Incluso Steam, la mayor tienda online de videojuegos de PC, no está exenta de aplicaciones maliciosas. El último caso conocido es BlockBlasters, un juego de plataformas 2D, que en segundo plano ejecuta un ladrón de credenciales.
El malware en Steam
Valve, la empresa detrás de Steam, ha apostado a lo largo de los años por proyectos para abrir la puerta a pequeños desarrolladores. Proyectos como Steam Greenlight, Steam Direct o acceso anticipado.
Concretamente, Steam Direct consiste en tres pasos para poder publicar en la tienda: el primero y segundo se basan en papeleo; mientras que el tercero es la fase de revisión, donde el equipo de Steam pone a prueba el juego para asegurar que no desencadena comportamientos inesperados en los equipos de los usuarios.
Por tanto, si Steam dispone de un sistema de pruebas y revisión, ¿cómo se infiltra el malware? En la mayoría de los casos, los desarrolladores publican una versión inicial sin ninguna traza maliciosa para, posteriormente, actualizar el juego añadiendo los comportamientos y el malware. Tras esto, comienza la fase de ingeniería social para conseguir que las víctimas descarguen el juego.
El caso viral de BlockBlasters
El último caso de este tipo ha sido BlockBlasters, desarrollado por Genesis Interactive. Este se ha viralizado especialmente debido a que una de sus víctimas ha sido el creador de contenido RastalandTV, el cual se encontraba en directo recolectando donaciones para su tratamiento de cáncer, cuando un espectador le recomendó dicho juego y le robaron más de 30.000 dólares.
BlockBlasters fue publicado el 30 de julio de 2025 sin ningún tipo de malware, no fue hasta el 12 de agosto que empezó a recibir actualizaciones y cambios en el código. Específicamente, el 30 de agosto publicaron la versión (build) 19799326 donde se modificaron varios archivos, los cuales contenían el malware.
El programa malicioso funcionaba de manera «clásica», uno de los archivos se encargaba de rastrear el equipo en busca de información como el sistema operativo, antivirus, etc. Una vez, este terminaba de recolectar toda la información necesaria desplegaba otros dos: uno de ellos era un stealer especializado en navegadores (contraseñas, cookies y carteras de criptomonedas) mientras que el otro enviaba la información robada a un canal de Telegram.
Tras la tragedia y la viralidad, un grupo de expertos publicaron un informe forense en el que analizan el comportamiento del malware en profundidad, obteniendo acceso al canal de Telegram y publicando la lista de afectados, entre otra información relevante.
Finalmente, se han identificado dos actores detrás de la estafa y su información ya ha sido notificada a las autoridades competentes.
Otros casos de malware en Steam
Si bien es cierto que BlockBlasters ha sido el caso más viral, no es el único. En lo que va de 2025 es el cuarto videojuego detectado con estos comportamientos:
- 2018. Abstractism. Instalaba un minero de criptomonedas.
- Slay the Spire, mod. Downfall. Instalaba un infostealer.
- 2025. Sniper: Phantom’s resolution. Demo que instalaba un ladrón de credenciales.
- 2025. Chemia. Instalaba varios tipos de malware.
- 2025. PirateFi. Malware avanzado de robo de credenciales e información de sesiones.
Conclusiones y recomendaciones
El malware y los ciberdelincuentes se encuentran en todas partes hoy día y páginas en las que se tiene confianza, como Steam, son el principal objetivo. Realizar algo totalmente legítimo como descargar un videojuego es también un posible riesgo. Por tanto, lo más recomedable es seguir una serie de pautas como el uso de antivirus, dobles factores, gestores de contraseñas, entre otros. Siendo lo más importante, tener sentido común.
Más información
- Youtube. 2025. BaityBait. STEAM y su problema con el MALWARE. https://www.youtube.com/watch?v=XR7QGGYOd9M
- Youtube. 2025. BaityBait. STEAM PERMITE el robo MÁS ASQUEROSO del año. https://www.youtube.com/watch?v=JoxDe7L5moc
- Yahoo News. 2025. Nathaniel Mott. Twitch streamer raising money for cancer treatment has funds stolen by malware-ridden Steam game — BlockBlasters title stole $150,000 from hundreds of players. https://www.yahoo.com/news/articles/twitch-streamer-raising-money-cancer-144945930.html
- SteamDB. 2025. BlockBlasters Build 19799326 on 30 August 2025. https://steamdb.info/patchnotes/19799326/
- 2025. BlockBlasters Forensic Report. https://docs.google.com/document/d/1vI4uKIYLl5iw6k1gspG4KY1JOoMIBGC1B6drPHmIZic/edit?tab=t.0#heading=h.u52snj6f3ie3
- Bitdefender. 2018. Graham Clueley. Steam game Abstractism pulled after cryptomining accusations. https://www.bitdefender.com/en-us/blog/hotforsecurity/steam-game-abstractism-pulled-after-cryptomining-accusations
- BleepingComputer. 2025. Bill Toulas. Hacker sneaks infostealer malware into early access Steam game. https://www.bleepingcomputer.com/news/security/hacker-sneaks-infostealer-malware-into-early-access-steam-game/
- Kaspersky. 2025. Alexey Sadylko. Atención, jugadores: los troyanos han invadido Steam. https://www.kaspersky.es/blog/games-with-trojans-in-steam/30774/
La entrada BlockBlasters: así roban tus contraseñas en Steam se publicó primero en Una Al Día.
