Un juego gratuito de Steam estuvo disponible durante meses con un malware que robaba tus contraseñas al abrirlo

Un escándalo muy grave asola a Steam debido a que, durante muchos meses, ha albergado un videojuego gratuito muy peligroso para quienes lo descargaron. Llamado Block Blasters, este título aparentemente inocuo incluía malware que robaba contraseñas y credenciales de acceso a servicios de criptomonedas. Por suerte, varios cibervigilantes han puesto fin a esta estafa continuada, y han podido revertir el robo de varias decenas de miles de dólares, incluyendo dinero donado a un streamer que padece cáncer.

La grave polémica de Block Blasters en Steam: un juego que robaba tus contraseñas y criptomonedas sin que lo supieras

El pasado 21 de septiembre, la cuenta de X @vxunderground, dedicada a la ciberseguridad y recopilar todo tipo de malware conocido, ponía el foco en un videojuego de Steam titulado Block Blasters. Se trataba de un título en apariencia normal, pero que ocultaba un peligrosísimo archivo .bat que escaneaba los navegadores en busca de credenciales de inicio de sesión y carteras de criptomonedas.

Esta revelación propició que se reportase en masa el juego a Steam hasta que afortunadamente ha sido retirado de la tienda, pero no sin antes cobrarse cientos de víctimas, entre las que se incluía el streamer Rastaland, que padece cáncer en estadio cuatro. Este creador de contenido aceptaba donaciones para cubrir sus costosas facturas médicas, y el software malicioso de Block Blasters hizo que, de la noche a la mañana, se esfumase de su cryptowallet la friolera de 32.000 dólares.

Según reporta la cuenta dedicada a la ciberseguridad @IntCybrDigest, desde @vxundeground y otros expertos en seguridad de internet no se quedaron de brazos cruzados, y pudieron rastrear a los estafadores a partir del código del videojuego. Tirando el hilo, llegaron hasta un canal de Telegram, y se pudieron recopilar datos sensibles de los ciberdelincuentes que podrían usarse para encerrarlos, incluyendo tanto el funcionamiento de su infraestructura como los datos de casi un millar de víctimas.

Aunque se trata de una historia aún en desarrollo, no pinta tan mal como parecería porque se ha conseguido localizar a los criminales. Por lo demás, un gurú de las criptomonedas donó 30.000 dólares a Rastaland, lo que le permitirá continuar recibiendo su tratamiento contra el cáncer. Aun así, es algo absolutamente inaudito para Steam, y muchos coinciden en que la tienda digital de Gabe Newell debe reforzar su seguridad para que esto no se vuelva a repetir.

Los peligros ocultos de los juegos gratuitos de Steam

Casos como el de Block Blasters —que, por desgracia, no es el primero— ponen de manifiesto el enorme riesgo que supone descargar ciertos juegos gratuitos en Steam, algo agravado por la aparente laxitud de la plataforma a la hora de permitir publicar contenido en ella. Los ciberdelincuentes aprovechan el atractivo de lo gratuito para atraer a miles de jugadores desprevenidos, ocultando software malicioso en títulos que simulan ser pequeñas producciones indie, a primera vista inocuas e inocentes.

Una vez en los equipos de los usuarios, estos programas tienen vía libre para robar credenciales, vaciar carteras de criptomonedas o incluso tomar el control del ordenador y, en función del nivel de acceso, dar pie a nuevos delitos como phishing, chantaje o sextorsiones.

Para enmascarar la actividad delictiva, se suelen usar reseñas falsas dentro de la propia tienda. Los estafadores manipulan las valoraciones con comentarios positivos generados por cuentas falsas, lo que da la impresión no solo de que se trata de un juego “de verdad”, sino que además es bueno, lo cual incita a los jugadores a probarlo. De esta manera, lo que en realidad es una amenaza grave para los incautos que muerda el anzuelo, es enmascarado como una pequeña joya indie, pasando desapercibido tanto para la comunidad como para la propia plataforma.

En definitiva, la polémica de Block Blasters no debería verse como un mero caso aislado, sino como un toque de atención muy urgente tanto para Steam como para sus usuarios. Si la que es la plataforma de juego en PC de facto para millones de personas en todo el mundo ha permitido que malware camuflado como un videojuego campe a sus anchas durante varios meses, significa que sus filtros y el control de su contenido no están a la altura. Steam tiene la responsabilidad y la última palabra sobre el contenido publicado, por lo que debe garantizar medidas y controles más estrictos para proteger a los millones de personas que confían en esta tienda día tras día.