Una gran alerta de seguridad ha salido de golpe a nivel mundial de los videojuegos en las últimas horas. Una empresa de ciberseguridad ha revelado que más de 89 millones de cuentas de Steam podrían estar en riesgo de un posible robo de datos, donde la información sustraída se puso a la venta en un foro de la dark web. 

No se trata de un hackeo directo a Valve, el fallo de seguridad parece tener su origen en un proveedor externo, según una verificación parcial. La compañía de Gabe Newell no ha confirmado ni desmentido esta filtración, pero los especialistas en seguridad informática recomiendan cambiar la contraseña y activar la verificación en dos pasos de Steam Guard en caso de no tenerla.

Robo masivo de datos

El pasado domingo 11 de mayo de 2025, la empresa de ciberseguridad israelí Underdark.ai revelaba que se han puesto a la venta los datos de 89 millones de cuentas de Steam en la dark web. Según cuentan en un post de LinkedIn, un sujeto bajo el pseudónimo Machine1337 puso a la venta esta información para los ciberdelincuentes por 5.000 dólares norteamericanos. Este lote incluía una breve muestra que ha sido verificada, así como menciones a datos muy sensibles, lo que implica que la brecha de seguridad es más grave de lo que parecía en un principio.

Hay evidencias de que la filtración es real, pero el hackeo no lo habría sufrido Valve, sino Twilio, una compañía que ofrece servicios de comunicación, como por ejemplo los SMS que se envían con la autenticación en dos pasos. Steam utiliza -o utilizaba- Twilio para esta función.

De que se trata la información filtrada

Incluye el contenido de los mensajes, así como el estado de entrega de los mismos, metadatos, marcas de tiempo y números de teléfono y costes de los SMS. Todo apunta a que el hacker ha obtenido acceso al backend de Twilio, probablemente a través de una cuenta de usuario comprometida, acceso a la API key (requerida para iniciar sesión y en ocasiones saltando por sobre la seguridad de Steam Guard) o acceso directo al panel de control de este servicio.

Entre otros datos, también incluye mucha información personal de sus usuarios en forma de nombres, apellidos, direcciones, teléfonos móviles, correos electrónicos, tarjetas de crédito y débito en caso de haberlas guardado como medios de pagos directos y contraseñas. Con estos detalles tan sensibles, es muy fácil robar nuestra identidad para cometer delitos con ella y así enmascarar el rastro real, o estafar a nuestros contactos bajo peticiones de dinero.