Durant gairebé dos anys, diversos videojocs aparentment innocents a Steam haurien servit com a porta d'entrada per malware capaç de robar dades i diners dels jugadors. El que podria semblar un altre cas més dspam en una gran botiga digital ha acabat convertint-se en una investigació formal del FBI, amb la col·laboració reconeguda de Vàlvula i un seguiment proper per part de la comunitat gamer també a Espanya i la resta d'Europa.
La Divisió de Seattle de l'FBI ha fet una crida pública per localitzar usuaris que van instal·lar diversos títols infectats entre maig de 2024 i gener de 2026. No es tracta només de jocs mediocres o abandonats, sinó de llançaments que van aconseguir passar els filtres de publicació de Steam, acumular un cert nombre de descàrregues i, en alguns casos, rebre actualitzacions que haurien introduït el codi maliciós a posteriori.
Què està investigant l'FBI i per què afecta també Europa
Segons la informació difosa pel propi organisme i recollida per mitjans especialitzats, la investigació se centra en una campanya perllongada de distribució de codi maliciós a través de jocs de Steam. L'FBI considera que el responsable, o grup responsable, hauria utilitzat diversos títols com a vehicles per infiltrar-se als ordinadors dels jugadors i extreure'n informació sensible.
Tot i que la investigació parteix dels Estats Units, el problema té un component global: Steam compta amb milions d'usuaris a Europa, inclosos centenars de milers de jugadors a Espanya. Si vas descarregar algun dels jocs assenyalats, el risc existeix amb independència del país des del qual et connectaràs, ja que la distribució es va fer a través de la mateixa plataforma internacional.
L'agència ha habilitat un formulari oficial de víctimes a la seva web per demanar dades dels que creguin haver estat afectats. En aquest qüestionari es demanen detalls com el nom d'usuari de Steam, els jocs descarregats, les dates aproximades i, sobretot, si s'han detectat pèrdues econòmiques, accés no autoritzat a comptes o robatoris d´inventari digital (moneders cripte, articles de Steam, bancs, etc.).
En paral·lel, Valve ha confirmat la legitimitat de l'avís de l'FBI i ha animat els usuaris que hagin instal·lat els títols afectats a col·laborar. Alguns jugadors han compartit correus electrònics de la pròpia Steam en què s'esmenta, per exemple, el cas del joc DashFPS i es convida a contactar amb l'agència federal.
Els jocs assenyalats: una llista curta, però preocupant
L'FBI ha publicat la relació de títols sota investigació, tots ells disponibles en algun moment de 2024, 2025 o principis de 2026. A la llista apareixen:
- BlockBlasters
- Txèmia
- Dashverse / DashFPS
- Lampy
- Lunara
- PirateFi
- Tokenova
A la pràctica, molts d'aquests jocs van passar desapercebuts per al gran públic i es movien sobretot en comunitats petites o de nínxol. Tot i això, alguns casos concrets han saltat els titulars per l'abast del dany. L'exemple més esmentat és BlockBlasters, un títol que inicialment es va distribuir sense incidents i va generar certa confiança, però que més tard va rebre una actualització amb un script maliciós orientat al robatori de criptomonedes.
Aquest script, segons han assenyalat investigadors de seguretat, cercava carteres cripte i credencials emmagatzemades al PC. S'ha vinculat BlockBlasters amb el robatori de quantitats molt rellevants en actius digitals; diverses fonts parlen de xifres que ronden entre desenes de milers i fins a uns 150.000 dòlars en criptomonedes en diferents incidents, inclosos casos de streamers que van veure buidades les seves bitlleteres en directe.
Chemia, presentat com un joc de supervivència en accés anticipat, hauria estat emprat per a capturar contrasenyes, dades bancàries i altres dades personals. Altres títols, com Dashverse, DashFPS o PirateFi, també figuren als informes per sostracció d'informació sensible. En el cas de PirateFi, s'ha arribat a estimar que al voltant de 1.500 usuaris van descarregar el joc abans de la seva retirada, una xifra significativa si tenim en compte que parlem d'un projecte relativament modest.
La finestra temporal assenyalada, que va del maig del 2024 al gener del 2026, deixa clar que no és un atac puntual de pocs dies, sinó d'una operació que hauria estat activa durant gairebé dos anys. Durant aquest temps, els jocs van estar accessibles a Steam, van passar els processos d'alta i, en alguns casos, van rebre pegats que van introduir el codi maliciós quan ja havien guanyat certa confiança.
Com funcionava el codi maliciós ocult en els jocs de Steam
Els diferents documents i avisos coincideixen en el patró general: els atacants haurien fet servir una estratègia pròpia d'un cavall de Troia. Primer es llança un joc aparentment normal i jugable, que compleix les expectatives mínimes per no despertar sospites. Quan el títol és a la botiga i ha aconseguit algunes descàrregues, s'introdueix a través d'una actualització o d'arxius addicionals el codi maliciós dissenyat per robar informació.
En termes tècnics, el codi maliciós s'enquadra en la categoria de info-stealers, és a dir, eines orientades a extreure credencials, galetes de sessió, dades personals i accés a moneders digitals. Aquest tipus de programari maliciós pot, per exemple, llegir les galetes d'un navegador per saltar sistemes d'autenticació de dos factors, apropiar-se de sessions obertes o capturar noms d'usuari i contrasenyes desats.
Un cop dins del sistema, els atacants poden utilitzar aquesta informació per entrar sense permís en comptes de Steam, bancs, serveis de pagament o plataformes de criptomonedes. També poden revendre les dades en mercats negres, o combinar-les amb una altra informació filtrada al passat per suplantar identitats completes.
En alguns casos documentats, l'efecte visible a l'ordinador de l'usuari ha estat limitat (lleugers alentiments o errors puntuals), cosa que complica detectar el problema a simple vista. Lobjectiu principal no era trencar el sistema, sinó robar la màxima quantitat d'informació i diners sense aixecar sospites.
Les autoritats no han detallat públicament tots els aspectes tècnics del codi, en part per no donar pistes a possibles imitadors. Sí que se sap, però, que hi va haver diversos jocs funcionals que operaven com a troians i que les tècniques emprades formen part d'un ecosistema delictiu més ampli, amb desenvolupadors i afiliats que actualitzen els mètodes de forma constant.
La resposta de Valve i el paper de les grans plataformes
Tan aviat com es va confirmar la presència de codi maliciós en alguns d'aquests jocs, Valve va retirar els títols de Steam. A més, la companyia hauria enviat correus electrònics informatius als usuaris que els van descarregar, advertint sobre la investigació i remetent, en alguns casos, al formulari de l'FBI. També s'han ofert orientacions bàsiques de seguretat i, segons algunes informacions, alguna compensació puntual a clients afectats, encara que sense un programa públic i detallat.
Tot i aquesta reacció, el cas ha reobert un debat incòmode: fins a quin punt podem confiar en els filtres duna plataforma tan gran com Steam? Publicar un joc a la botiga de Valve no és especialment car, i els processos de revisió es recolzen en gran mesura en eines automatitzades i en la bona fe dels desenvolupadors. Amb desenes de milers de títols disponibles i milers de llançaments cada any, és complicat revisar cada arxiu amb lupa.
Aquest incident no és el primer en què jocs funcionals o mods allotjats en entorns oficials acaben contenint codi maliciós. Al passat s'han detectat mods de comunitat i eines de tercers per a jocs populars que incloïen malware, així com casos en altres plataformes (per exemple, contingut no oficial de títols com Roblox o clons de jocs coneguts) que buscaven robar credencials o buidar bitlleteres cripte.
Per a les grans botigues digitals, inclosa Steam, el repte és evident: han de trobar un equilibri entre ser obertes a desenvolupadors independents i aplicar controls de seguretat prou estrictes per frenar els actors maliciosos. Com més gent fa servir una plataforma i més diners es mouen, més atractiva es torna per als ciberdelinqüents.
A Europa, a més, entra en joc el marc regulador: la gestió de dades personals, el possible accés indegut a informació financera i la transmissió de codi maliciós es creuen amb normatives com el RGPD i les lleis nacionals de ciberdelinqüència. Tot i que la investigació la lideri l'FBI, els usuaris espanyols o d'altres països europeus afectats podrien veure el seu cas enquadrat també a la jurisdicció local si denuncien davant les autoritats del seu país.
Què han de fer els jugadors si creuen haver estat afectats
Si has instal·lat algun dels jocs esmentats durant el període assenyalat, el més prudent és actuar com si poguessis estar afectat, fins i tot encara que no hagis notat res estrany. La combinació de joc aparentment inofensiu i malware silenciós fa que moltes víctimes ni tan sols siguin conscients del problema.
Les recomanacions bàsiques que repeteixen tant experts en seguretat com les mateixes autoritats passen per diversos passos encadenats:
- Revisar la teva biblioteca de Steam per confirmar si vas descarregar BlockBlasters, Chemia, Dashverse, DashFPS, Lampy, Lunara, PirateFi o Tokenova entre maig de 2024 i gener de 2026.
- Desinstal·lar qualsevol joc sospitós i executar una anàlisi completa amb un antivirus actualitzat, preferiblement des dun escàner de confiança.
- Canviar les contrasenyes dels teus comptes principals (correu, bancs, plataformes cripto, Steam i altres botigues digitals), utilitzant claus llargues i úniques.
- Activa l'autenticació en dos passos allà on sigui possible, especialment en serveis financers, correu electrònic i comptes de joc amb inventari de valor.
- Revisar moviments bancaris i de criptomonedes, així com canvis estranys en inventaris digitals o compres no reconegudes.
A més, si resideixes a Espanya oa un altre país europeu i sospites que has estat víctima, tens dues vies complementàries. D'una banda, pots emplenar el formulari de víctimes habilitat per l'FBI, que recull dades bàsiques sobre el cas i ajuda a dimensionar l'abast de l'operació. I, de l'altra, et pots posar en contacte amb les forces i cossos de seguretat del teu país (en el cas d'Espanya, la Policia Nacional o la Guàrdia Civil, a través de les unitats de delictes telemàtics) per informar de possibles robatoris o accessos no autoritzats.
Tot i que la participació al formulari de l'FBI és voluntària, l'organisme recorda que està legalment obligat a identificar les víctimes dels delictes federals que investiga. Aquestes dades poden ser importants per, al seu moment, gestionar possibles compensacions o serveis de suport, i l'agència assegura que mantindrà en reserva la identitat de les persones afectades.
Aquest cas deixa diverses lliçons clares per als jugadors espanyols i europeus: ni tan sols les grans plataformes estan lliures de riscos, i la millor defensa segueix sent una barreja de prudència, eines de seguretat actualitzades i una reacció ràpida davant de qualsevol senyal d'alarma. Qui hagi descarregat algun dels jocs assenyalats faria bé de revisar a fons els seus equips i comptes, i, si detecta alguna cosa estranya, moure's amb rapidesa tant a nivell tècnic com legal.
