Steam, la popular plataforma de distribución digital de videojuegos propiedad de Valve, enfrenta una de las amenazas de seguridad más graves en su historia. Una reciente filtración de datos habría dejado expuestos los detalles de 89 millones de cuentas de usuario, información que ya circula en foros clandestinos de la dark web. El hallazgo fue reportado por Underdark.ai, una firma israelí de ciberseguridad que identificó al responsable como un hacker conocido bajo el alias Machine1337.
Aunque Valve no ha emitido un comunicado oficial, los indicios apuntan a una vulnerabilidad en Twilio, un proveedor de servicios de autenticación por SMS que Steam utiliza para implementar medidas de seguridad como la verificación en dos pasos. Esta brecha, lejos de ser menor, pone en riesgo la privacidad de millones de jugadores alrededor del mundo.
Según Underdark.ai, el hacker puso a la venta los datos de los usuarios por un precio de 5,000 dólares. El paquete incluiría:
Aunque no se ha confirmado que se hayan comprometido credenciales como contraseñas o datos de pago, la sola exposición de números telefónicos y mensajes de autenticación representa una vulnerabilidad crítica. Estos datos pueden facilitar ataques de phishing, suplantación de identidad y accesos no autorizados a cuentas personales o incluso bancarias si están vinculadas.
¿Por qué Twilio es clave en esta brecha? Twilio es una plataforma de comunicaciones utilizada por muchas empresas, incluidas aquellas del sector tecnológico y financiero. Su servicio de envío de códigos de autenticación SMS es común en plataformas como Steam. El incidente parece originarse en una brecha anterior en los sistemas de Twilio, donde atacantes obtuvieron acceso a credenciales de cuentas de clientes de forma masiva.
Esto demuestra cómo un fallo en la cadena de seguridad de proveedores externos puede terminar afectando incluso a plataformas que no han sido directamente hackeadas. En este caso, Steam quedó vulnerable por depender de un tercero para proteger una parte clave de su infraestructura de inicio de sesión.
El responsable del ataque, que opera bajo el pseudónimo Machine1337, ha estado activo en foros de hacking desde hace años y se le vincula con otras filtraciones masivas. En esta ocasión, habría recopilado los datos durante meses antes de ofrecerlos públicamente a través de foros de compra y venta de datos robados. Su publicación fue detectada por la red de vigilancia de Underdark.ai y posteriormente verificada como legítima.
Si tienes una cuenta activa en Steam, estos son los pasos urgentes que deberías seguir:
Hasta el momento, Valve no ha emitido una declaración oficial sobre esta filtración, lo cual ha generado incertidumbre entre la comunidad gamer. La falta de comunicación oficial podría deberse a que la compañía no ha podido verificar de forma independiente el origen exacto de la brecha, dado que el ataque no fue directo a sus propios servidores.
Sin embargo, la investigación de Underdark.ai ha sido considerada confiable por varios expertos en ciberseguridad, por lo que se recomienda tomar medidas preventivas cuanto antes, especialmente si tu cuenta contiene juegos valiosos, información de pago o está vinculada con otras plataformas.
Mientras esperamos una respuesta oficial de Valve, lo más prudente es actuar como si nuestros datos ya estuvieran comprometidos. En tiempos donde cada plataforma maneja datos personales y financieros, la ciberseguridad debe ser una prioridad para todos, usuarios y compañías por igual.
