Un juego gratuito publicado en Steam, BlockBlasters, fue retirado tras confirmarse que incluía software malicioso capaz de vaciar monederos de criptomonedas y recolectar datos sensibles. Durante varias semanas permaneció accesible, con reseñas positivas que al parecer eran falsas, antes de que la plataforma actuase.

El caso se hizo visible a raíz de un directo en el que el creador RastalandTV, que está en tratamiento por un sarcoma en fase 4, vio cómo desaparecían más de 30.000 dólares de sus fondos en cuestión de minutos. Investigadores como ZachXBT y el colectivo vx-underground amplificaron las alertas, y el título pasó a considerarse una «aplicación sospechosa» antes de su eliminación.

Qué ha pasado con BlockBlasters

BlockBlasters, atribuido al estudio Genesis Interactive, se lanzó a finales de julio como un free-to-play de estética retro. En apariencia todo era normal, pero el 30 de agosto llegó una actualización que cambió el panorama: ese parche posterior al lanzamiento activaba un criptodrainer y herramientas de robo de información en los equipos de quienes lo instalaban.

Desde entonces, la comunidad de seguridad y varios medios comenzaron a detectar que el título no solo apuntaba a billeteras cripto, sino también a cookies del navegador, sesiones de Steam y posibles datos de pago. SteamDB lo marcó como sospechoso y G DATA avisó del comportamiento anómalo días antes de que se hiciera público el golpe al streamer.

Cómo operaba el malware y la cronología

La investigación apunta a que el componente malicioso se introdujo mediante un parche posterior al lanzamiento, camuflado como una actualización más. Al iniciarse el juego, se ejecutaban scripts y ejecutables que recopilaban información del sistema, intentaban evadir antivirus y enviaban los datos a servidores externos.

Entre los indicios técnicos que se han difundido se mencionan archivos de lote y binarios que actuaban como puertas traseras, además de compresiones con contraseña para dificultar su detección. El resultado era un robo silencioso mientras el usuario pensaba que estaba probando un platformer inocente.

La víctima que destapó el fraude

El episodio que lo cambió todo fue el directo de RastalandTV, que aceptó probar el juego tras el contacto de un tercero. Minutos después de la instalación, su monedero se vació con un perjuicio valorado entre 30.000 y 32.000 dólares. La escena, emitida en vivo, evidenció el alcance real de este tipo de engaños.

Comunidad e investigadores reaccionaron rápido. La amplificación de perfiles como ZachXBT y las publicaciones de vx-underground sirvieron para que el incidente ganase tracción, y Valve procedió a retirar la ficha de la tienda. Para entonces, el juego llevaba más de un mes rondando los listados con un 86% de reseñas positivas, supuestamente infladas con bots.

“Un streamer fue víctima en directo de una campaña de drenaje de cripto”, resumieron desde vx-underground al difundir el caso, subrayando que el título se había mantenido activo en Steam mientras el malware hacía su trabajo.

Respuesta de Valve y señales ignoradas

Valve dispone de filtros y procesos para frenar contenido malicioso, pero revisar cada parche y cada build es complejo en una plataforma con miles de lanzamientos. En este caso hubo avisos tempranos: G DATA reportó el riesgo y SteamDB lo marcó como sospechoso, aun así el juego no fue retirado de inmediato.

La compañía eliminó BlockBlasters cuando el escándalo ya había estallado y, aunque la reacción cortó la distribución, los daños ya estaban hechos. El incidente reabre el debate sobre los controles previos y el abuso de reseñas manipuladas para generar confianza artificial.

Cómo protegerte ante casos similares

Con el aumento de intentos de estafa en forma de «juegos» o parches maliciosos, conviene extremar precauciones, sobre todo con títulos poco conocidos o recientes.

• Desconfía de proyectos sin presencia verificable en web o redes, y de reseñas sospechosamente uniformes.
• Mantén tu navegador, antivirus y Steam al día; si probaste BlockBlasters, cambia contraseñas y habilita 2FA.
• Para criptoactivos, valora usar billeteras frías y segmenta fondos para minimizar impactos.
• Ante cualquier actualización inesperada, revisa permisos y el origen del instalador antes de ejecutar.

El caso BlockBlasters ilustra hasta qué punto un parche en apariencia inocuo puede colarse en el día a día de una plataforma masiva. Entre advertencias previas que no llegaron a tiempo, reseñas falsas y una víctima que lo sufrió en directo, queda la sensación de que hay margen para reforzar controles y, sobre todo, para que usuarios y creadores adopten hábitos más prudentes frente a descargas y enlaces que prometen “juegos gratis”.