- El FBI investiga varios juegos de Steam publicados entre mayo de 2024 y enero de 2026 por ocultar malware para robar datos y dinero.
- Siete títulos concretos (como BlockBlasters, Chemia o PirateFi) sirvieron como vehículo para info‑stealers y ataques a billeteras cripto.
- Valve retiró los juegos y colabora con el FBI, mientras se pide a las posibles víctimas que rellenen un formulario oficial y revisen sus cuentas.
- El incidente afecta también a usuarios de Europa y España, que deben extremar medidas de seguridad y pueden acudir a sus propias fuerzas policiales.
Durante casi dos años, varios videojuegos aparentemente inofensivos disponibles en Steam habrían servido como puerta de entrada para malware capaz de robar datos personales, credenciales y criptomonedas de los jugadores. Lo que empezó pareciendo otro caso de títulos «basura» en una gran tienda digital ha terminado convertido en una investigación formal del FBI, con la colaboración de Valve y una atención creciente por parte de la comunidad también en España y el resto de Europa.
La División de Seattle del FBI ha lanzado un llamamiento público para localizar a usuarios que instalaron determinados juegos infectados entre mayo de 2024 y enero de 2026. No se trata de simples ejecutables sospechosos bajados de webs oscuras, sino de lanzamientos que pasaron por los procesos habituales de publicación de Steam, acumularon descargas e incluso recibieron actualizaciones que habrían introducido o reforzado el código malicioso con el tiempo.
Qué está investigando el FBI y por qué afecta también a Europa
Según el aviso oficial de la agencia, la investigación se centra en una campaña prolongada de distribución de malware a través de juegos publicados en Steam. El objetivo de los atacantes habría sido robar información del usuario y obtener acceso a cuentas, credenciales y datos financieros, aprovechando la confianza que genera descargar software desde una plataforma tan extendida como la de Valve.
Aunque la investigación se coordina desde Estados Unidos, el caso tiene un claro alcance internacional: Steam cuenta con millones de jugadores en todo el mundo, incluidos cientos de miles de usuarios en España y otros países europeos. Si alguien descargó uno de los juegos señalados, el riesgo es el mismo con independencia del país, ya que la distribución se hizo a través del mismo escaparate global.
Para avanzar en el caso, el FBI ha habilitado en su web un formulario oficial para víctimas dentro de su apartado de servicios a afectados. En él se piden datos como el nombre de usuario de Steam, qué juegos se instalaron y en qué fechas, además de posibles pérdidas económicas o accesos no autorizados a cuentas bancarias, billeteras cripto o inventarios digitales de plataformas como Steam.
Valve, por su parte, ha verificado públicamente que el aviso del FBI es legítimo y ha animado a los jugadores a colaborar. Algunos usuarios han compartido correos de la propia Steam en los que se menciona la investigación, se hace referencia a títulos concretos —como DashFPS— y se pide contactar con las autoridades federales si se instaló el juego durante el periodo investigado.
Los juegos señalados: una lista corta, pero muy preocupante
La documentación difundida por el FBI y recogida por varios medios especializados incluye una lista concreta de juegos de Steam bajo investigación, todos ellos disponibles en algún momento entre 2024 y principios de 2026. Los títulos identificados son:
- BlockBlasters
- Chemia
- Dashverse / DashFPS
- Lampy
- Lunara
- PirateFi
- Tokenova
En general, se trata de juegos indie poco conocidos, alejados de los grandes lanzamientos de la plataforma, pero que lograron un volumen de descargas suficiente como para que el daño potencial no sea precisamente menor. El caso de BlockBlasters se ha convertido en el más llamativo: el juego se lanzó aparentemente limpio, generó cierta confianza y, en un momento posterior, recibió una actualización que introducía un script orientado al robo de carteras de criptomonedas y otros datos sensibles almacenados en el PC.
Distintas fuentes han vinculado ese título con robos que van desde decenas de miles hasta alrededor de 150.000 dólares en criptoactivos en varios incidentes separados, incluidos casos mediáticos de streamers que vieron desaparecer sus fondos en directo mientras jugaban. El malware se centraba en rastrear credenciales y archivos asociados a wallets digitales, utilizando la sesión del usuario para tomar control de sus activos.
Chemia, presentado como un juego de supervivencia en acceso anticipado, habría sido diseñado para capturar contraseñas, información bancaria y otros datos de alta sensibilidad. Otros títulos como Dashverse, DashFPS y PirateFi también figuran en los documentos por su papel en la sustracción de credenciales y datos personales. En el caso de PirateFi, algunas estimaciones hablan de unos 1.500 jugadores que llegaron a descargarlo antes de que fuera retirado de la tienda.
La ventana temporal que maneja el FBI va de mayo de 2024 a enero de 2026, lo que demuestra que no hablamos de un experimento puntual, sino de una operación sostenida en el tiempo. Durante casi dos años, estos juegos estuvieron disponibles en Steam, pasaron sus filtros de publicación y, en varios casos, se actualizaron con componentes que habrían colado el malware cuando el título ya contaba con cierta base de usuarios.
Cómo funcionaba el malware oculto en los juegos de Steam
La táctica utilizada por los atacantes se ajusta bastante al clásico «caballo de Troya» aplicado al mundo del videojuego. Primero se lanza un título funcional, aunque sea sencillo, para ganarse un mínimo de confianza y esquivar sospechas; después, mediante actualizaciones, parches o archivos adicionales, se incorpora el código malicioso destinado a robar información sin que el usuario perciba cambios evidentes.
El tipo de amenaza descrita por el FBI entra en la categoría de malware info‑stealer, es decir, malware enfocado a extraer credenciales, cookies de sesión, datos personales e incluso acceso a monederos digitales. En la práctica, eso significa que el software puede buscar datos de inicio de sesión guardados en el navegador, tokens de autenticación, carteras de criptomonedas instaladas en el equipo o información de pago asociada a servicios online.
Una vez recopilada esa información, los atacantes pueden utilizarla para acceder sin autorización a cuentas de Steam, bancos, exchanges, plataformas de pago o servicios de correo electrónico. También pueden revender los datos en foros clandestinos o combinarlos con otras filtraciones para elaborar perfiles completos de las víctimas y facilitar fraudes posteriores o suplantación de identidad.
En la mayoría de los casos, el impacto visible en el ordenador afectado es muy discreto: ligeras ralentizaciones, algún cuelgue esporádico o, directamente, ningún síntoma apreciable. Eso hace que muchos jugadores no lleguen a sospechar que algo va mal, sobre todo porque el juego funciona y parece cumplir lo prometido. La prioridad de los delincuentes no era dañar el sistema de forma llamativa, sino mantenerse invisibles mientras extraían la máxima cantidad de datos y dinero.
Aunque la agencia no ha publicado todos los detalles técnicos del código por motivos obvios, sí deja claro que se trata de una operación más compleja que un simple virus aislado. Los investigadores apuntan a un ecosistema delictivo con desarrolladores, colaboradores y posibles afiliados que van refinando sus técnicas, ajustando el malware para esquivar mejor los controles automáticos y explotando cualquier hueco en los procesos de revisión de las grandes plataformas.
La reacción de Valve y el papel de las grandes plataformas digitales
Una vez detectada la presencia de malware, Valve retiró de Steam los juegos afectados y comunicó a los usuarios potencialmente expuestos lo que estaba ocurriendo. En los correos que algunos jugadores han compartido, la compañía explica que coopera con las fuerzas de seguridad y recomienda a quienes descargaron estos títulos que se pongan en contacto con el FBI a través de los canales oficiales habilitados para víctimas.
Además de la retirada, la empresa habría ofrecido orientaciones de seguridad y cierto soporte técnico a los clientes que lo solicitaron, incluyendo consejos para revisar sus equipos, reseteos de contraseñas y medidas de protección adicionales en las cuentas de Steam. Diversas informaciones apuntan a que se han ofrecido algunas compensaciones puntuales, aunque no se ha hecho público un programa masivo ni homogéneo de resarcimiento.
Pese a la respuesta, el episodio ha reavivado una pregunta que muchos jugadores se hacen en España y en el resto de Europa: ¿hasta qué punto podemos fiarnos de los filtros de una tienda tan grande como Steam? Publicar un juego en esta plataforma no resulta especialmente caro, y con el enorme volumen de títulos que llegan cada año, resulta complicado realizar una verificación minuciosa y manual de todos los archivos.
El propio historial de la tienda demuestra que no es la primera vez que se cuela software malicioso. En años recientes ya se habían detectado juegos de baja calidad y mods de comunidad que escondían malware, tanto en Steam como en otros ecosistemas digitales. El patrón tiende a repetirse: productos funcionales, con apariencia legítima, que pasan la criba inicial y, con el tiempo, se convierten en vectores de ataque.
Para una plataforma global como Steam, el desafío se mueve en una delgada línea: por un lado, quieren seguir siendo un escaparate abierto para estudios independientes; por otro, tienen que reforzar los controles de seguridad para frenar a los desarrolladores maliciosos. A esto se suma la presión regulatoria en regiones como la Unión Europea, donde normas sobre protección de datos y ciberdelincuencia elevan el listón de responsabilidad cuando una filtración implica datos personales de ciudadanos europeos.
Qué deben hacer los jugadores si creen haber sido víctimas
Si piensas que pudiste instalar alguno de los juegos señalados durante el periodo investigado, lo más sensato es actuar como si hubieras estado expuesto, incluso aunque no notes nada extraño. La combinación de juegos aparentemente normales y malware silencioso hace que muchas personas afectadas ni siquiera sean conscientes del problema.
Las principales recomendaciones que repiten especialistas y autoridades pueden resumirse en varios pasos encadenados, bastante asumibles para cualquier usuario medio:
- Revisar con calma tu historial de compras y descargas en Steam para comprobar si en algún momento instalaste BlockBlasters, Chemia, Dashverse, DashFPS, Lampy, Lunara, PirateFi o Tokenova entre mayo de 2024 y enero de 2026.
- Desinstalar los juegos afectados (si aún siguen en tu equipo) y pasar un escaneo completo con un antivirus actualizado o una herramienta anti‑malware de confianza.
- Cambiar las contraseñas de tus principales cuentas online: correo electrónico, bancos, servicios de criptomonedas, Steam y otras tiendas de juegos, utilizando combinaciones largas y únicas.
- Activar la autenticación en dos pasos siempre que esté disponible, especialmente en servicios financieros, plataformas de intercambio de criptomonedas y cuentas de juego que almacenen objetos de valor.
- Revisar movimientos bancarios, operaciones en exchanges y actividad en billeteras digitales, así como cualquier compra o transferencia que no reconozcas.
Además, si resides en España u otro país europeo, puedes combinar la vía internacional con la nacional. Por un lado, es posible completar el formulario habilitado por el FBI para víctimas de esta investigación, aportando todos los detalles de los que dispongas. Por otro, se recomienda contactar con las fuerzas de seguridad de tu país —en España, por ejemplo, la Policía Nacional o la Guardia Civil a través de sus unidades especializadas en delitos informáticos— para interponer denuncia en caso de robo de fondos o de accesos no autorizados a cuentas.
El propio FBI recuerda que, de acuerdo con la legislación estadounidense, tiene la obligación de identificar y notificar a las víctimas de los delitos federales que investiga. La información que se reciba a través del formulario puede resultar clave para dimensionar el alcance del ataque y, en su caso, organizar servicios de apoyo o procesos de compensación si los tribunales lo establecen. La agencia también insiste en que las comunicaciones se hagan únicamente por canales oficiales, para evitar que otros estafadores se aprovechen del contexto.
Todo este episodio deja una advertencia clara para quienes juegan desde España y Europa: ni siquiera las grandes plataformas escapan al riesgo de ser utilizadas como vector de ataque. La popularidad de Steam, la rapidez con la que se publican nuevos juegos y el valor económico que se concentra en cuentas, inventarios digitales y monederos vinculados hacen que se haya convertido en un objetivo prioritario para los ciberdelincuentes.
Al final, este caso del FBI investigando juegos con malware oculto en Steam refuerza una idea que a veces olvidamos: descargar desde una tienda oficial reduce el riesgo, pero no lo elimina por completo. Mantener buenos hábitos de seguridad, desconfiar de proyectos extraños que prometen recompensas fáciles, revisar con frecuencia nuestras cuentas y prestar atención a los avisos de organismos oficiales y de la propia Valve se vuelve imprescindible para que un rato de juego no acabe saliendo carísimo.
