FBI investiga Steam: la tienda donde el malware te llega en un parche

Steam no era el rincón oscuro de internet donde te bajas un archivo llamado juego_final_definitivo2.zip desde una web con calaveras y tres banners de casino. Steam era la tienda donde entras tranquilo, compras, instalas y dejas que tus juegos se actualicen automáticamente mientras tú te haces un café. Pero parece que el FBI no lo ve igual.

El FBI investiga Steam y ha abierto un formulario oficial para buscar víctimas de juegos con malware distribuidos en la plataforma entre 2024 y 2026, incluyendo títulos como BlockBlasters, Chemia, Dashverse/DashFPS, Lampy, Lunara, PirateFi y Tokenova. O sea, que el problema no es solo que se hayan colado juegos chungos. El problema es que la plataforma donde medio PC gaming baja la guardia se ha comido una feria de troyanos con actualización automática y cara de servicio oficial.

Steam no era una tienda, era un Mercadona con malware en el pasillo 3

Tú instalas el juego, lo pruebas, no explota nada, no ves calaveras, no suena ninguna alarma ni te sale una ventana diciendo: “enhorabuena, has ganado un troyano”. Pasan los días, llega una actualización y Steam hace lo que lleva años haciendo: te actualiza el juego al abrir la plataforma o al ejecutarlo. Y enhorabuena: ahora sí has ganado un troyano.

Y ahí está la gracia macabra. El sistema pensado para que no tengas que preocuparte por nada se convierte en la autopista perfecta para colarte la puñalada sin hacer ruido. Tú crees que estás recibiendo un hotfix. Ellos, por detrás, igual te están mandando un script para instalar un malware saqueador de criptos o un mirón profesional de cuentas y cookies.

La jugada tiene hasta algo de trilero elegante. Primero te dejan confiar. Luego te dejan acostumbrarte. Y cuando ya has bajado la guardia del todo, te meten el parche como quien te cambia una bombilla y, de paso, te roba el televisor. No es malware de callejón oscuro. Es malware con cita previa, actualización automática y cara de servicio técnico.

Discord, Telegram y el community manager del apocalipsis

Aquí el FBI no está investigando solo si te bajaste un juego infectado y te comiste el marrón. Lo que quiere es encontrar víctimas, saber qué título descargaron, cuándo lo hicieron, qué les robaron y si, antes o después, alguien les escribió por Discord, Telegram, correo, teléfono o cualquier otro canal.

Y ahí es donde la cosa se pone todavía más fea. Porque ya no hablamos solo de un troyano escondido en un indie random. Hablamos de un sistema donde el regalito podía venir acompañado de ingeniería social, conversación por privado y ese trato cercano que suele preceder a que te metan la mano en la cartera digital.

Y no era solo para rematarte por privado. En al menos uno de los casos, PirateFi, la jugada incluía incluso ofertas de trabajo por Telegram para que los propios jugadores hicieran de comerciales del desastre. Les prometían unos 17 dólares la hora por moderar el chat del juego, con pagos cada dos días, que ya suena bastante a oferta redactada por un trilero con Excel. La gracia no era darte curro, claro. La gracia era que recomendaras el juego, movieras el enlace y trajeras más incautos a la fiesta.

O sea, que la cosa no iba solo de colarte un troyano y salir corriendo. Iba también de montar alrededor del juego una pequeña red de promoción cutre-premium, con Telegram, falsa cercanía y olor a estafa con community manager. Ya no es malware a secas. Es malware con programa de afiliados.

Valve, entre el malware y las cajas: cuando se te juntan todos los marrones

Lo mejor de todo es que este follón no le cae a Valve en una semana tranquila, de esas en las que solo tienes que vender skins, contar billetes y mirar cómo la gente pide Half-Life 3 como si fuera el Mesías.

Le cae en un momento en el que la empresa ya venía con otro frente abierto bastante simpático: la fiscal general de Nueva York la demandó en febrero de 2026 por el sistema de loot boxes en juegos como Counter-Strike 2, Team Fortress 2 y Dota 2, alegando que eso funciona como una forma de juego ilegal y que puede perjudicar especialmente a menores. Vamos, que entre las cajitas, las keys y ahora el malware, Steam empieza a parecer menos una tienda y más una feria con demasiadas atracciones rotas.

Y eso es lo que hace que el tema huela peor. Por un lado tienes al FBI buscando víctimas de juegos infectados distribuidos en Steam. Por otro, tienes a Nueva York diciéndote que igual lo de las cajas ya se parece demasiado a una tragaperras con skin de videojuego. Y en medio de todo eso está Valve, con esa energía tan suya de empresa que parece funcionar a base de dinero infinito, silencio institucional y la fe ciega de que algún día salga Half-Life 3.

.

Steam tiene que cambiar sus políticas de actualizaciones antes de repartir otro troyano

A estas alturas, el problema ya no es que a Steam se le cuele un juego random con olor a chamusquina. El problema es que el agujero de verdad está en las actualizaciones. Porque si el truco consiste en dejar entrar un juego limpio, esperar a que la gente baje la guardia y luego colar la puñalada por parche automático, entonces no tienes solo un problema de tienda. Tienes un problema de cómo reparte la tienda la confianza. Y eso es bastante peor.

Así que sí: Steam tiene que cambiar sus políticas de actualizaciones, y no dentro de seis meses ni cuando salga otra demanda o investigación. Tiene que hacerlo ya, antes de repartir otro troyano camuflado como una actualización por un supuesto bug. Porque la confianza que ha tardado años en construir la puede perder en cuestión de días.