Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / ES / STEAM NOT GOOD GUY

Malware «BlockBlasters» en [REDACTED]: se pone de manifiesto la negligencia de la plataforma

The Enablers Registry·Editorial mirror·/es/steam-not-good-guy

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

Investigación sobre «[REDACTED] Not Good Guy»

Las ganancias por encima de los jugadores: el encubrimiento de BlockBlasters (Escándalos de [REDACTED], 1.ª parte)

Vamos a publicar una investigación en varias partes que desvelará la verdad oculta sobre [REDACTED], que revelará la corrupción que se esconde tras sus operaciones, los abusos sistémicos, la explotación y la negligencia que han perjudicado a millones de usuarios, y que pondrá al descubierto cómo un monopolio mundial ha convertido una plataforma de videojuegos en una máquina de manipulación y beneficios silenciosos.

Investigación sobre «BlockBlasters» en [REDACTED]: las ganancias por encima de los jugadores

Conclusión crítica

[REDACTED] miente descaradamente, encubre a los delincuentes y obstaculiza la investigación.

Introducción: Un delito de negligencia deliberada

En agosto de 2025, la mayor plataforma de videojuegos del mundo, [REDACTED], no solo sufrió una brecha de seguridad, sino que la provocó de forma activa. A través de una cascada de fallos sistémicos y negligencia grave, Valve permitió que el juego BlockBlasters (AppID 3872350) para convertirse en un troyano al servicio de una devastadora campaña de malware. No se trató de un ataque sofisticado e inevitable. Fue una operación de robo de datos de manual que tuvo éxito porque la seguridad de [REDACTED] presenta fallos fundamentales. Durante 22 días, robó cientos de miles de dólares, vació carteras de criptomonedas y comprometió cuentas de usuarios mientras Valve no hacía nada.

Cuando salió a la luz la verdad, la respuesta de Valve no fue proteger a sus usuarios, sino proteger su imagen. La empresa emitió un único comunicado engañoso en el que culpaba a una «cuenta de desarrollador comprometida» —una patética mentira diseñada para desviar la culpa y eludir su responsabilidad—. Este artículo desmontará esa mentira. Utilizando datos forenses, análisis de la cronología de los hechos y las propias políticas de Valve, demostraremos que este incidente no fue solo una falta de actuación, sino un encubrimiento deliberado de una negligencia criminal.

Cronología de la negligencia corporativa: Día 1: publicación del malware; Día 3: primeras denuncias; Día 3: múltiples alertas; Día 10: ninguna medida tomada, con 1 489 500 víctimas expuestas; Día 22: finalmente eliminado
Cronología de la negligencia corporativa: Día 1: publicación del malware; Día 3: primeras denuncias; Día 3: múltiples alertas; Día 10: ninguna medida tomada, con 1 489 500 víctimas expuestas; Día 22: finalmente eliminado

Identidad al descubierto

[REDACTED] miente descaradamente y oculta a Valentin Lopes, el desarrollador verificado responsable de la aplicación maliciosa.

Los 22 días de inacción

Valve tuvo 22 días para poner fin a esto. Las denuncias de los usuarios no dejaban de llegar y los datos de la plataforma mostraban claros indicios de que algo iba mal. Su silencio fue una decisión deliberada.

31 de julio de 2025

Se lanza BlockBlasters. El proceso de verificación de [REDACTED] aprueba una versión limpia y legítima del juego.

30 de agosto de 2025

La trampa está tendida. Los atacantes lanzan la actualización Patch Build 19799326. Esta actualización, que contiene el código malicioso, es aprobada por [REDACTED] y distribuida a todos los jugadores.

A principios de septiembre de 2025

Las primeras víctimas dan la voz de alarma. Los usuarios inundan el servicio de asistencia de [REDACTED] con incidencias en las que denuncian un uso anómalo de la CPU, tráfico de red sospechoso y, lo más grave de todo, el robo de criptomonedas. Estas incidencias caen en un agujero negro, ignoradas por Valve.

6 de septiembre de 2025

Los datos lanzan una señal de alarma. La telemetría pública de SteamDB muestra que el número de jugadores se ha desplomado hasta cifras de un solo dígito, pero el juego sigue instalado en cientos de equipos, filtrando datos de forma silenciosa. Esta enorme discrepancia es una señal de alarma que cualquier sistema de supervisión competente debería haber detectado.

21 de septiembre de 2025

La comunidad entra en acción. Unos investigadores de seguridad independientes sacan a la luz la infraestructura de mando y control del malware basada en [REDACTED], lo que obliga a los hackers a actuar.

22 de septiembre de 2025

[REDACTED] publica un informe forense completo en el que se confirma el vector de ataque en varias fases del malware y se revelan los detalles técnicos de la filtración.

La anatomía del ataque

No se trataba de un malware de última generación. Era una mezcla rudimentaria, pero eficaz, de scripts comunes y programas de robo de datos que debería haber sido muy fácil de detectar para una plataforma valorada en miles de millones de dólares.

Fase 1: Infiltración inicial (game2.bat)

La carga útil inicial, un sencillo script por lotes, llevaba a cabo un reconocimiento básico: recopilaba direcciones IP, datos de geolocalización y datos de los usuarios de [REDACTED]. A continuación, descargaba un archivo ZIP protegido con contraseña (v1.zip), una técnica clásica para eludir los escáneres automáticos poco sofisticados.

Fase 2: Evasión y escalada (cargadores VBS)

Mediante scripts VBS, el malware ejecutaba sus componentes principales en ventanas de comandos ocultas. Añadía su propio directorio a la lista de exclusiones de Microsoft Defender, una acción que debería activar una alerta inmediata y de alta prioridad en cualquier sistema supervisado.

Fase 3: Robo de datos (Client-built2.exe y Block1.exe)

Una vez desactivadas las defensas, el malware desplegó sus cargas útiles principales: una puerta trasera basada en Python para obtener acceso persistente y una variante del ladrón de información StealC. Se centró en los datos del navegador, los tokens de sesión y, lo más importante, las carteras de criptomonedas de Chrome, Edge y Brave. Todos los datos robados se canalizaron hacia dos servidores de comando y control a través de tráfico HTTP no seguro. Los IOC del drainer de criptomonedas confirmaron que [REDACTED] era un vector de distribución de malware para operaciones de robo organizadas.

Confianza traicionada

Fue precisamente su certificado de confianza y su despreocupación lo que provocó las docenas de robos que han encubierto. Se trata de un ataque clásico a la cadena de suministro que aprovecha a gran escala la confianza depositada en la plataforma.

Indicadores de compromiso (IOC)

ArchivoSHA256Clasificación
game2.bat aa1a1328e0d0042d071bca13ff9a13116d8f3cf77e6e9769293e2b144c9b73b3 BAT.Trojan-Stealer.StimBlaster.F
launch1.vbs c3404f768f436924e954e48d35c27a9d44c02b7a346096929a1b26a1693b20b3 Script.Malware.BatchRunner.A@IOC
test.vbs b2f84d595e8abf3b7aa744c737cacc2cc34c9afd6e7167e55369161bc5372a9b Script.Malware.BatchRunner.A@IOC
Client-built2.exe 17c3d4c216b2cde74b143bfc2f0c73279f2a007f627e3a764036baf272b4971a Win64.Backdoor.StimBlaster.L6WGC3
Block1.exe59f80ca5386ed29eda3efb01a92fa31fb7b73168e84456ac06f88fdb4cd82e9eWin32.Trojan-Stealer.StealC.RSZPXF

Desmontando la mentira: lo de la «cuenta pirateada» es una auténtica tontería

Se desvela el encubrimiento

[REDACTED] miente y ayuda a las víctimas, mientras que su empresa supervisa a los desarrolladores y otorga el máximo certificado de confianza a sus contenidos.

Llamemos a la excusa de Valve sobre el «desarrollador hackeado» por lo que es: una mentira patética y fácil de desmentir. Es un insulto a la inteligencia de sus usuarios, una narrativa ideada para protegerlos de las consecuencias de su propia negligencia. Toda esta fantasía se desmorona en cuanto se analizan los propios procedimientos obligatorios de [REDACTED].

  • El «muro de los 100 dólares» y la verificación de identidad: Para publicar en [REDACTED], todos los desarrolladores deben pasar por el programa [REDACTED] Direct. Esto implica pagar una cuota de 100 dólares y completar un proceso de «Conoce a tu cliente» (KYC), en el que hay que facilitar los nombres legales, la información bancaria y los documentos fiscales. El autor no era un fantasma anónimo; Valve tenía registrada su identidad verificada y sus datos financieros. Esto convierte su inacción en una decisión consciente de proteger a un socio verificado por encima de sus propios usuarios.
  • El mito del apagón de 22 días: Steamworks ofrece a los desarrolladores herramientas sólidas para proteger sus cuentas. Un desarrollador legítimo que haya perdido el control podría presentar un ticket por «pérdida de acceso a las credenciales de editor». Este proceso está diseñado para ser rápido, bloqueando los derechos de publicación y las compilaciones en cuestión de horas, no de semanas. La idea de que un desarrollador pueda quedarse sin acceso durante más de 20 días mientras su juego distribuye malware es absurda. Esto implica uno de dos escenarios, ambos incriminatorios para Valve: o bien el desarrollador era cómplice, o bien Valve ignoró sus desesperadas solicitudes de asistencia, además de las docenas de quejas de los usuarios.
  • Desatención sistemática de las quejas de los usuarios: Decenas de usuarios presentaron informes detallados sobre robos de dinero, comportamiento de malware y cuentas comprometidas. No se trataba de quejas vagas, sino de información útil para tomar medidas. Un sistema de asistencia competente habría detectado estos casos, habría elevado el asunto a un nivel superior y habría bloqueado la página de la aplicación en espera de una investigación en un plazo de 24 horas. El hecho de que Valve no lo hiciera durante 22 días no es un descuido; es una política de ignorancia deliberada.

El engaño fundamental: la manipulación de la escena del crimen digital

Es aquí donde el encubrimiento de Valve pasa de ser una simple negligencia a lo que solo puede describirse como alteración de una escena del crimen digital. Que quede claro: Valve no ha retirado el juego infectado.

Las pruebas forenses y los análisis realizados por los investigadores de seguridad que rastreaban la infraestructura C2 lo confirman de forma inequívoca: fueron los propios delincuentes quienes eliminaron sus versiones maliciosas de los servidores de [REDACTED]. Lo hicieron el 21 de septiembre, solo después de que su grupo de control de [REDACTED] quedara al descubierto públicamente. Llevaron a cabo una retirada de «tierra quemada», destruyendo las pruebas para borrar sus huellas.

Manipulación de una escena del crimen digital: la mano de [REDACTED]/Valve traspasa la cinta de «No pasar» mientras THE ENABLERS REGISTRY investiga con una lupa.
Manipulación de una escena del crimen digital: la mano de [REDACTED]/Valve traspasa la cinta de «No pasar» mientras THE ENABLERS REGISTRY investiga con una lupa.

La afirmación de Valve de que tomó medidas es una mentira descarada. Al esperar a que los atacantes borraran sus propias huellas antes de intervenir para eliminar la página de la tienda, Valve permitió, en la práctica, que se destruyeran las pruebas principales. Esto no fue una medida para minimizar los daños; fue obstrucción. No estaban protegiendo a los usuarios; se estaban protegiendo a sí mismos asegurándose de que la escena del crimen quedara limpia.

El coste humano de la indiferencia empresarial

La negligencia de Valve tuvo consecuencias en el mundo real, de las que no ha asumido ninguna responsabilidad.

  • Ruina financiera: Se robaron más de 150 000 dólares estadounidenses (parece que fueron más de 1 000 000 de dólares). Para muchos, esa cantidad de dinero les cambió la vida. Un streamer perdió 32 000 dólares durante una retransmisión en directo con fines benéficos para la lucha contra el cáncer.
  • Abuso de confianza: Cientos de usuarios sufrieron el acceso no autorizado a sus cuentas, el robo de sus datos y la infección de sus sistemas.
  • Silencio absoluto: Hasta la fecha, Valve no ha ofrecido ningún reembolso, ninguna compensación ni ninguna disculpa sincera. Su respuesta, una carta tipo, fue un insulto para todas las víctimas.

El motivo: el beneficio por encima de las personas

¿Por qué permitiría Valve que esto ocurriera? El motivo es tan sencillo como cínico: Era más barato.

Una verdadera reforma de la seguridad —que implique la implementación de pruebas en entornos aislados para todas las compilaciones, la separación de las credenciales de los desarrolladores, la contratación de un equipo de seguridad competente y la publicación de informes de transparencia— costaría millones. Indemnizar a las víctimas sentaría un precedente muy costoso.

¿La alternativa? Emitir un comunicado vago y engañoso, dejar que el ciclo de noticias siga su curso y asumir el mínimo impacto en la imagen pública. Fue una decisión empresarial calculada en la que la seguridad de los usuarios se consideró una pérdida aceptable.

Este patrón de negligencia no es nada nuevo. Desde PirateFi (2024) hasta Chemia (2025), Valve ha ignorado repetidamente las advertencias y ha permitido la entrada de malware en su plataforma, actuando únicamente tras la indignación pública. BlockBlasters no fue una anomalía; fue el resultado inevitable de una cultura de seguridad deficiente.

Veredicto final: Culpable de los cargos que se le imputan

Dejemos que los hechos hablen por sí mismos.

  • Hecho: Los sistemas automatizados de Valve aprobaron una versión que contenía un malware insignificante.
  • Hecho: El equipo de atención al cliente de Valve ignoró las advertencias directas de las víctimas durante tres semanas.
  • Hecho: Valve no tomó medidas hasta que los propios piratas informáticos eliminaron los archivos maliciosos.
  • Hecho: La declaración oficial de Valve fue una tergiversación deliberada de los hechos, destinada a eludir su responsabilidad.

Valve no solo falló. Mintió. Encubrió su propia negligencia, protegió sus beneficios y dejó que fueran sus usuarios quienes pagaran el precio. La confianza que la comunidad depositaba en [REDACTED] se ha roto de forma irrevocable. Esto no fue un error; fue una traición.

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings