Valve ha alertado a la comunidad sobre la comprometida seguridad de BlockBlasters, un juego distribuido en Steam que, tras su última actualización, fue utilizado para robar criptomonedas a usuarios objetivo. El título ya ha sido retirado de la tienda, pero se insta a quienes lo ejecutaron a realizar verificaciones de seguridad en sus equipos.
Hechos confirmados y cronología: una actualización convertida en canal de ataque
De acuerdo con los avisos de Valve y reportes comunitarios, BlockBlasters fue considerado seguro hasta el 30 de agosto de 2025. En esa fecha se incorporó un componente malicioso diseñado para la exfiltración de claves y fondos cripto, lo que sugiere un abuso del mecanismo de actualización como vector de entrega. Este patrón es característico de ataques a la cadena de suministro, donde un software legítimo se vuelve un medio de distribución de código hostil, incrementando el riesgo para instalaciones ya existentes.
Impacto: pérdidas registradas y alcance de la campaña
El caso más visible es el del creador de contenido Raivo Plavnieks (RastalandTV), quien reportó la pérdida de 32.000 dólares en donaciones tras instalar BlockBlasters. La atención mediática aceleró el escrutinio por parte de analistas de seguridad y la comunidad cripto.
Según el reconocido analista on-chain ZachXBT, los atacantes sustrajeron al menos 150.000 dólares a 261 usuarios de Steam. Por su parte, el grupo de investigación VXUnderground identificó hasta 478 potenciales víctimas, lo que apunta a un alcance mayor de la amenaza. Estas cifras pueden variar a medida que avanza el análisis forense y se consolidan reportes de afectados.
Vector de ataque: ingeniería social y selección de víctimas con criptoactivos
La operación combinó ingeniería social con aprovechamiento de la reputación de la plataforma. Investigaciones independientes indican que los atacantes localizaron en X (antes Twitter) a perfiles asociados con altos volúmenes de criptoactivos y les enviaron mensajes directos invitándoles a probar y promocionar el juego. Ver el producto en Steam redujo la percepción de riesgo de las víctimas, un ejemplo clásico de “mimetismo reputacional”.
Mitigación y respuesta: pasos prioritarios para usuarios potencialmente afectados
Si ejecutaste BlockBlasters después del 30/08/2025
Valve recomienda una exploración antivirus completa, la revisión de aplicaciones sospechosas o recién instaladas y, en escenarios de alto riesgo, reinstalar la OS para erradicar persistencias. En el ámbito cripto, incluso un acceso breve del atacante puede exponer semillas (seed) y claves privadas, por lo que se aconseja migrar fondos a nuevos wallets, rotar claves y almacenar las semillas fuera de línea; preferentemente, usar hardware wallets. Complementa con actualización de software y navegadores, eliminación de extensiones desconocidas y 2FA en todas las cuentas relevantes.
Señales de riesgo en juegos y lanzadores de Steam
Aumenta la cautela si un juego solicita módulos externos fuera de Steam, permisos excesivos, actualizaciones inesperadas o exhibe tráfico de red anómalo. Verifica la trayectoria del desarrollador, reputación del proyecto, comentarios de la comunidad y la frecuencia de parches. Sospecha de invitaciones a testeo vía mensajes directos en redes, en especial si gestionas o exhibes criptoactivos públicamente.
Lecciones clave: “zero trust” y defensa en profundidad
El caso BlockBlasters refuerza que ni siquiera plataformas consolidadas garantizan riesgo cero. La táctica de abusar del sistema de actualizaciones ya se ha visto en incidentes notorios de cadena de suministro en la industria, subrayando la necesidad de defensa en capas: principio de zero trust en software lúdico, parches al día, mínimo privilegio y segmentación operativa (separar juegos y gestión de cripto en dispositivos distintos o emplear hardware wallets). En términos de respuesta, marcos como las buenas prácticas de manejo de incidentes recomiendan contener, erradicar, recuperar y post-mortem para evitar recurrencias.
La retirada de BlockBlasters y las cifras reportadas son un recordatorio directo: revisa tus dispositivos hoy, rota claves si hay sospecha, endurece tu postura de seguridad y mantén un escepticismo saludable ante pruebas o patrocinios de terceros. La formación continua y la aplicación de controles básicos pueden marcar la diferencia entre un susto y una pérdida irreversible.
