El FBI investiga juegos con malware oculto en Steam: qué ha pasado y cómo afecta a los jugadores europeos

Aventura Universal » General » El FBI investiga juegos con malware oculto en Steam: qué ha pasado y cómo afecta a los jugadores europeos

Durante casi dos años, varios videojuegos aparentemente inofensivos en Steam habrían servido de puerta de entrada a malware capaz de robar datos personales y dinero de los jugadores. Lo que empezó pareciendo otro caso de títulos menores y poco pulidos en una gran tienda digital ha terminado en una investigación formal del FBI, con la colaboración reconocida de Valve y un fuerte seguimiento por parte de la comunidad gamer, también en España y el resto de Europa.

La División de Seattle del FBI ha hecho un llamamiento público para localizar a usuarios que instalaron ciertos juegos infectados entre mayo de 2024 y enero de 2026. No hablamos de descargas desde webs pirata o repositorios dudosos, sino de títulos disponibles directamente en Steam, que pasaron los filtros de publicación de la plataforma y acumularon descargas antes de que se detectara que contenían software malicioso.

Qué está investigando el FBI y por qué también implica a jugadores europeos

Según la información publicada por el propio organismo y recogida por diversos medios tecnológicos, la investigación se centra en una campaña prolongada de distribución de malware a través de varios juegos de Steam. El FBI sospecha que un mismo actor, o un grupo muy reducido, habría utilizado distintos títulos como vehículo para infiltrarse en los ordenadores de los usuarios y robar credenciales, datos bancarios y activos digitales.

Aunque la causa se tramita en Estados Unidos, el problema tiene alcance global: Steam opera con una única infraestructura para millones de jugadores en todo el mundo, incluidos cientos de miles de usuarios en España y el resto de Europa. Si un jugador europeo descargó alguno de los títulos señalados durante el periodo investigado, el riesgo es el mismo que para cualquier usuario norteamericano, pues el malware se distribuía a través de la misma tienda oficial.

Para recabar información, la agencia ha habilitado un formulario oficial de víctimas en su página web, dentro del apartado de búsqueda de afectados. En él se piden datos como el nombre de usuario de Steam, los juegos instalados, las fechas aproximadas de descarga y si se han sufrido pérdidas económicas, accesos no autorizados a cuentas o robos de inventario digital, como criptomonedas, artículos de Steam o dinero de plataformas vinculadas.

Valve, por su parte, ha confirmado que el aviso del FBI es auténtico y ha pedido a los jugadores que colaboren con la investigación si creen que han sido víctimas. En foros como Reddit se han compartido capturas de correos enviados por la propia compañía en los que, por ejemplo, se menciona el caso del juego DashFPS y se invita a contactar directamente con la agencia federal a través de los canales indicados.

Los juegos señalados: una lista corta, pero de alto riesgo

En su aviso público, la División de Seattle del FBI ha publicado una lista de títulos asociados a esta operación de malware, todos ellos disponibles en algún momento entre 2024 y principios de 2026 en Steam. Los juegos identificados son:

• BlockBlasters
• Chemia
• Dashverse / DashFPS
• Lampy
• Lunara
• PirateFi
• Tokenova

En muchos casos se trata de juegos indie poco conocidos, con una presencia discreta en la tienda, pero que aun así lograron atraer suficientes descargas como para convertirlos en una amenaza real. Especialmente llamativo es el caso de BlockBlasters, un título que inicialmente se lanzó sin problemas aparentes y generó cierta confianza entre los jugadores antes de recibir una actualización que habría introducido un script orientado al robo de criptomonedas.

Dicho script apuntaba a billeteras cripto y credenciales almacenadas en el PC, tratando de capturar claves y datos necesarios para vaciar fondos digitales. Distintos informes y testimonios han vinculado BlockBlasters con robos acumulados que se sitúan en una horquilla de decenas de miles hasta alrededor de 150.000 dólares en activos digitales, incluidos incidentes muy mediáticos en los que streamers perdieron grandes cantidades de dinero en directo.

Otro de los juegos bajo la lupa, Chemia, se presentaba como una propuesta de supervivencia en acceso anticipado, pero la investigación apunta a que habría sido usado para capturar contraseñas, información bancaria y otros datos personales sensibles. Títulos como Dashverse, DashFPS y PirateFi también figuran en los documentos del caso por su posible implicación en el robo de información y la sustracción de fondos. Para PirateFi, se han manejado cifras de en torno a 1.500 descargas antes de su retirada, significativas si se tiene en cuenta la escala modesta del proyecto.

La franja temporal investigada, que va aproximadamente de mayo de 2024 a enero de 2026, deja claro que no se trató de una incursión puntual de unos pocos días. Nos encontramos ante una operación de largo recorrido, en la que los juegos estuvieron disponibles durante meses, superaron los procesos de alta en Steam e incluso recibieron parches que, según las sospechas, sirvieron para introducir o modificar el código malicioso una vez que ya habían ganado algo de reputación.

Cómo funcionaba el malware oculto y qué tipo de datos buscaba

Los distintos avisos y análisis coinciden en que los responsables recurrieron a una táctica bien conocida en ciberseguridad: el uso de juegos como caballo de Troya. La idea básica es sencilla, aunque efectiva: primero se lanza un título jugable, que cumple unos mínimos de calidad y no levanta sospechas, y una vez consolidado en la tienda se introduce, a través de una actualización o de componentes ocultos, un malware centrado en el robo de información.

Ese software malicioso estaría diseñado como un info-stealer, es decir, un tipo de programa cuyo propósito es extraer datos del usuario sin que este se dé cuenta. Entre los objetivos habituales de este tipo de malware se encuentran las cookies de sesión del navegador, contraseñas guardadas, credenciales de acceso a servicios online y datos de medios de pago. Con esa información, los delincuentes pueden tomar el control de cuentas de Steam, bancos, plataformas de criptomonedas o monederos digitales, e incluso suplantar identidades completas.

En algunos casos documentados, el impacto visible sobre el ordenador afectado era prácticamente nulo: quizá algún ligero descenso de rendimiento o pequeños fallos, nada que un jugador asociara de inmediato a un ataque. Ese comportamiento discreto encaja con el objetivo principal de la operación: robar la mayor cantidad posible de datos y dinero sin levantar sospechas, en lugar de provocar un daño evidente en el sistema que hiciera saltar todas las alarmas.

El FBI no ha publicado un análisis técnico detallado de cada variante de malware usada en los juegos, entre otros motivos para no facilitar la tarea a posibles imitadores. Lo que sí se ha hecho público es que la campaña se apoya en técnicas conocidas en el ecosistema del cibercrimen, con desarrolladores y afiliados que van ajustando sus métodos para esquivar las defensas de las plataformas y las herramientas de seguridad tradicionales.

La investigación se suma, además, a otros episodios previos en los que juegos de bajo perfil o mods de comunidad han sido utilizados como vector de infección, tanto en Steam como en otros ecosistemas de distribución digital. Este patrón recurrente refuerza la idea de que el sector del videojuego es un objetivo prioritario para los atacantes, dado el volumen de usuarios y la cantidad de dinero que se mueve en compras in-game, skins, criptomonedas y otros activos ligados al ocio digital.

La respuesta de Valve, las críticas y el papel de las grandes plataformas

Una vez que se confirmaron los primeros casos de juegos infectados, Valve procedió a eliminar los títulos afectados del catálogo de Steam. Paralelamente, la compañía ha ido remitiendo correos electrónicos a los usuarios potencialmente expuestos, advirtiendo sobre la situación, indicando la retirada de los juegos y remitiendo en algunos casos a los formularios y direcciones oficiales del FBI para quienes deseen colaborar.

Además de esa reacción pública, diferentes fuentes señalan que Valve está prestando soporte técnico a los jugadores afectados e incluso alguna compensación en situaciones especialmente graves, aunque por ahora no se ha detallado un programa de reparación amplio y estructurado. La empresa ha confirmado también que está cooperando con las fuerzas de seguridad y facilitando la información necesaria dentro de los cauces legales.

Pese a estos pasos, el incidente ha reavivado el debate sobre la capacidad real de las grandes plataformas para detectar contenido malicioso antes de que llegue al público. Publicar un juego en Steam no requiere una inversión desorbitada, y con miles de títulos nuevos cada año, resulta complicado combinar un flujo constante de lanzamientos con controles profundos en cada caso. No son pocos los usuarios que se preguntan hasta qué punto pueden fiarse de que un juego disponible en la tienda ha pasado un filtro de seguridad suficiente.

Este no es el primer episodio que apunta en esa dirección: en el pasado se han detectado mods maliciosos y herramientas de terceros que se colaban en espacios oficiales de la propia Steam o de otros juegos, así como clones y proyectos de baja calidad en distintas plataformas que escondían fraude o malware. El caso actual, sin embargo, destaca por su duración en el tiempo y el volumen potencial de afectados, lo que incrementa la presión sobre Valve para reforzar sus procesos internos.

En el contexto europeo, la cuestión se cruza también con las normas de protección de datos y ciberseguridad; consulta nuestra guía para entender y optimizar tu red. El posible acceso indebido a datos personales y bancarios de ciudadanos de la UE entra en el terreno del RGPD y de las legislaciones nacionales sobre delitos informáticos. Aunque sea el FBI quien lidere la investigación penal en Estados Unidos, cualquier jugador español o europeo afectado podría acudir a las autoridades de su país para denunciar y activar los mecanismos de protección y sanción previstos en la normativa comunitaria.

Qué deben hacer los jugadores de España y Europa si sospechan que están afectados

Si en algún momento entre mayo de 2024 y enero de 2026 descargaste o instalaste BlockBlasters, Chemia, Dashverse, DashFPS, Lampy, Lunara, PirateFi o Tokenova, lo prudente es actuar como si tu equipo pudiera haberse visto comprometido, incluso aunque no hayas notado nada extraño. En ataques de este tipo, la ausencia de síntomas visibles no significa ausencia de riesgo.

Los expertos en seguridad y las propias autoridades recomiendan seguir una serie de pasos encadenados para minimizar posibles daños y detectar cualquier intrusión a tiempo. Lo más básico pasa por:

• Revisar tu historial y biblioteca de Steam para comprobar si en algún momento descargaste o ejecutaste los juegos implicados en la investigación.
• Desinstalar de inmediato cualquier título sospechoso y realizar un análisis completo con un antivirus actualizado, preferiblemente con una segunda opinión de un escáner reputado.
• Cambiar las contraseñas de todas tus cuentas críticas (correo, bancos, plataformas de inversión, monederos cripto, Steam y otras tiendas digitales), utilizando claves largas y únicas para cada servicio.
• Activar la autenticación en dos pasos (2FA) siempre que sea posible, especialmente en servicios financieros, cuentas de correo y perfiles con inventario digital de valor.
• Monitorizar movimientos bancarios y de criptomonedas, así como compras no reconocidas y cambios extraños en el inventario de Steam u otras plataformas.

En paralelo a estas medidas técnicas, quienes residan en España o en otro país europeo disponen de dos vías de actuación complementarias. Por un lado, pueden rellenar el formulario de víctimas habilitado por el FBI, que contribuye a dimensionar el alcance de la operación y puede resultar relevante de cara a futuras acciones legales o posibles compensaciones. Por otro, es recomendable contactar con las fuerzas y cuerpos de seguridad de su país (en España, la Policía Nacional o la Guardia Civil, a través de sus unidades de delitos telemáticos) si se detectan robos o accesos no autorizados.

El FBI recuerda que está obligado legalmente a identificar a las víctimas de los delitos federales que investiga y que la información recopilada se utilizará, entre otras cosas, para ofrecer servicios de apoyo y notificar avances relevantes del caso. La participación es voluntaria y la agencia asegura que mantiene la confidencialidad de los datos personales facilitados por los jugadores.

Para los usuarios españoles y europeos, este caso deja varias enseñanzas claras: ni siquiera las grandes plataformas comerciales garantizan un riesgo cero, descargar siempre desde la tienda oficial no basta para blindarse y la mejor defensa sigue siendo una combinación de hábitos de seguridad básicos, herramientas fiables y reacción rápida. Cualquiera que haya tenido contacto con los juegos señalados haría bien en dedicar un rato a revisar a fondo sus equipos y cuentas; puede que ese pequeño esfuerzo marque la diferencia entre un susto menor y un problema serio de robo de datos o de dinero.

Todo este episodio refleja, en definitiva, cómo la confianza depositada en plataformas gigantes como Steam puede verse explotada por actores maliciosos cuando encuentran resquicios en los procesos de revisión. La intervención del FBI, la retirada de los títulos y el llamamiento a las víctimas no solo ponen el foco sobre un puñado de juegos sospechosos, sino que sirven como aviso para navegantes: el sector del videojuego y sus usuarios, también en España y Europa, tendrán que moverse en adelante con una dosis extra de cautela y con la seguridad digital mucho más presente en su día a día.

Artículo relacionado:

Tutoriales sobre redes y routers: guía completa para entender y optimizar tu red