Steam distribuyó un juego gratuito con malware que robaba criptomonedas y contraseñas
20XX 
El juego, que permaneció en la tienda digital de Valve durante varios días, sigue disponible en Steam al momento de la redacción de este material. El malware estaba alojado en el archivo UnityPlayer.dll y se activaba al ejecutar el programa.
La investigación de Parker reveló que el juego original se llamaba Rodent Race, un título de estrategia por turnos con animales como protagonistas. Entre el 4 y el 5 de mayo de 2026, la cuenta del desarrollador fue secuestrada y el contenido fue reemplazado por completo. Los atacantes cambiaron el nombre del producto, las imágenes promocionales, la descripción y transformaron su modelo de negocio: de ser un juego pago pasó a distribuirse de manera gratuita como un título de terror en primera persona.
Las incongruencias eran evidentes: mientras las capturas de pantalla mostraban un juego de terror, la descripción en japonés aún conservaba el texto original que lo definía como “un juego de estrategia por turnos inspirado en el ajedrez”. Los logros desbloqueables tampoco fueron modificados y mantenían referencias a enemigos como “castores” y “capibaras”, completamente fuera de lugar en un título de horror.
El mecanismo de infección operaba de la siguiente manera: al ejecutar el juego, el usuario podía acceder al menú principal, pero al intentar comenzar una partida el programa se cerraba abruptamente. En ese momento, el archivo UnityPlayer.dll ejecutaba en segundo plano un software malicioso que analizaba el sistema en busca de extensiones del navegador Chrome relacionadas con criptomonedas, como MetaMask.
Si las detectaba, se conectaba a un servidor de comando y control (C2) y descargaba herramientas adicionales diseñadas para robar contraseñas, datos de navegación y claves privadas de billeteras virtuales. También se reportó la capacidad del malware para extraer credenciales de Roblox. Los análisis realizados en entornos virtuales mediante el servicio ANY.RUN confirmaron la descarga de archivos sospechosos durante la ejecución del juego.
No es la primera vez que ocurre un incidente de esta naturaleza en Steam. En septiembre de 2025, un juego de plataformas gratuito llamado Blockbusters fue utilizado para distribuir malware que resultó en el robo de aproximadamente 150.000 dólares en criptomonedas.
Según reportes de la industria, estos casos evidencian una vulnerabilidad en el proceso de publicación de Steam: si bien la plataforma revisa los títulos antes de su lanzamiento inicial, las actualizaciones posteriores no siempre son sometidas al mismo nivel de escrutinio. Los atacantes aprovecharon esa debilidad para reemplazar por completo el contenido de Rodent Race sin que los sistemas de seguridad de Valve detectaran la anomalía.
Tras la difusión del video de Eric Parker, Steam eliminó el juego de su catálogo y bloqueó las descargas. Sin embargo, los usuarios que ya habían descargado el título conservan los archivos maliciosos en sus equipos.
Los expertos recomiendan eliminar el juego de inmediato, ejecutar un análisis completo del sistema con software antivirus actualizado, cambiar todas las contraseñas almacenadas en el navegador, especialmente las vinculadas a correo electrónico y cuentas financieras, y en caso de poseer criptomonedas, transferir los fondos a una nueva billetera creada desde un dispositivo que no haya estado expuesto al malware.
*Fuente: Pirat_Nation, 19 de mayo de 2026*
