La División del FBI de Seattle ha abierto una investigación en ocho juegos de Steam que escondían infostealers. La agencia busca víctimas y ha habilitado un formulario oficial para denunciar.
La División del FBI de Seattle ha abierto una investigación formal sobre una campaña de malware distribuida a través de videojuegos publicados en Steam, la tienda digital de Valve, entre mayo de 2024 y enero de 2026. El organismo federal ha hecho un llamamiento público a los jugadores que instalaron alguno de los títulos señalados con el fin de identificar víctimas, cuantificar el daño real y reforzar un caso que apunta a una operación criminal organizada y no a incidentes aislados. Los juegos actuaban como caballos de Troya, donde se presentaban como productos funcionales, superaban los controles iniciales de la plataforma y, más tarde, aprovechaban actualizaciones para introducir código malicioso capaz de robar credenciales, datos bancarios y criptomonedas directamente de los equipos infectados.
➡️ Te puede interesar: Máster Profesional en Ciberseguridad, Ciberinteligencia y Ciberdefensa
La investigación se centra en al menos ocho títulos concretos: BlockBlasters, Chemia, Dashverse, DashFPS, Lampy, Lunara, PirateFi y Tokenova. Todos compartían un patrón similar, ya que eran juegos modestos, de baja visibilidad mediática y presupuesto reducido, muchos publicados en acceso anticipado, lo que les permitió pasar desapercibidos en un catálogo que supera los cien mil títulos. El caso de PirateFi ilustra bien la situación, y es que este juego gratuito de supervivencia fue retirado poco después de su publicación, pero para entonces ya lo habían descargado hasta 1.500 jugadores que quedaron expuestos sin saberlo. Más dañino resultó BlockBlasters, donde una actualización posterior introdujo un componente que drenó en torno a 150.000 dólares en activos digitales de los equipos comprometidos.
Troyanos discretos orientados al robo silencioso
Detrás de estos ataques no había virus ruidosos que bloquearan el sistema de inmediato, sino infostealers y troyanos discretos diseñados para pasar desapercibidos el máximo tiempo posible. El malware capturaba contraseñas, cookies de sesión y credenciales de servicios variados —cuentas bancarias, plataformas de criptomonedas, correos electrónicos y redes sociales— y con esa información los atacantes podían eludir la autenticación en dos pasos iniciando sesión como si fueran el propio usuario legítimo. Además, en algunos casos el software instalaba en segundo plano otros programas nocivos, como mineros de criptomonedas o herramientas para robar contraseñas almacenadas en navegadores. El gran problema para el usuario era que el juego se comportaba con aparente normalidad, ejecutándose sin fallos graves y sin mostrar señales visibles más allá de un ligero empeoramiento del rendimiento del equipo.
➡️ Te puede interesar: Máster Profesional de Analista de Inteligencia
El episodio ha puesto en entredicho los controles de seguridad de Valve, que revisa aspectos formales de los juegos pero no realiza un análisis exhaustivo de todos los ejecutables ni de cada actualización publicada por los desarrolladores. Cuando algunos títulos comenzaron a levantar sospechas, la compañía los retiró de la tienda y envió correos a los jugadores potencialmente afectados, recomendándoles cambiar contraseñas, revisar el sistema e incluso formatear el PC en los casos más graves. En paralelo, el FBI habilitó un formulario oficial para que las víctimas aporten información sobre qué juegos instalaron, si detectaron comportamientos anómalos y si sufrieron robos o accesos no autorizados. Por su parte, la agencia garantiza confidencialidad total a todos los que respondan y recuerda que las víctimas de delitos federales pueden tener derecho a devolución económica y otros servicios de protección.
Una amenaza sin fronteras que alcanza a España, Latinoamérica y Europa
Aunque la investigación parte de Estados Unidos, la campaña tuvo un alcance mundial. Steam opera sin barreras geográficas en la gran mayoría de sus lanzamientos, por lo que los jugadores españoles, latinoamericanos y europeos podrían haber instalado alguno de los títulos sin ser conscientes del riesgo. Este incidente encaja además con las preocupaciones regulatorias de la Unión Europea: el Reglamento General de Protección de Datos (RGPD) y las iniciativas de ciberseguridad europeas exigen responsabilidades a las plataformas que gestionan datos de millones de ciudadanos, independientemente de dónde tengan su sede. En consecuencia, el caso podría aumentar la presión regulatoria sobre Valve para que refuerce sus mecanismos de detección y mejore la transparencia en la notificación de incidentes.
➡️ Te puede interesar: Curso de Gestión y Respuesta ante Incidentes de Ciberseguridad
Quienes hayan instalado alguno de los títulos señalados entre mayo de 2024 y enero de 2026 deben actuar sin demora y desinstalar el juego afectado, realizar un análisis completo del sistema con un antivirus actualizado y complementarlo con herramientas específicas contra infostealers. A continuación, es imprescindible cambiar las contraseñas de todos los servicios sensibles —banca online, billeteras de criptomonedas, correo, redes sociales y cuenta de Steam— y revisar qué dispositivos y sesiones permanecen activos. También conviene examinar los movimientos bancarios y la actividad de las billeteras digitales en busca de operaciones no reconocidas. Por último, cualquier sospecha de infección debe comunicarse al formulario oficial del FBI, cuyo enlace ha de obtenerse exclusivamente a través de los canales oficiales de la agencia o de Valve para evitar estafas secundarias que aprovechen el revuelo mediático para engañar a nuevas víctimas.
