ACTUALIZADO: Steam sufre una filtración a gran escala — 89 millones de cuentas por 5000 dólares están en la darknet

89 millones de cuentas de Steam filtradas a la darknet — se aconseja a los usuarios que cambien sus contraseñas inmediatamente.

Si la filtración es auténtica, bibliotecas enteras de juegos pueden estar en peligro. Esto es especialmente cierto para aquellos que no utilizan la autenticación de dos factores (2FA). Aun así, hay dudas sobre esta información.

ACTUALIZADO 15 de mayo, 11:28 AM: Valve ha comentado oficialmente sobre los informes de una posible filtración de datos. Según ella, los sistemas de la plataforma siguen siendo seguros. La compañía dijo que la filtración sólo contenía antiguos códigos SMS que no amenazaban las cuentas de los usuarios. Valve también recomendó que los jugadores utilicen Steam Mobile Authenticator para mayor protección.

«La filtración de datos no vinculó números de teléfono con cuentas de Steam, contraseñas, información de pago ni otros datos personales. Los mensajes de texto antiguos no pueden usarse para comprometer la seguridad de tu cuenta de Steam, y siempre que se use un código para cambiar tu correo electrónico o contraseña de Steam por SMS, recibirás una confirmación por correo electrónico o mensajes seguros de Steam», — añadió Valve.

Si seguimos la cronología, los primeros en prestar atención a la situación fueron los usuarios de X. El usuario MellowOnline1 publicado capturas de pantalla de una publicación en LinkedIn de Underdark AI. La imagen muestra que un atacante bajo el apodo Machine1337 ofreció vender una gran base de datos de Steam por 5000 dólares. Publicó la oferta en uno de los foros más reputados del mercado negro.

У Steam масштабний витік — в даркнеті опинилися 89 млн акаунтів за $5000 — LinkedIn

El puesto indica que la base de datos contiene:

contacto en Telegram para comunicarse con el vendedor,
enlaces a muestras de datos (publicadas en Gofile),
referencias a los datos internos del proveedor (probablemente se refieran al proveedor de servicios de autenticación de dos factores).

Los usuarios se dieron cuenta de que el propio post parecía Cross-site scripting (XSS). Esta vulnerabilidad de seguridad web permite a los atacantes inyectar scripts maliciosos en páginas web vistas por otros usuarios. Esto puede utilizarse para robar datos, secuestrar sesiones o incluso cambiar el contenido de una página.

Yesterday, an alleged major @Steam data breach occurred, compromising over 89 million user records (roughly two-thirds of all Steam accounts).

These datasets are being sold for over $5,000 on what appears to be a site akin to Mipped.

Mipped alongside their sister sites is a…

— Mellow_Online1 (@MellowOnline1) May 11, 2025

Los autores del post de LinkedIn actualizaron posteriormente la información: «nuevas pruebas confirman que la muestra filtrada contiene registros en tiempo real de mensajes SMS 2FA transmitidos a través de Twilio». Estos registros — incluyen el contenido de los mensajes, el estado de entrega, los metadatos y los costes de enrutamiento. Esto puede indicar el acceso a las interfaces del proveedor de servicios SMS en lugar de Steam en sí. Esto crea un riesgo de ataques de phishing y secuestro de sesión — especialmente para aquellos que no utilizan Steam Guard o tienen una contraseña débil.

Valve ya ha respondido, según informa el mismo MellowOnline1. Un representante de la empresa negó utilizar Twilio, que se mencionaba en el post original de Underdark AI.

Update: An update suggests that the alleged Steam data breach is not a direct breach of Steam itself, but rather a supply chain compromise — meaning an external service that Steam relies on was targeted.

Here’s what we understand from this update:

New evidence confirms some…

— Mellow_Online1 (@MellowOnline1) May 11, 2025

Aún se desconoce el origen de la filtración. Al principio, los usuarios supusieron que había sido la propia Steam, pero luego la atención se desvió hacia Twilio. Sin embargo, todavía no hay confirmación, y la situación sigue sin estar clara. Valve no ha emitido ninguna declaración oficial en el momento de la publicación, pero independientemente de ello, los expertos aconsejan a los usuarios de Steam que cambien inmediatamente sus contraseñas y se aseguren de que 2FA está activado.

Steam Guard es el sistema de autenticación de dos factores propiedad de Valve y, según se informa, los datos robados no se pueden eludir. Sin embargo, quienes no lo utilicen pueden convertirse en un blanco fácil. También existe el riesgo de que los atacantes utilicen la información obtenida para campañas de phishing.

En cuanto a los consejos de seguridad de las cuentas, son clásicos. En particular, hay que evitar las contraseñas obvias y no repetir la misma contraseña en varios servicios. También merece la pena comprobar si tus datos se han filtrado antes a través de servicios como HaveIBeenPwned. Valve aún no ha confirmado la filtración, pero tampoco la ha desmentido por completo. Así que si te da pena tu biblioteca nativa — es mejor prevenir que curar.

Fuente: XDA Developers