Los autores del post de LinkedIn actualizaron posteriormente la información: «nuevas pruebas confirman que la muestra filtrada contiene registros en tiempo real de mensajes SMS 2FA transmitidos a través de Twilio». Estos registros — incluyen el contenido de los mensajes, el estado de entrega, los metadatos y los costes de enrutamiento. Esto puede indicar el acceso a las interfaces del proveedor de servicios SMS en lugar de Steam en sí. Esto crea un riesgo de ataques de phishing y secuestro de sesión — especialmente para aquellos que no utilizan Steam Guard o tienen una contraseña débil.
Valve ya ha respondido, según informa el mismo MellowOnline1. Un representante de la empresa negó utilizar Twilio, que se mencionaba en el post original de Underdark AI.
Update: An update suggests that the alleged Steam data breach is not a direct breach of Steam itself, but rather a supply chain compromise — meaning an external service that Steam relies on was targeted.
Here’s what we understand from this update:
New evidence confirms some…
— Mellow_Online1 (@MellowOnline1) May 11, 2025
Aún se desconoce el origen de la filtración. Al principio, los usuarios supusieron que había sido la propia Steam, pero luego la atención se desvió hacia Twilio. Sin embargo, todavía no hay confirmación, y la situación sigue sin estar clara. Valve no ha emitido ninguna declaración oficial en el momento de la publicación, pero independientemente de ello, los expertos aconsejan a los usuarios de Steam que cambien inmediatamente sus contraseñas y se aseguren de que 2FA está activado.
Spelling error report
The following text will be sent to our editors: