Wallpaper Engine en Steam bajo ataque: fondos infectados para robar cuentas y minar criptomonedas
Una reciente investigación de seguridad digital reveló que una campaña de malware aprovechó los fondos de pantalla creados para una popular herramienta de Steam para robar cuentas y recursos de los jugadores. El ataque se apoyó en contenidos publicados en Steam Workshop, donde algunos fondos animados escondían ejecutables y archivos maliciosos. Entre las amenazas detectadas aparecen infostealers, puertas traseras y mineros de criptomonedas capaces de comprometer información sensible y el rendimiento del PC. Aunque los fondos maliciosos ya fueron retirados, el incidente deja en evidencia los riesgos de descargar contenido generado por usuarios, incluso dentro de plataformas de videojuegos consolidadas.
Cómo funcionó la campaña de malware en fondos de pantalla de Steam
De acuerdo con un informe de Kaspersky, investigadores de seguridad detectaron una campaña de ciberataques que se apoyó en contenidos creados para una popular herramienta de fondos animados en Steam Workshop. Los atacantes publicaron decenas de fondos de pantalla infectados, muchos de ellos con miles de descargas acumuladas antes de ser retirados.
El vector de ataque se centró en una funcionalidad específica: la posibilidad de subir fondos en formato de “aplicaciones”, es decir, programas que se ejecutan directamente en el escritorio del usuario. Esa flexibilidad permitió que los ciberdelincuentes ocultaran archivos ejecutables y DLL maliciosas dentro de los paquetes de wallpapers.
Según el detalle técnico, los criminales utilizaron principalmente dos métodos para infiltrar el malware en los fondos de pantalla:
1. Paquetes que incluían ejecutables o DLL maliciosas junto al fondo animado.
2. Archivos comprimidos con contraseña, donde el código infectado se activaba al descomprimir el contenido o al ejecutarse la aplicación de fondo.
En algunos casos, la contraseña para extraer los archivos maliciosos aparecía en el nombre del archivo, en un archivo de configuración o era utilizada automáticamente por el propio fondo durante la instalación. Mientras el usuario veía un wallpaper aparentemente normal, en segundo plano se descargaban e instalaban componentes de malware.
Tipos de malware detectados: robo de datos y criptominería
Los análisis de Kaspersky y otros investigadores identificaron varias familias de malware vinculadas a esta campaña. Entre ellas se encontraron infostealers como Lumma y Vidar, diseñados para robar credenciales, cookies del navegador, datos guardados y accesos a cuentas, incluidos servicios relacionados con videojuegos y billeteras digitales.
Además de los infostealers, se detectaron backdoors capaces de abrir una puerta trasera en el sistema, permitiendo a los atacantes tomar control remoto parcial del equipo o instalar más software malicioso sin conocimiento del usuario. Algunos fondos también actuaban como cargadores de botnets, integrando los dispositivos comprometidos en redes coordinadas para futuras campañas.
Un elemento clave para el ecosistema cripto y de juegos es la presencia de mineros de criptomonedas entre las herramientas utilizadas por los atacantes. Estos programas explotan de forma silenciosa la CPU y la GPU del equipo víctima para generar criptomonedas, consumiendo recursos sin autorización. En la práctica, el usuario puede notar síntomas como ventiladores al máximo, sobrecalentamiento, bajones de rendimiento en juegos y uso anormalmente alto de hardware incluso cuando no se ejecutan aplicaciones exigentes.
En algunos casos, el proceso de infección incluía la instalación de un backdoor identificado como “Synaptics.exe”, que servía como canal adicional para operaciones maliciosas, incluida la extracción de credenciales de la cuenta de Steam desde la instalación local. Con esto, los atacantes podían tomar control de perfiles, inventarios y, potencialmente, acceder a datos de pago asociados.
Alcance geográfico y respuesta de la plataforma
El monitoreo de intentos de descarga mostró que la campaña se concentró principalmente en usuarios de China, que representaron alrededor del 89% de las tentativas de infección. Rusia apareció en segundo lugar con aproximadamente 5,5%, mientras que otras regiones como Singapur, Hong Kong, Alemania, Vietnam, India y Canadá registraron porcentajes menores.
De acuerdo con el reporte, Europa y América Latina no detectaron infecciones durante el periodo analizado, aunque se reconoce la posibilidad de una expansión futura si los atacantes deciden orientar la campaña a otras zonas. Para el público de juegos y casinos online en la región, el caso funciona como una advertencia temprana más que como un incidente de impacto directo.
Una vez identificada la operación, el equipo responsable de la plataforma eliminó los fondos de pantalla maliciosos del catálogo de Steam Workshop antes de que se hiciera público el análisis de los investigadores. Esta acción limita el riesgo para nuevos usuarios, pero no soluciona de forma automática la situación de quienes ya habían descargado e instalado los wallpapers infectados.
En canales oficiales y reportes de prensa se recomendó a los usuarios potencialmente afectados escanear sus equipos con soluciones de seguridad actualizadas y, en escenarios graves, considerar incluso la reinstalación del sistema operativo para eliminar cualquier rastro persistente del malware. Como medidas adicionales, se sugiere cambiar contraseñas de cuentas sensibles y activar funciones de protección adicionales, como mecanismos de verificación en dos pasos.
Lo bueno y lo complicado para jugadores y usuarios cripto
Lo bueno es que la campaña fue detectada y contenida relativamente rápido: los fondos maliciosos ya no están disponibles en Steam Workshop, lo que reduce las nuevas infecciones. Además, el hecho de que Europa y América Latina no hayan registrado casos confirmados da cierto margen para reforzar prácticas de seguridad antes de que ataques similares se repitan en otras regiones.
Desde una perspectiva numérica sencilla, si un jugador gasta habitualmente el equivalente a 100 dólares mensuales en juegos, skins o apuestas y su cuenta es comprometida, el daño potencial inmediato puede ser esos mismos 100 dólares o más, sin contar el valor de inventarios digitales. Si además el malware instala un minero de criptomonedas que mantiene la GPU al 90% de uso durante varias horas al día, el costo en consumo eléctrico y desgaste del hardware se suma al problema inicial.
Lo complicado es que el caso evidencia un riesgo estructural: cualquier sistema que permita subir ejecutables disfrazados de contenido estético abre la puerta a incidentes similares. Para jugadores que también utilizan criptomonedas en casinos online o billeteras en el mismo equipo, un infostealer capaz de recolectar credenciales y datos de autofill representa un puente directo hacia pérdidas de saldo cripto o acceso no autorizado a monederos.
En términos prácticos, este incidente refuerza tres ideas clave para usuarios que combinan videojuegos, trading o uso de cripto en casinos online: primero, no confiar ciegamente en contenidos “bonitos” o muy populares si implican ejecutar archivos adicionales; segundo, mantener separado, en la medida de lo posible, el dispositivo o al menos el perfil desde el que se gestionan fondos; y tercero, tratar cualquier anomalía de rendimiento como una posible señal de alerta cuando se descargan aplicaciones relacionadas con fondos de pantalla o personalización del escritorio.
En resumen, el valor real de este caso para el ecosistema de juego y criptomonedas no está en el volumen de daños reportados, sino en la lección: incluso un wallpaper puede convertirse en la puerta de entrada para perder una cuenta, la banca de un casino online o el saldo de una billetera cripto si no se extreman las precauciones.
