Filtrados datos de 89 millones de cuentas Steam: vulnerables quienes no activaron la verificación en dos pasos

Mal asunto para los usuarios de Steam. Un montón de datos pertenecientes a 89 millones de cuentas han aparecido en los rincones más oscuros de internet. Nombres de usuario, contraseñas y correos electrónicos se venden al módico precio de 5.000 dólares, todo un chollo para los cibercriminales y un dolor de cabeza para los afectados, según ha destapado XDA Developers.

Fue la empresa Underdark AI quien dio la voz de alarma tras detectar esta venta de credenciales en la dark web. La situación pone en jaque a millones de jugadores que guardan en Steam desde sus tarjetas de crédito hasta colecciones de juegos que, en algunos casos, valen miles de euros.

El problema viene de fuera: ni Valve ni Twilio son el origen

Según las primeras investigaciones, el agujero no está en los propios servidores de Valve (dueña de Steam) ni en Twilio, que inicialmente sonó como posible fuente. La compañía ha negado cualquier vínculo con Twilio en este asunto, lo que apunta a que algún proveedor externo podría haber metido la pata hasta el fondo.

Si no tienes activado Steam Guard, estás en serios apuros. Cualquiera con las credenciales filtradas podría acceder a tu cuenta como Pedro por su casa y llevarse todo lo que encuentra: desde tus juegos hasta los datos de pago guardados. La cosa viene de lejos. En agosto vimos cómo la filtración de 2.900 millones de registros de National Public Data se vendió por 3,5 millones. Una barbaridad que hace que estos 89 millones de Steam parezcan poca cosa.

El mayor peligro no es solo que te roben la cuenta, sino el phishing. Imagina recibir un correo perfectamente personalizado, con tu nombre y detalles que solo Steam conoce. Hasta el más espabilado podría picar ante semejante nivel de personalización. Y no olvidemos el mercadillo de cuentas robadas. Muchos gamers tienen bibliotecas repletas de juegos y objetos raros que valen una fortuna. Los ladrones lo saben y han montado todo un negocio alrededor de la reventa de estas cuentas.

¿Qué puedes hacer? Valve recomienda activar inmediatamente Steam Guard si aún no lo has hecho. También es vital cambiar la contraseña, ignorar enlaces sospechosos y revisar regularmente la actividad reciente de tu cuenta para detectar accesos extraños. No es la primera vez que vemos algo así. En enero, una brecha en Gravy Analytics dejó al descubierto ubicaciones de usuarios de aplicaciones como Candy Crush o Microsoft 365. La privacidad parece haberse convertido en artículo de lujo.

Los 5.000 dólares que piden por estos datos son calderilla. Sale a menos de un céntimo por cuenta, lo que hace pensar que parte de los datos están obsoletos. Pero ojo, incluso información antigua puede ser oro para los ciberdelincuentes, como vimos tras la exposición de 3.800 millones de correos y contraseñas por DarkBeam en 2023.

Valve no está precisamente comunicativa, más allá de desvincularse de Twilio. Este silencio oficial tras la filtración no ayuda a calmar los ánimos entre los usuarios, que empiezan a preguntarse si pueden seguir confiando en la plataforma. Casos similares abundan. En 2023, un error de Microsoft filtró 38 TB de información interna mientras entrenaba modelos de IA. Y no olvidemos la brecha que expuso datos de 223 millones de brasileños o la supuesta filtración en Endesa que habría afectado a 39,2 millones de clientes.