Fotomontaje con el logo de Steam. Omicrono
Cambia tu contraseña de Steam ya: filtran las cuentas y contraseñas de 100 millones de usuarios potenciales
Reportes ponen de manifiesto una posible brecha de datos que afectaría a la plataforma de compra-venta de videojuegos digitales más grande del mundo.
Más información: De apagones a cortar el agua: así son los ciberataques a las infraestructuras críticas de los que alerta Pedro Sánchez
Si algo nos enseñó el descomunal hackeo realizado en agosto del año pasado donde se filtraron más de 2.7000 millones de datos de ciudadanos de todo el mundo, fue que ni España ni ningún otro país se libra de esta lacra. Tampoco los servicios, que son los principales afectados por estos hechos, ya sea la inteligencia artificial del momento como es DeepSeek u organismos gubernamentales como el CSIC. Ahora le toca el turno a Steam, que según algunas evidencias online, podría haber sufrido un hackeo de 89 millones de cuentas filtradas.
Así lo expuso Underdark.AI, una iniciativa centrada en las amenazas de Internet y su escrutinio en forma de servicios de inteligencia. Tal y como reveló este mismo grupo en LinkedIn, un hacker conocido como Machine1337 publicó en un foro de la Dark Web un anuncio para vender registros de más de 89 millones de cuentas por unos 5.000 dólares. Otros medios, como TechRadar, hablan de otro nombre conocido como EnergyWeaponUser, criminal cibernético y filtrador que además de haber publicado estos registros, habría incluido en esta oferta números de teléfonos e incluso códigos de acceso de un solo uso.
El usuario Mellow_Online1 conocido por su labor de periodista independiente en el mundo de los videojuegos, dio la voz de alarma en Twitter, poniendo el foco en un posible ataque a Twilio, una API dedicada a SMS y servicios de autenticación.. Si bien es cierto que no se ha confirmado la totalidad de la filtración, se recomienda a los usuarios que no tengan activos los sistemas de autenticación en dos factores que la activen y cambien inmediatamente la contraseña.
Un supuesto hackeo realizado sobre Steam
La oferta publicada en este foro especializado en hackers ubicado en la Dark Web incluye un contacto de Telegram para realizar la compra, un enlace a los datos de muestra alojados en la web GoFile, y menciones a datos internos de proveedores. Como la propia Underdark.AI resalta, Steam se ha convertido en mucho más que una simple tienda de videojuegos, ya que aglutina datos personales e incluso financieros de millones de jugadores en todo el mundo, por lo que es un buen objetivo para estos atacantes cibernéticos.
Underdark.AI pone el ojo sobre Twilio, y afirma que precisamente los registros de SMS confirmarían la filtración. "Nuevas pruebas confirman que una muestra filtrada contiene registros de SMS de 2FA en tiempo real enrutados a través de Twilio". Los datos en cuestión incluirían mensajes, metadatos y otros datos. Aún así, cabe aclarar que hay ciertos datos que se están contradiciendo a medida que van saliendo a la luz, existiendo la posibilidad de que este asunto pueda crecer mucho más.
Yesterday, an alleged major @Steam data breach occurred, compromising over 89 million user records (roughly two-thirds of all Steam accounts).
— Mellow_Online1 (@MellowOnline1) May 11, 2025
These datasets are being sold for over $5,000 on what appears to be a site akin to Mipped.
Mipped alongside their sister sites is a…
El mismo Mellow_Online1 ha aclarado en Twitter que Valve (propietaria de Steam) no estaría usando Twilio en este momento, según le habría explicado un representante de la empresa. Aún así, el propio periodista expone que la fuente específicamente es Underdark.AI y su publicación en LinkedIn. Ante la perspectiva de que toda esta situación sea una enorme noticia falsa, el periodista explica que lo único que queda claro es que "Twilio no es la fuente de la brecha, eso es todo".
¿Qué implica esto en caso de que efectivamente haya habido una brecha de datos? De ser así, los usuarios que no tengan configurado un sistema de autenticación de doble factor están totalmente expuestas, especialmente si no cambian su contraseña. Así, los atacantes con estos datos podrían apropiarse de cuentas y en última instancia, robar toda su información asociada para realizar estafas de phishing o estafas financieras. Si además estos usuarios usan sus mismas credenciales para todo tipo de servicios, el resto de plataformas asociadas a estas víctimas podrían acabar comprometidas.
Incluso si no se ha producido ninguna brecha en los sistemas de seguridad de Valve, esta es una ocasión perfecta para no solo cambiar la contraseña, sino habilitar el sistema de autenticación en dos factores y aprovechar la plataforma Steam Guard. Usando este método, ningún atacante que tenga estas credenciales podrá acceder la cuenta, al necesitar la aprobación expresa del usuario desde la aplicación móvil
