Durante los últimos días, Steam, la plataforma líder de videojuegos en PC, se ha visto envuelta en una intensa oleada de noticias y rumores tras descubrirse la venta en la dark web de una supuesta base de datos con información de hasta 89 millones de cuentas. Aunque a primera vista el asunto generó un importante revuelo entre usuarios y medios del sector, la realidad de la filtración está siendo aclarada por Valve y fuentes especializadas, dejando claro qué ha pasado realmente y en qué afecta a los jugadores.

A pesar de los titulares de alarma y las recomendaciones impulsivas de cambiar contraseñas, la propia Valve ha salido al paso para explicarlo todo con detalle. La filtración no implica una vulneración de los sistemas internos de Steam, ni supone que las claves de acceso, datos personales o pagos hayan quedado expuestos. Pero sí hay detalles relevantes sobre la exposición de datos y sobre cómo mantenerse protegido ante posibles consecuencias indirectas.

¿Qué se ha filtrado exactamente de Steam?

El incidente se centra en la exposición de antiguos mensajes SMS enviados para la autenticación en dos pasos (2FA), usados por Steam para proteger el acceso a cuentas. Estos mensajes contenían códigos de un solo uso —cuya validez es de apenas 15 minutos— y números de teléfono de destino, pero no estaban asociados a contraseñas, cuentas concretas, información de pago o datos personales sensibles según los comunicados oficiales de Valve.

La muestra de datos publicada y puesta a la venta por un hacker bajo el pseudónimo Machine1337 incluía información como los códigos, estados de entrega, marcas de tiempo, números de teléfono y metadatos técnicos. La empresa de ciberseguridad Underdark.ai y distintos medios han verificado que parte de la muestra es real, aunque la magnitud total parece dudosa, especialmente por el bajo precio de venta fijado, que ha llamado la atención de numerosos analistas.

¿Han hackeado Steam directamente?

De acuerdo con las declaraciones de Valve y la investigación de expertos en ciberseguridad, no se ha producido una intrusión a los servidores de Steam ni al sistema central de la compañía. El origen de la filtración apunta más bien a una vulnerabilidad en la cadena de proveedores externos encargados del envío de SMS para el sistema de autenticación.

Estas comunicaciones viajan sin cifrar por diferentes intermediarios antes de llegar al usuario, lo que complica la trazabilidad del incidente y dificulta precisar el punto exacto de la brecha. Twilio, empresa señalada inicialmente por algunos medios como posible origen, ha negado cualquier relación directa con una filtración de este tipo y Valve también indica que actualmente no usan sus servicios para estos fines.

¿Qué riesgos existen realmente para los usuarios?

El principal peligro no reside en el acceso directo a cuentas por parte de los atacantes, ya que los códigos filtrados han caducado hace tiempo y la información expuesta no es suficiente para suplantar identidades. El verdadero riesgo se concreta en el potencial uso de números de teléfono filtrados para realizar ataques de phishing dirigidos, como SMS falsos que intenten engañar al usuario para obtener más datos de acceso o realizar estafas personalizadas.

Valve y varios portales de ciberseguridad coinciden en que no es necesario cambiar la contraseña de Steam por este incidente en concreto si tienes activada la autenticación en dos pasos y tus dispositivos están bajo control. Sin embargo, mantener contraseñas robustas, revisar dispositivos conectados y evitar reutilizar contraseñas en distintos servicios sigue siendo fundamental para fortalecer la protección de la cuenta.

Medidas recomendadas y buenas prácticas de seguridad

• Activa Steam Guard si no lo tienes ya. Añade una capa adicional de protección usando la app oficial de Steam como autenticador, evitando depender de SMS.
• Desconfía de mensajes sospechosos, especialmente aquellos que llegan por SMS supuestamente en nombre de Steam. No sigas enlaces ni entregues información si no es por canales oficiales.
• Cambia tu contraseña de Steam si tienes la costumbre de reutilizarla en otros servicios, si tienes dudas o de forma periódica para minimizar riesgos.
• Supervisa regularmente la actividad de tu cuenta en la configuración de Steam, comprobando accesos y dispositivos autorizados.

Valve insiste en que, a día de hoy, la seguridad de los servidores de Steam no se ha visto comprometida y que la información crítica de los usuarios permanece a salvo. Desde la compañía se sigue investigando el origen exacto de la exposición y se recomienda a la comunidad extremar la precaución, especialmente frente a intentos de engaño o fraudes derivados de la filtración.

Es importante mantener la calma y seguir las buenas prácticas de seguridad digital. La información filtrada no permite acceder a las cuentas de Steam ni afecta a datos financieros o personales críticos, por lo que no hay razones para generar alarma excesiva. Mantenerse informado a través de canales oficiales y estar atentos a posibles intentos de fraude son las mejores medidas para protegerse en estos casos.