Valve confirma que se han filtrado datos de 89 millones de usuarios de Steam. Pero niega que salieran de sus servidores
Publicado el 15/05/2025 por Diario Tecnología Artículo original
En las últimas horas, varios medios especializados han informado de que el hacker conocido como Machine1337 habría puesto a la venta una base de datos con más de 89 millones de cuentas en un foro de la dark web por 5.000 dólares. Según se ha confirmado, los datos pertenecerían a usuarios de Steam, la mayor plataforma de distribución de videojuegos digitales del mundo.
Valve ha salido al paso de los rumores confirmando que los datos filtrados provienen efectivamente de mensajes de Steam, aunque niega tajantemente que se haya producido una brecha en sus sistemas.
Qué datos se han filtrado
Según la información publicada, la base de datos incluye números de teléfono, metadatos relacionados con la autenticación en dos pasos y códigos de un solo uso enviados por SMS, aunque estos últimos ya habrían caducado por el tiempo transcurrido desde su emisión.
Valve, en declaraciones recogidas por XDA-Developers, ha declarado lo siguiente:
Ayer nos dieron a conocer los informes de filtraciones de mensajes de texto antiguos que se habían enviado previamente a los clientes de Steam. Hemos examinado la muestra de fugas y hemos determinado que ESTO NO fue una violación de los sistemas Steam.
La compañía añade que sigue investigando la fuente de la filtración, y apunta a que los mensajes SMS no están cifrados durante su tránsito, lo que los hace más vulnerables. En su recorrido hasta el usuario pasan por múltiples intermediarios, por lo que la filtración podría haber tenido lugar fuera de sus propios servidores.
No hay que preocuparse por la contraseña
Valve asegura que la información filtrada no incluye contraseñas, información de pago, ni datos personales asociados a las cuentas de Steam, más allá del número de teléfono al que se enviaron los mensajes y los códigos temporales. Estos códigos, además, solo eran válidos durante un periodo de 15 minutos y no pueden usarse para acceder a cuentas.
Desde la perspectiva de Steam, los clientes no necesitan cambiar sus contraseñas o números de teléfono como resultado de este evento. Es un buen recordatorio para tratar cualquier mensaje de seguridad de la cuenta que no haya solicitado explícitamente como sospechoso. Recomendamos verificar regularmente la seguridad de su cuenta de Steam en cualquier momento en https://store.steampowered.com/account/authorizeddevices.
¿Dónde se produjo entonces la brecha? Una de las grandes incógnitas del caso es dónde se produjo exactamente la filtración. Valve señala que el envío de los mensajes SMS implica la participación de proveedores externos, y algunas voces apuntan a Twilio como posible eslabón comprometido. Aunque por ahora no hay ninguna confirmación oficial, esta situación reabre el debate sobre la fragilidad de los SMS como sistema de autenticación.
Los mensajes SMS no están cifrados, por lo que pueden ser interceptados durante su tránsito sin necesidad de acceder a los servidores de origen o destino. Esta vulnerabilidad estructural podría haber sido explotada para capturar los datos ahora puestos a la venta.
Steam recomienda usar su autenticador móvil
Como medida preventiva, Valve insta a los usuarios a sustituir el sistema de autenticación por SMS por Steam Mobile Authenticator, integrado en la app de Steam Guard. Este sistema es más seguro, ya que opera desde la propia aplicación móvil y evita el envío de mensajes no cifrados.
Para ilustrar la fiabilidad de su sistema, Valve recuerda un gesto del propio Gabe Newell, CEO de la compañía, quien hace 14 años retó públicamente a que hackearan su cuenta de Steam proporcionando incluso su clave de acceso. Hasta la fecha, nadie ha conseguido hacerlo, lo que refuerza la seguridad del ecosistema Steam cuando se configura correctamente.
En definitiva, aunque la filtración ha puesto en alerta a los usuarios, no se ha vulnerado directamente la plataforma de Steam, y los datos comprometidos son residuales y caducados. Aun así, desde Valve insisten en seguir buenas prácticas de seguridad y abandonar el uso de SMS como método principal de autenticación.
Imágenes | Florian Olivo Xataka Móvil
utm_campaign=15_May_2025"> José Alberto Lizana .