Por Canuto  

Una campaña descubierta por Kaspersky muestra cómo contenido aparentemente inocuo dentro de Steam Workshop puede convertirse en una vía masiva para distribuir malware. El hallazgo expone riesgos para usuarios de Wallpaper Engine, con robo de cuentas, secuestro de sesiones activas y despliegue de programas maliciosos adicionales.
***

  • Kaspersky detectó decenas de paquetes de fondos de pantalla infectados en Steam Workshop con miles y hasta decenas de miles de descargas.
  • Los ataques apuntaron sobre todo a usuarios de Steam en China y Rusia, aunque también hubo víctimas en Singapur, Hong Kong, Alemania, Vietnam, India y Canadá.
  • Entre las familias de malware detectadas figuran DarkKomet, Lumma, Vidar y el cargador RenEngine, usadas para robo de cuentas e instalación de cargas adicionales.
  • Además de robar información, el malware también podría utilizarse para robar criptomonedas a las víctimas.

 

Kaspersky detectó una campaña de malware que aprovecha Steam Workshop y Wallpaper Engine para atacar a usuarios de Steam. La operación utilizó fondos de pantalla animados infectados como gancho para ejecutar código malicioso dentro de equipos con Windows.

El caso resulta relevante porque Steam Workshop es una función integrada de la plataforma Steam que permite descubrir, instalar y administrar contenido creado por usuarios. Ese ecosistema suele percibirse como confiable, lo que reduce la sospecha inicial de quienes descargan archivos populares.

Según explicó Kaspersky, los investigadores identificaron múltiples paquetes maliciosos que acumulaban miles de descargas. En varios casos, esos paquetes alcanzaban incluso decenas de miles de instalaciones.

El objetivo principal de los atacantes era robar cuentas de videojuegos y desplegar malware adicional en los equipos comprometidos, el cual incluso podría ser utilizado para robar criptomonedas. Eso convierte a la campaña en una amenaza más amplia que un simple fraude orientado al ocio digital, detalla Decrypt.

Para lectores menos familiarizados con el tema, Wallpaper Engine es una popular aplicación disponible en Steam que permite crear y compartir fondos de pantalla animados. Su flexibilidad es precisamente lo que abrió la puerta al abuso detectado en esta campaña.

Cómo funcionó el abuso de Steam Workshop y Wallpaper Engine

Wallpaper Engine admite varios formatos de fondo, entre ellos videos, escenas interactivas, páginas web y aplicaciones. Esta última modalidad permite que programas ejecutables corran directamente en la computadora del usuario.

Esa capacidad es útil para experiencias visuales complejas, pero también puede transformarse en un vector de ataque. Los actores maliciosos aprovecharon esa función para presentar software dañino como si fuera contenido legítimo y decorativo.

Kaspersky identificó docenas de paquetes de fondos de pantalla infectados disponibles a través de Steam Workshop. Muchos de ellos se mantenían visibles dentro de una plataforma ampliamente usada por jugadores de PC.

Los investigadores observaron dos métodos principales de entrega del malware. En algunos casos, los ejecutables maliciosos, archivos DLL y scripts se incluían directamente dentro del paquete del fondo de pantalla.

En otros casos, los atacantes ocultaban el malware dentro de archivos comprimidos protegidos por contraseña. Las claves quedaban incrustadas en los nombres de esos archivos comprimidos o dentro de archivos de configuración asociados.

Una vez instalado el fondo de pantalla, las cargas maliciosas se ejecutaban de forma automática. Ese detalle es especialmente delicado porque el usuario podía creer que solo estaba activando un elemento visual inofensivo.

La mecánica del ataque ilustra un patrón conocido en ciberseguridad: el abuso de ecosistemas legítimos para maximizar alcance. En lugar de depender de enlaces dudosos o sitios marginales, los atacantes se apoyaron en una plataforma ya normalizada para millones de usuarios.

Las familias de malware detectadas y el ejemplo de DarkKomet

Uno de los ejemplos citados por los investigadores fue una muestra maliciosa descubierta en diciembre de 2025. A primera vista, el archivo parecía comportarse de manera legítima y lanzaba un juego de escritorio integrado sin señales visibles de compromiso.

Mientras el usuario veía esa apariencia normal, el fondo de pantalla desplegaba en segundo plano el backdoor DarkKomet. Además, instalaba una biblioteca modificada diseñada específicamente para apuntar a usuarios de Steam.

Esa biblioteca recolectaba información de cuentas y secuestraba sesiones activas de Steam. En la práctica, eso podía facilitar desde la toma de control de perfiles hasta el robo de activos digitales vinculados al ecosistema de juegos.

El hallazgo no se limitó a una sola familia de malware ni sugiere una operación monolítica. Kaspersky consideró probable que los ataques fueran ejecutados por múltiples actores de amenazas independientes y no por un solo grupo.

En varios casos, los fondos de pantalla maliciosos distribuían los ladrones de información Lumma y Vidar, además del cargador RenEngine. Esa diversidad técnica refuerza la idea de un canal de distribución reutilizado por distintos operadores criminales.

El uso de stealer malware como Lumma y Vidar añade una dimensión financiera al caso. Aunque el foco mencionado por los investigadores fue el robo de cuentas de juegos, este tipo de herramientas también suele buscar credenciales, cookies y otra información valiosa.

Para una audiencia interesada en cripto, blockchain e IA, el patrón merece atención adicional. Las cuentas de juegos, los navegadores y las sesiones activas pueden cruzarse con billeteras, plataformas de pago o credenciales reutilizadas en otros servicios.

Países afectados y por qué el caso importa más allá del gaming

Los principales objetivos de la campaña fueron usuarios de Steam en China y Rusia. Sin embargo, la lista de víctimas también incluyó personas en Singapur, Hong Kong, Alemania, Vietnam, India y Canadá.

Esa distribución geográfica sugiere un alcance internacional, aunque con focos más intensos en mercados concretos. No se trató, por tanto, de un incidente local o aislado dentro de una sola comunidad lingüística.

El caso importa más allá del gaming porque muestra cómo una aplicación de consumo masivo puede servir como puerta de entrada para infecciones complejas. Cuando una plataforma concentra millones de usuarios y mecanismos de contenido generado por terceros, también concentra incentivos para el abuso.

En los últimos años, los atacantes han diversificado sus métodos de distribución para evadir la desconfianza tradicional hacia archivos adjuntos y enlaces sospechosos. El contenido personalizado, los mods y los complementos se han convertido en superficies atractivas porque suelen instalarse por motivaciones recreativas o creativas.

En el entorno de Steam, una cuenta comprometida puede tener valor por sí misma debido a bibliotecas digitales, objetos dentro de juegos o accesos asociados. Si a eso se suma el posible robo de credenciales o sesiones, el impacto puede escalar rápido.

La campaña también refleja un problema estructural para las plataformas que alojan contenido generado por usuarios. Cuanto más flexible es el formato admitido, mayor es la necesidad de controles técnicos, revisión y educación de los usuarios.

En este punto, la confianza del usuario funciona como ventaja operativa para el atacante. Si el archivo se presenta como un wallpaper popular en un ecosistema conocido, la barrera psicológica para instalarlo tiende a bajar de forma considerable.

La advertencia de Kaspersky y las recomendaciones para los usuarios

Maxim Starodubov, experto en ciberseguridad de Kaspersky, resumió el riesgo con una advertencia directa. A su juicio, las plataformas de confianza pueden ser abusadas para distribuir malware porque los ataques dependen de que los usuarios confíen en contenido alojado dentro de ecosistemas legítimos.

El especialista añadió que muchas de las familias de malware involucradas son bien conocidas. Aun así, el mecanismo de entrega permite a los atacantes alcanzar grandes cantidades de posibles víctimas mediante contenido aparentemente inofensivo.

La firma indicó que sus soluciones de seguridad detectan y bloquean todo el malware asociado con esta campaña. Esa precisión es importante, aunque no elimina la necesidad de prevención por parte de quienes descargan contenido desde plataformas ampliamente reconocidas.

Entre sus recomendaciones, Kaspersky pidió cautela al descargar cualquier aplicación, incluso cuando provenga de fuentes confiables. El mensaje subraya que la reputación del ecosistema no garantiza la seguridad de cada archivo individual.

La empresa también recomendó verificar la reputación y legitimidad de los creadores antes de instalar contenido generado por usuarios. Esa práctica puede ayudar a detectar perfiles sospechosos, publicaciones recicladas o archivos con señales inusuales.

Además, sugirió apoyarse en soluciones de ciberseguridad probadas para detectar amenazas. En un entorno donde la ejecución puede activarse automáticamente tras la instalación, la protección preventiva gana peso frente a una reacción tardía.

La información técnica más detallada fue remitida por la compañía a un informe disponible en Securelist. Para el público general, la conclusión central es clara: incluso un fondo de pantalla puede convertirse en una puerta de entrada para comprometer cuentas y sistemas.

Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público.

Este artículo fue escrito por un redactor de contenido de IA y revisado por un editor humano para garantizar calidad y precisión.


ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.

Suscríbete a nuestro boletín

Artículos Relacionados