Una nueva campaña masiva de phishing contra cuentas de Steam está afectando principalmente a jugadores rusos, con el objetivo de robar credenciales y saquear inventarios de objetos virtuales de alto valor. Analistas de la empresa de ciberseguridad F6 han identificado al menos 20 sitios web fraudulentos que se hacen pasar por páginas oficiales de Steam y Twitch, ofreciendo supuestas tarjetas regalo de 5 a 50 dólares y “skins gratis” para juegos populares.
Phishing en Steam: tarjetas regalo y skins gratis como anzuelo
Los operadores de la campaña utilizan una estrategia clásica de ingeniería social: promesas de recompensas gratuitas en Steam a cambio de iniciar sesión. Los sitios se presentan como promociones temporales, “eventos especiales” o campañas de obsequios vinculadas a hitos de la plataforma, como un imaginario aniversario de Steam, un “maratón de regalos de invierno” o falsas ofertas de fin de año.
Para atraer tráfico, los atacantes distribuyen enlaces a estos sitios de phishing de Steam a través de YouTube, TikTok y otros servicios de vídeo. Publican clips cortos que muestran, paso a paso, cómo supuestamente se canjean las tarjetas regalo o se reclaman los skins, acompañados de instrucciones para “no perderse la oferta”. Los enlaces maliciosos se insertan en la descripción del canal, dentro del propio vídeo o se redirige a los usuarios a canales de Telegram donde se difunden las URL.
Visualmente, las páginas maliciosas imitan de forma minuciosa el diseño del sitio oficial de Steam: logotipos, tipografías, esquema de colores e incluso mensajes de error. Este nivel de copia hace que muchos usuarios pasen por alto el elemento crítico de seguridad: el nombre de dominio real que aparece en la barra de direcciones del navegador.
Truco de la doble barra de direcciones y suplantación de dominio
Un aspecto técnico especialmente peligroso de la campaña es el uso de una “doble barra de direcciones” simulada. En la parte superior de la página se inserta un elemento gráfico con el texto “steamcommunity.com”, diseñado para parecer la barra de URL del navegador. De este modo, en pantalla se muestran dos barras: la auténtica, controlada por el navegador, y una segunda, integrada en el propio diseño del sitio fraudulento.
Los usuarios que se fijan solo en la barra “dibujada” pueden creer que están en el dominio legítimo de Steam y proceder a introducir su nombre de usuario y contraseña. En realidad, esos datos se envían inmediatamente al servidor de los ciberdelincuentes, que pueden iniciar sesión en la cuenta, cambiar la contraseña, sustituir el correo de recuperación y vaciar el inventario de objetos comerciables.
Falsos Twitch Drops para CS2 y Rust: enlaces de un solo uso y evasión de detección
La misma infraestructura de ataque se combina con sitios falsos que emulan Twitch y ofrecen Twitch Drops supuestamente exclusivos para Counter-Strike 2 (CS2) y Rust. A la víctima se le invita a introducir un código promocional o a vincular su cuenta para recibir skins especiales tras “ver una retransmisión”. Al pulsar el botón de acceso con Steam, el usuario no es redirigido al proveedor legítimo de identidad, sino a otra página de phishing que copia la ventana de inicio de sesión de Steam.
Enlaces desechables para complicar la labor de los defensores
Una característica llamativa de este escenario es el uso de enlaces de un solo uso. La URL solo funciona la primera vez que se abre desde un dispositivo concreto; si se intenta reutilizarla, verla desde otro equipo o remitirla como prueba a moderadores o reguladores, la página aparece en blanco o inofensiva. Según F6, esta técnica dificulta la labor de los sistemas automatizados de monitorización y de los organismos encargados del bloqueo, porque muchas veces el contenido malicioso ya no está disponible en el momento de la revisión.
De acuerdo con el análisis publicado, los enlaces se difunden directamente en los chats de retransmisiones de CS2 y Rust, simulando ser Twitch Drops legítimos. Aunque la moderación de Twitch acaba eliminando estos mensajes, el retraso de unos minutos es suficiente para que una parte de la audiencia acceda al enlace y entregue sus credenciales.
Todos los recursos detectados en este vector muestran una interfaz base en inglés, pero los formularios de inicio de sesión, mensajes de error y ayudas contextuales están completamente localizados al ruso. Esta adaptación lingüística refuerza la credibilidad del fraude entre la audiencia objetivo.
Por qué las cuentas de Steam son un objetivo tan valioso
Una cuenta de Steam no solo contiene juegos adquiridos, sino también un inventario de objetos digitales: skins, cajas, pegatinas y otros artículos comerciables. En el mercado secundario de objetos de CS2 y otros títulos, algunos de estos ítems alcanzan valores de cientos o miles de dólares. Por ello, para los atacantes el verdadero objetivo no es la biblioteca de juegos, sino el inventario y la posibilidad de monetizarlo en plataformas de terceros.
Tras tomar el control de una cuenta, los ciberdelincuentes suelen transferir rápidamente los objetos más valiosos a perfiles bajo su control o venderlos de inmediato. Además, las cuentas comprometidas se utilizan como vector de propagación: se envían mensajes a los contactos de la víctima con nuevos enlaces de phishing, aprovechando la confianza previa, un patrón observado de forma recurrente en incidentes de seguridad en plataformas de juego online.
Dominios, bloqueo y el papel clave de la concienciación en seguridad
Parte de los dominios maliciosos identificados en esta campaña, registrados en la zona .RU, ya han sido bloqueados por las autoridades locales. Sin embargo, una proporción significativa utiliza extensiones menos controladas, como .PW, .CC, .COM, .PRO o .WORLD. El uso de dominios internacionales y de bajo coste permite a los atacantes mover rápidamente su infraestructura y minimizar el impacto de los bloqueos puntuales.
Ante esta dinámica, la respuesta técnica y regulatoria resulta necesaria pero insuficiente. La experiencia de diversos incidentes documentados por empresas de seguridad muestra que la medida más efectiva a largo plazo es elevar el nivel de cultura de ciberseguridad entre los gamers. Algunas recomendaciones básicas incluyen: no iniciar sesión en Steam desde enlaces recibidos por chats, descripciones de vídeos o mensajes privados; escribir manualmente “steamcommunity.com” o usar el cliente oficial; revisar siempre el dominio real en la barra de direcciones; activar Steam Guard y la autenticación de dos factores; y utilizar contraseñas únicas y robustas para el correo y la cuenta de Steam.
Compartir este tipo de información en comunidades de jugadores, foros y redes sociales reduce la superficie de ataque y dificulta la expansión de campañas como la descrita. Cada usuario que aprende a identificar un sitio falso de Steam o un Twitch Drop fraudulento no solo protege su cuenta y su inventario, sino que también ayuda a frenar un mercado ilícito que convierte objetos virtuales en dinero real.
