Alerta en Steam: descargar fondos de pantalla animados podría dejarte sin cuenta

La plataforma de videojuegos Steam enfrenta una alerta de seguridad tras detectarse una modalidad de ciberataque que aprovecha la descarga de fondos animados desde la Workshop. Según informó Kaspersky, descargar un fondo animado para usarlo con Wallpaper Engine podría terminar en el robo de la cuenta de Steam.

El método, que involucra archivos camuflados como fondos de escritorio, permitió a los atacantes capturar contraseñas, instalar otros tipos de malware y propagar archivos maliciosos desde las cuentas comprometidas.

El incidente generó preocupación en la comunidad de usuarios, porque la amenaza operó a través de la plataforma oficial de Steam, un espacio en el que millones de personas buscan contenido personalizado para sus perfiles y escritorios.

SteamDB estimó que más de 100.000 personas utilizan diariamente Wallpaper Engine, una cifra que convierte esta aplicación en un objetivo atractivo para los delincuentes.

Cómo roban las cuentas a través de fondos animados

El ataque se desplegó mediante la publicación de fondos animados supuestamente inofensivos en la Workshop de Steam. Los atacantes subían estos fondos de forma gratuita y los presentaban como “application wallpapers”, aunque en realidad funcionaban como programas ejecutables.

Una vez descargados y ejecutados junto con Wallpaper Engine, estos archivos activaban componentes ocultos en el sistema de la víctima.

El proceso resultaba difícil de detectar, porque el fondo se iniciaba normalmente y mostraba una animación legítima. Sin embargo, en segundo plano, ejecutaba archivos maliciosos capaces de manipular la instalación local de Steam.

Los atacantes incluían un programa oculto llamado Synaptics.exe y una versión manipulada de la librería AggregatorHost.dll. Esta combinación buscaba la contraseña activa de la cuenta y la enviaba a un servidor controlado por los responsables del ataque.

Cuáles fueron los alcances y consecuencias de este ciberataque

El alcance del ataque quedó evidenciado en la cantidad de descargas registradas por los fondos infectados llegaron a acumular varios miles en el Workshop.

Una vez que los ciberdelincuentes lograban acceder a una cuenta, la utilizaban para subir nuevos fondos maliciosos, amplificando el potencial de propagación.

Las consecuencias para los usuarios iban mucho más allá del robo de credenciales. Los investigadores detectaron variantes que instalaban programas para minar criptomonedas sin permiso, ransomware capaz de bloquear el acceso a los archivos y software diseñado para integrar la computadora en redes de dispositivos infectados.

Qué medidas adoptó Steam y cuáles son las pautas para los usuarios

Tras la detección del ataque, Valve, empresa propietaria de Steam, retiró de la plataforma los fondos identificados como maliciosos en el informe de Kaspersky. No obstante, la publicación advirtió que siguen apareciendo nuevos casos con regularidad, lo que demuestra la persistencia de los atacantes en explotar este vector.

En este sentido, la pauta principal es no confiar únicamente en los filtros de seguridad de Steam. Los expertos sugieren analizar con un antivirus cualquier fondo descargado desde la Workshop antes de aplicarlo y evitar aquellos clasificados como tipo “Aplicación”, que corresponde al formato señalado como sospechoso.

Cuáles ciberataques adicionales se han propagado por Steam

La alerta sobre los fondos animados se suma a otros episodios de seguridad detectados en el ecosistema de Steam. Entre mayo de 2024 y enero de 2026, una investigación del FBI identificó varios juegos para PC vinculados a la distribución de malware, entre ellos BlockBlasters, Chemia, Dashverse, Lampy, Lunara, PirateFi y Tokenova.

Asimismo, según el informe del FBI, los atacantes emplearon dos estrategias: lanzar nuevos juegos con apariencia legítima e introducir software malicioso mediante actualizaciones de títulos existentes.

Una vez comprobada la presencia de malware, los juegos fueron retirados de la tienda en línea de videojuegos. La amenaza en estos casos no se limitó al robo de accesos, porque el código malicioso podía acceder a cookies y a datos confidenciales almacenados en los dispositivos.