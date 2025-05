89 millones de cuentas de Steam filtradas a la darknet — se aconseja a los usuarios que cambien sus contraseñas inmediatamente.

Si la filtración es auténtica, bibliotecas enteras de juegos pueden estar en peligro. Esto es especialmente cierto para aquellos que no utilizan la autenticación de dos factores (2FA). Aun así, hay dudas sobre esta información.

Si seguimos la cronología, los primeros en prestar atención a la situación fueron los usuarios de X. El usuario MellowOnline1 publicado capturas de pantalla de una publicación en LinkedIn de Underdark AI. La imagen muestra que un atacante bajo el apodo Machine1337 ofreció vender una gran base de datos de Steam por 5000 dólares. Publicó la oferta en uno de los foros más reputados del mercado negro.

El puesto indica que la base de datos contiene:

Los usuarios se dieron cuenta de que el propio post parecía Cross-site scripting (XSS). Esta vulnerabilidad de seguridad web permite a los atacantes inyectar scripts maliciosos en páginas web vistas por otros usuarios. Esto puede utilizarse para robar datos, secuestrar sesiones o incluso cambiar el contenido de una página.

These datasets are being sold for over $5,000 on what appears to be a site akin to Mipped.

Yesterday, an alleged major @Steam data breach occurred, compromising over 89 million user records (roughly two-thirds of all Steam accounts).

Los autores del post de LinkedIn actualizaron posteriormente la información: «nuevas pruebas confirman que la muestra filtrada contiene registros en tiempo real de mensajes SMS 2FA transmitidos a través de Twilio». Estos registros — incluyen el contenido de los mensajes, el estado de entrega, los metadatos y los costes de enrutamiento. Esto puede indicar el acceso a las interfaces del proveedor de servicios SMS en lugar de Steam en sí. Esto crea un riesgo de ataques de phishing y secuestro de sesión — especialmente para aquellos que no utilizan Steam Guard o tienen una contraseña débil.

Valve ya ha respondido, según informa el mismo MellowOnline1. Un representante de la empresa negó utilizar Twilio, que se mencionaba en el post original de Underdark AI.

Update: An update suggests that the alleged Steam data breach is not a direct breach of Steam itself, but rather a supply chain compromise — meaning an external service that Steam relies on was targeted.

Here’s what we understand from this update:

New evidence confirms some…

