Los usuarios de Steam se vieron sacudidos recientemente por rumores de una enorme brecha de seguridad, con afirmaciones de que casi 89 millones de cuentas estaban a la venta por unos míseros $5.000 en la dark web. Afortunadamente, Valve ha dado un paso al frente para aclarar las cosas: Los sistemas de Steam permanecen intactos y no hay pruebas de un pirateo masivo.
En un comunicado oficial, Steam confirmó que sus sistemas internos no se vieron comprometidos. En su lugar, los datos en cuestión procedían de un servicio de SMS de terceros que proporciona códigos de autenticación de dos factores. Aunque cualquier filtración puede ser alarmante, este incidente en particular supone un riesgo muy limitado para la seguridad de tu cuenta de Steam.
Steam desmiente los rumores de brecha
Valve no ha tardado en responder a los rumores. Según la compañía, una investigación interna no encontró ningún indicio de violación de los servidores o bases de datos de Steam. Aquellos mensajes alarmistas que afirmaban que tus credenciales de juego y datos personales habían sido robados resultaron ser infundados.
Blog oficial de Steam aclaró que la única información expuesta consistía en mensajes SMS antiguos que contenían códigos de un solo uso y los números de teléfono a los que fueron enviados. Estos fragmentos de datos no tienen prácticamente ningún valor por sí mismos, sobre todo porque caducan en cuestión de minutos.
La Fuente Real: Antiguos mensajes SMS 2FA
Entonces, ¿de dónde proceden estos mensajes filtrados, si no es del propio Steam? La respuesta está en uno de los proveedores externos responsables de enrutar los códigos de autenticación de dos factores (2FA) basados en SMS. Steam depende de servicios externos para gestionar la mayor parte del envío de mensajes de texto, y ahí es donde se produjo el error.
Al parecer, se descubrió un archivo de registros históricos de SMS que mostraba códigos de un solo uso válidos durante 15 minutos y los números de teléfono asociados. Estos códigos nunca se vincularon a cuentas individuales de Steam, lo que significa que los fragmentos de datos filtrados son inútiles una vez que caducan.
SMS 2FA: por qué no es el estándar de oro
A pesar de su popularidad, la 2FA basada en SMS siempre se ha considerado una forma de autenticación más débil. Los mensajes de texto se pueden interceptar, las tarjetas SIM se pueden intercambiar y los registros almacenados por las operadoras o los servicios de entrega se pueden filtrar, y eso es exactamente lo que ocurrió aquí.
Hace tiempo que los expertos en seguridad aconsejan abandonar la 2FA por SMS en favor de métodos más robustos, como las contraseñas de un solo uso basadas en el tiempo (TOTP) o las claves de seguridad por hardware. Aunque los códigos SMS son mejores que no tener 2FA, no deberían ser tu primera opción para proteger cuentas sensibles.
Entender la filtración de SMS 2FA
El archivo filtrado sólo contenía mensajes antiguos, no una transmisión en directo de los códigos. Incluso si los hackers consiguieron hacerse con estos registros, los códigos ya habían superado su vida útil de 15 minutos. Además, sin saber a qué cuenta de Steam pertenecía cada número de teléfono, no hay una vía directa para secuestrar una cuenta.
En resumen, esta filtración fue una exposición de datos de códigos literalmente desechables, y un importante recordatorio de que los SMS no son infalibles. La buena noticia es que ni las contraseñas, ni los nombres de usuario, ni las claves de Steam Guard han estado en peligro, por lo que tu biblioteca de juegos está a buen recaudo.
Cómo mantener tu cuenta de Steam como una fortaleza
Aunque este incidente concreto es de bajo riesgo, es una oportunidad perfecta para reforzar la seguridad de tu cuenta. Si todavía confías en la autenticación basada en SMS, considera cambiar a una alternativa más segura. La aplicación móvil de Steam incluye un autenticador Steam Guard integrado, que genera códigos localmente en tu dispositivo.
También puedes optar por cualquier aplicación TOTP estándar del sector, como Google Authenticator, Authy o Microsoft Authenticator. Estas aplicaciones generan nuevos códigos cada 30 segundos y son inmunes a las mismas vulnerabilidades que afectan a los sistemas basados en SMS. Añadir una llave de seguridad de hardware (como una YubiKey) lleva la seguridad un paso más allá al requerir la presencia física para cada inicio de sesión.
Consejo extra: Mantén siempre actualizados tu cliente de Steam y tu sistema operativo. Las actualizaciones periódicas de software suelen incluir parches para vulnerabilidades recién descubiertas, que cierran posibles brechas antes de que los atacantes puedan explotarlas.
Siguiendo estas buenas prácticas, te asegurarás de que tu cuenta de Steam permanezca segura, independientemente de los titulares sensacionalistas que aparezcan a continuación.
