Una empresa de ciberseguridad ha alertado sobre la posible exposición de más de 89 millones de usuarios de Steam debido a una filtración de datos que habría sido puesta a la venta en foros de la dark web. Aunque no se trataría de un hackeo directo a Valve, la vulnerabilidad parece originarse en un proveedor externo, según indicios iniciales.
Si bien Valve, la compañía de Gabe Newell, no ha emitido confirmación oficial, expertos en seguridad informática están urgiendo a todos los usuarios de Steam a tomar medidas preventivas de inmediato.
La empresa de ciberseguridad israelí Underdark.ai reveló el pasado domingo 11 de mayo de 2025 la aparición en la dark web de un lote de datos pertenecientes a 89 millones de cuentas de Steam, ofrecido por un individuo bajo el seudónimo Machine1337 por 5.000 dólares. La verificación parcial de una muestra de estos datos y las menciones a información sensible sugieren una brecha de seguridad significativa.
Según el periodista @MellowOnline1 en X, existen evidencias que apuntan a la autenticidad de la filtración, pero el origen del problema no sería un ataque directo a Valve, sino a Twilio, una empresa proveedora de servicios de comunicación, incluyendo los mensajes SMS utilizados para la autenticación en dos pasos. Se cree que Steam utiliza o utilizaba los servicios de Twilio para esta función.
La información comprometida incluiría el contenido de los mensajes, su estado de entrega, metadatos como marcas de tiempo y números de teléfono, así como los costes de los SMS. Todo indica que el atacante habría logrado acceso al backend de Twilio, posiblemente a través de una cuenta de usuario comprometida, una clave de API o el panel de control del servicio.
No obstante, Mellow_Online1 añade en un post aparte que «he sido contactado por un representante de Valve, quien ha aclarado que ellos no usan Twilio». Tras recibir varias críticas por compartir información sin verificar, el usuario se ha defendido diciendo que «lo único que se indica con la publicación anterior es que Twilio no es la fuente de la vulnerabilidad – eso es todo. Aún se insta a los usuarios a cambiar sus contraseñas y activar Steam Guard«
La gravedad de esta situación es considerable. Steam no solo es una plataforma de distribución digital de videojuegos, sino que también almacena una gran cantidad de información personal sensible de sus usuarios, incluyendo nombres, apellidos, direcciones, números de teléfono, correos electrónicos y contraseñas. Esta información en manos de ciberdelincuentes facilita el robo de identidad, la comisión de delitos bajo identidades falsas y las estafas a contactos mediante solicitudes de dinero fraudulentas.
Independientemente de si tu cuenta se vio afectada o no, la medida más prudente es reforzar su seguridad de inmediato.