Depositphotos / Valve Steam Deck
89 millones de cuentas de Steam filtradas a la darknet — se aconseja a los usuarios que cambien sus contraseñas inmediatamente.
Si la filtración es auténtica, bibliotecas enteras de juegos pueden estar en peligro. Esto es especialmente cierto para aquellos que no utilizan la autenticación de dos factores (2FA). Aun así, hay dudas sobre esta información.
Si seguimos la cronología, los primeros en prestar atención a la situación fueron los usuarios de X. El usuario MellowOnline1 publicado capturas de pantalla de una publicación en LinkedIn de Underdark AI. La imagen muestra que un atacante bajo el apodo Machine1337 ofreció vender una gran base de datos de Steam por 5000 dólares. Publicó la oferta en uno de los foros más reputados del mercado negro.
El puesto indica que la base de datos contiene:
Los usuarios se dieron cuenta de que el propio post parecía Cross-site scripting (XSS). Esta vulnerabilidad de seguridad web permite a los atacantes inyectar scripts maliciosos en páginas web vistas por otros usuarios. Esto puede utilizarse para robar datos, secuestrar sesiones o incluso cambiar el contenido de una página.
Yesterday, an alleged major @Steam data breach occurred, compromising over 89 million user records (roughly two-thirds of all Steam accounts).
These datasets are being sold for over $5,000 on what appears to be a site akin to Mipped.
Mipped alongside their sister sites is a…
— Mellow_Online1 (@MellowOnline1) May 11, 2025
Los autores del post de LinkedIn actualizaron posteriormente la información: «nuevas pruebas confirman que la muestra filtrada contiene registros en tiempo real de mensajes SMS 2FA transmitidos a través de Twilio». Estos registros — incluyen el contenido de los mensajes, el estado de entrega, los metadatos y los costes de enrutamiento. Esto puede indicar el acceso a las interfaces del proveedor de servicios SMS en lugar de Steam en sí. Esto crea un riesgo de ataques de phishing y secuestro de sesión — especialmente para aquellos que no utilizan Steam Guard o tienen una contraseña débil.
Valve ya ha respondido, según informa el mismo MellowOnline1. Un representante de la empresa negó utilizar Twilio, que se mencionaba en el post original de Underdark AI.
Update: An update suggests that the alleged Steam data breach is not a direct breach of Steam itself, but rather a supply chain compromise — meaning an external service that Steam relies on was targeted.
Here’s what we understand from this update:
New evidence confirms some…
— Mellow_Online1 (@MellowOnline1) May 11, 2025
Aún se desconoce el origen de la filtración. Al principio, los usuarios supusieron que había sido la propia Steam, pero luego la atención se desvió hacia Twilio. Sin embargo, todavía no hay confirmación, y la situación sigue sin estar clara. Valve no ha emitido ninguna declaración oficial en el momento de la publicación, pero independientemente de ello, los expertos aconsejan a los usuarios de Steam que cambien inmediatamente sus contraseñas y se aseguren de que 2FA está activado.
Steam Guard es el sistema de autenticación de dos factores propiedad de Valve y, según se informa, los datos robados no se pueden eludir. Sin embargo, quienes no lo utilicen pueden convertirse en un blanco fácil. También existe el riesgo de que los atacantes utilicen la información obtenida para campañas de phishing.
En cuanto a los consejos de seguridad de las cuentas, son clásicos. En particular, hay que evitar las contraseñas obvias y no repetir la misma contraseña en varios servicios. También merece la pena comprobar si tus datos se han filtrado antes a través de servicios como HaveIBeenPwned. Valve aún no ha confirmado la filtración, pero tampoco la ha desmentido por completo. Así que si te da pena tu biblioteca nativa — es mejor prevenir que curar.
Fuente: XDA Developers