FBI investiga usuarios de Steam por juegos indie que contenían malware tipo «infostealer»

El aviso oficial y los títulos implicados

El FBI ha abierto una investigación para identificar a usuarios de Steam que pudieron verse afectados por la instalación de determinados juegos que, según la agencia, contenían malware. El rango temporal señalado por la investigación abarca desde mayo de 2024 hasta enero de 2026. La agencia puso a disposición un formulario para que posibles víctimas aporten información a la pesquisa y subraya que las respuestas son voluntarias y que la identidad de las víctimas se mantendrá confidencial.

Entre los títulos citados en los análisis públicos figuran juegos de corte indie y baja visibilidad dentro de la plataforma. Fuentes de ciberseguridad y reportes que han seguido el caso listan, hasta ahora, estos nombres: BlockBlasters, Chemia, Dashverse/DashFPS, Lampy, Lunara, PirateFi y Tokenova. Firmas como Bitdefender han descrito los títulos como de poco perfil, lo que pudo facilitar que la amenaza permaneciera sin detectar durante meses.

Un detalle relevante en la comunicación con usuarios fue la necesidad de que Valve, la empresa matriz de Steam, confirmara la autenticidad del mensaje enviado a jugadores. Según publicaciones en foros, Valve añadió el siguiente matiz en su notificación:

“Podemos confirmar que el mensaje y la web enlazada son, de hecho, del FBI”.

Qué tipo de amenaza se ha identificado

Los análisis públicos y las firmas de ciberseguridad consultadas describen la carga maliciosa como un «information stealer» —un robador de información—, un tipo de malware diseñado para extraer datos sensibles del dispositivo sin que el usuario lo perciba. Estos programas suelen centrarse en:

• Credenciales guardadas en navegadores (usuarios y contraseñas).
• Cookies de sesión que permiten mantener accesos a cuentas sin necesidad de autenticación adicional.
• Información relacionada con carteras de criptomonedas, claves privadas o frases semilla cuando se almacenan en el equipo.
• Datos de aplicaciones y archivos locales que puedan facilitar el acceso a otros servicios.

Los infostealers son una categoría frecuente en la práctica de la delincuencia informática porque, con acceso a credenciales y cookies, un atacante puede escalar la intrusión hacia suplantación de identidad, vaciado de cuentas y movimientos fraudulentos en servicios conectados.

Contexto y precedentes: por qué importa

Que el FBI intervenga en un caso vinculado a descargas de Steam refleja dos tendencias constatadas en ciberseguridad: por un lado, el uso de plataformas de distribución legítimas para propagar malware; por otro, la explotación de títulos de bajo perfil y desarrolladores pequeños como vector de ataque porque reciben menos escrutinio automático y humano.

Plataformas digitales con catálogos extensos, como Steam, combinan revisión automatizada con confianza en los desarrolladores. Eso crea una superficie de riesgo: los atacantes pueden aprovechar procesos de publicación menos estrictos en juegos indie o comprados por terceros para insertar cargas maliciosas. Firmas de seguridad han alertado repetidamente que los infostealers y los troyanos de acceso remoto son modalidades comunes entre la mercadería ilícita dirigida a usuarios finales.

Las consecuencias prácticas para una víctima son diversas: desde la pérdida de acceso a cuentas de juegos y compradores (Steam, correo electrónico) hasta el robo de activos financieros digitales. Además, las cookies y credenciales filtradas facilitan ataques posteriores, como el fraude en cuentas conectadas y el compromiso de servicios que usan las mismas credenciales.

Análisis técnico y recomendaciones para profesionales

Para equipos de respuesta a incidentes y profesionales de seguridad, este caso aporta varias lecciones operativas:

• Preservación de evidencias: en caso de sospecha, conservar imágenes del disco y volcados de memoria evita la pérdida de evidencia que pueda ayudar a trazar el vector y la campaña. Guardar registros de Steam, logs del sistema, y capturas de procesos en ejecución es clave.
• Correlación y detección: monitorizar patrones de comportamiento típicos de infostealers (acceso masivo a archivos de perfiles de navegadores, lectura de directorios de carteras, conexiones salientes a dominios no habituales) permite identificar compromisos que no activan firmas estáticas.
• Análisis de artefactos: inspeccionar extensiones de navegador, archivos de caché, y las cookies identificadas en el endpoint puede revelar credenciales exfiltradas y sesiones persistentes.
• Contención y remediación: aislar el equipo afectado de la red, deshabilitar cuentas comprometidas y forzar el cierre de sesiones mediante revocación de cookies son medidas inmediatas. Si hay indicios de manipulación profunda del sistema, considerar una restauración desde imagen limpia o reinstalación completa.
• Comunicación y cumplimiento: si un incidente afecta a usuarios o puede convertirse en delito federal, coordinar notificación con las autoridades (en este caso, el FBI) y preparar documentación para posibles investigaciones es crucial.

Riesgos, implicaciones y recomendaciones prácticas para usuarios

Si crees que instalaste alguno de esos juegos o notas actividad inusual en tus cuentas, actúa con rapidez. Estas son acciones concretas y verificables:

• Completa el formulario del FBI si crees que eres víctima: proporciona la información que te pidan; es voluntaria y la agencia indica que mantiene la confidencialidad.
• Desinstala el juego sospechoso y, preferiblemente, analiza el sistema con herramientas de antivirus/EDR actualizadas. Considera una reinstalación del sistema si la sospecha de compromiso es alta.
• Cambia contraseñas desde un dispositivo limpio. No reutilices contraseñas y activa la autenticación de dos factores (2FA) en todas las cuentas que lo permitan.
• Revisa las sesiones activas en servicios (Steam, correo, redes sociales) y cierra sesión en dispositivos desconocidos. Revoca tokens y cookies cuando sea posible.
• Si manejas criptomonedas, revisa movimientos en carteras y, ante la menor duda de compromiso, traslada fondos a una cartera nueva cuyo acceso se obtenga desde un entorno seguro. Para almacenamiento a largo plazo, usar hardware wallets reduce el riesgo de exfiltración por infostealers.
• Activa alertas de fraude en bancos y proveedores de servicios financieros; considera supervisión de identidad si se ha producido una filtración de datos personales.

Comparables y lecciones más amplias

No es la primera vez que se detecta malware distribuido a través de tiendas legítimas: en varias ocasiones la industria ha reportado usos maliciosos de aplicaciones o juegos publicados por actores hostiles o cuentas comprometidas de desarrolladores. La recurrencia de estos incidentes pone de relieve la necesidad de mejorar los procesos de revisión automatizada, la transparencia en las notificaciones a usuarios y la colaboración entre plataformas y autoridades.

Las firmas de seguridad señalan que los infostealers constituyen una amenaza persistente por su eficacia para obtener credenciales y datos de sesión; por eso, medidas preventivas como el uso de gestores de contraseñas, 2FA y carteras de hardware son defensas prácticas que reducen significativamente el impacto de este tipo de amenazas.

Conclusión

El aviso del FBI sobre juegos indie que habrían distribuido un infostealer en Steam subraya que incluso descargas aparentemente inocuas pueden convertirse en vectores de compromiso serio. Para usuarios, la prioridad es evaluar exposición, cambiar credenciales desde dispositivos limpios y activar medidas de seguridad adicionales como 2FA y hardware wallets para activos digitales. Para profesionales de seguridad, el caso refuerza la necesidad de procedimientos sólidos de preservación de evidencia, detección basada en comportamiento y coordinación con autoridades.

Source: www.xataka.com