Una filtración de datos que afecta a casi un tercio de los usuarios de Steam ha salido a la luz, encendiendo las alarmas en el mundo del gaming y la ciberseguridad. Aunque Valve no ha sido hackeada directamente, los datos comprometidos incluyen información crítica como números de teléfono, códigos de verificación y metadatos de acceso, lo que ha llevado a los expertos a recomendar cambiar la contraseña de inmediato y dejar de usar SMS como método de 2FA.
Filtración masiva en Steam: 89 millones de cuentas expuestas en la dark web
¿Qué ha pasado con las cuentas de Steam?
La alerta comenzó el domingo 11 de mayo de 2025, cuando Underdark.ai, una firma especializada en seguridad, descubrió que se estaba ofreciendo a la venta un lote de 89 millones de registros de usuarios de Steam en un conocido foro de la dark web. El vendedor, bajo el alias Machine1337, pedía solo 5000 dólares por la base de datos completa, lo que disparó las sospechas sobre su veracidad… y gravedad.
No es un hackeo a Valve: el origen está en un proveedor de SMS
Según las primeras investigaciones, la brecha no se originó en los servidores de Valve, sino en un proveedor externo de servicios de SMS. En concreto, algunos apuntaron inicialmente a Twilio, empresa que ofrece herramientas de comunicación como autenticación por mensaje de texto. Sin embargo, tanto Valve como Twilio han negado mantener relación alguna, y esta última afirma que no hay evidencia de intrusión en sus sistemas.
“Hemos revisado una muestra de los datos publicados y no hay indicios de que provengan de nuestros sistemas”, declaró un portavoz de Twilio a BleepingComputer.
¿Qué tipo de datos se han filtrado?
La filtración incluye elementos especialmente delicados:
- Códigos de verificación de Steam Guard
- Números de teléfono de usuarios
- Marcas de tiempo y estado de los mensajes (enviado, entregado, fallido)
- Costes asociados a los envíos de SMS
- Fragmentos de mensajes legítimos enviados por Steam
Estos datos permiten lanzar campañas de phishing altamente personalizadas e incluso, en algunos casos, el secuestro de sesión si se intercepta un código 2FA en tiempo real.
¿Cómo proteger tu cuenta de Steam ahora mismo?
El consejo de los expertos es claro: no esperar a que Valve confirme o desmienta. En su lugar, toma medidas proactivas:
- Cambia tu contraseña de Steam inmediatamente.
- No utilices SMS como segundo factor de autenticación.
- Activa Steam Guard con la app oficial o un autenticador físico como YubiKey.
- No reutilices contraseñas entre diferentes servicios.
- Estate atento a correos o SMS sospechosos.
¿Está Valve en peligro? ¿Se verán afectadas más cuentas?
Aunque aún no hay pruebas concluyentes de que la totalidad de los 89 millones de registros sean legítimos, varias muestras han sido verificadas, y algunas contienen datos con fechas tan recientes como marzo de 2025. La plataforma Steam no solo gestiona juegos, sino también datos personales, financieros y hasta inventarios con objetos virtuales de gran valor, por lo que cualquier filtración supone un riesgo real.
Conclusión: actúa ya, aunque creas que no estás afectado
Mientras la investigación sigue en curso, es fundamental no esperar a que el problema toque a tu puerta. La combinación de datos filtrados, confirmaciones parciales y el silencio (hasta ahora) por parte de Valve hace que esta sea una de las mayores alertas de seguridad en el ecosistema de PC en los últimos años.
Cambia tu contraseña, revisa tus opciones de autenticación y mantente alerta. En el peor de los casos, ya estarás protegido; en el mejor, habrás evitado un susto innecesario.