Juego de Steam infecta a usuarios a través de un malware camuflado

El 30 de julio de 2025, el juego BlockBlasters fue publicado en Steam, la popular plataforma de distribución digital de videojuegos. Semanas más tarde, el 30 de agosto, una actualización del juego introdujo un código malicioso en el ejecutable del mismo para distribuir malware de tipo crypto-drainer, diseñado para el robo de criptomonedas, credenciales y otros datos sensibles del dispositivo de los usuarios. El malware se activaba al iniciar el juego y operaba en segundo plano, enviando la información robada a servidores externos controlados por los atacantes.

Se estima que el ataque afectó a más de 260 usuarios, con pérdidas estimadas en alrededor de 150.000 dólares. Uno de los casos más notorios fue el del streamer RastalandTV, quien perdió unos 32.000 dólares que estaban destinados a su tratamiento médico de cáncer. Investigadores de ciberseguridad estiman que el desarrollador del juego o su cuenta de Steam fueron comprometidos por los atacantes, permitiendo posteriormente añadir el código malicioso en una actualización supuestamente legítima.

Tras hacerse público el incidente, Steam eliminó el juego BlockBlasters de su plataforma y se recomendó a todos los afectados formatear sus equipos, revocar permisos de sus wallets y cambiar contraseñas.

Este incidente demuestra que Steam no realiza una verificación de seguridad sobre el código de los juegos que se publican en su plataforma. Se revisa el contenido, metadatos, precios y derechos de autor, pero no se realiza un escaneo de seguridad profundo de los binarios.