La División del FBI de Seattle, Estados Unidos, abrió una investigación formal sobre ocho videojuegos distribuidos a través de Steam que contenían software malicioso capaz de robar credenciales bancarias, criptomonedas y datos personales de los usuarios que los instalaron.
Los títulos afectados estuvieron disponibles en la plataforma de Valve entre mayo de 2024 y enero de 2026. La agencia federal habilitó un formulario oficial para que las víctimas aporten información y colaboren con la causa.
Los juegos identificados son BlockBlasters, Chemia, Dashverse, DashFPS, Lampy, Lunara, PirateFi y Tokenova. Todos respondían al mismo perfil: producción modesta, baja exposición mediática y, en varios casos, lanzamiento en acceso anticipado. Esa combinación les permitió operar sin llamar la atención dentro de un catálogo que supera los cien mil títulos.
Cómo funcionaba el ataque
El método fue el mismo en todos los casos. Los juegos pasaban los controles iniciales de Valve sin inconvenientes y, tiempo después, introducían código malicioso a través de actualizaciones. Una vez instalado, el software capturaba contraseñas, cookies de sesión y credenciales de servicios como bancos, billeteras de criptomonedas, cuentas de correo y redes sociales. Con esa información, los atacantes accedían a las cuentas de las víctimas como si fueran usuarios legítimos, lo que les permitía eludir la autenticación en dos pasos sin dificultad.
El juego no presentaba fallas evidentes. En la mayoría de los casos, el único síntoma fue una leve caída en el rendimiento del equipo, lo que retrasó la detección. En segundo plano, algunos títulos instalaban mineros de criptomonedas y herramientas para extraer contraseñas almacenadas en navegadores.
Las pérdidas cuantificadas hasta ahora son significativas. BlockBlasters causó el mayor daño registrado: una actualización posterior a su lanzamiento drenó cerca de 150.000 dólares en activos digitales de los equipos infectados. PirateFi, un juego de supervivencia gratuito, llegó a tener hasta 1500 descargas antes de que Valve lo retirara de la tienda.
Qué deben hacer los afectados
Valve tomó medidas reactivas: eliminó los títulos de la plataforma y envió correos a los jugadores potencialmente afectados con recomendaciones que van desde el cambio de contraseñas hasta el formateo completo del sistema en los casos más graves. Sin embargo, los controles de la compañía no incluyen un análisis exhaustivo de cada ejecutable ni de cada actualización que los desarrolladores publican, una brecha que este incidente deja en evidencia.
Quienes hayan instalado alguno de estos juegos entre mayo de 2024 y enero de 2026 deben actuar de forma inmediata. Los pasos recomendados son los siguientes: desinstalar el título, ejecutar un análisis completo del sistema con antivirus actualizado y herramientas específicas contra infostealers, cambiar las contraseñas de todos los servicios sensibles, revisar los movimientos bancarios y la actividad de billeteras digitales, y reportar cualquier sospecha al formulario oficial del FBI.
La agencia garantiza confidencialidad a quienes respondan y señala que las víctimas de delitos federales pueden acceder a restitución económica y otros servicios de protección.
El alcance de la campaña va más allá de Estados Unidos. Steam opera sin restricciones geográficas en la mayor parte de sus lanzamientos, lo que significa que usuarios de América Latina, España y Europa pudieron instalar alguno de estos títulos. En el contexto europeo, el caso suma presión sobre Valve en materia regulatoria: el Reglamento General de Protección de Datos obliga a las plataformas que gestionan información de millones de ciudadanos a rendir cuentas, independientemente del país donde tengan su sede.