Tu cuenta se convierte en una herramienta para propagar el malware
En el espacio donde el entretenimiento y la confianza digital se entrelazan, una amenaza silenciosa lleva meses anidada en la Workshop de Steam: fondos animados que, bajo una apariencia inofensiva, roban identidades y convierten los equipos de sus víctimas en herramientas al servicio de desconocidos. Kaspersky ha documentado cómo atacantes explotan Wallpaper Engine desde finales de 2025, recordándonos que la belleza en pantalla puede ocultar propósitos oscuros, y que la confianza depositada en plataformas masivas rara vez es garantía suficiente de seguridad.
- Más de 100.000 usuarios diarios de Wallpaper Engine están expuestos a fondos animados que en realidad son programas ejecutables capaces de robar sus credenciales de Steam en cuestión de minutos.
- El malware opera en silencio: mientras el fondo muestra su animación habitual, un archivo oculto llamado Synaptics.exe extrae contraseñas activas y las envía a servidores controlados por los atacantes.
- Las cuentas robadas no solo se vacían, sino que se reclutan para subir más fondos infectados a la Workshop, convirtiendo a cada víctima en un eslabón involuntario de la cadena de distribución.
- Algunos fondos van más allá del robo de cuentas e instalan minadores de criptomonedas, ransomware o software para botnets, lo que apunta a múltiples grupos criminales aprovechando la misma brecha.
- Steam ha retirado los fondos identificados por Kaspersky, pero nuevos casos emergen con regularidad, dejando a los usuarios como última línea de defensa ante filtros de seguridad que han demostrado ser insuficientes.
Instalas un fondo animado, se ve perfecto, y minutos después tu cuenta de Steam ya no te pertenece. Eso es lo que ha estado ocurriendo en silencio durante meses en la Workshop de Steam, y la mayoría de los afectados aún no saben cómo sucedió.
Los atacantes encontraron en Wallpaper Engine —usada por más de 100.000 personas al día— un vector ideal. Subieron fondos infectados de forma gratuita a la Workshop, aprovechando los débiles filtros de seguridad de Valve. El engaño es elegante: los fondos maliciosos se presentan como simples 'application wallpapers', cuando en realidad son programas ejecutables corriendo en el escritorio de la víctima. Kaspersky documentó que esta campaña lleva activa desde finales de 2025, con algunos fondos acumulando miles de descargas antes de ser detectados.
Al instalar uno de estos fondos comprometidos, el equipo recibe un programa oculto llamado Synaptics.exe acompañado de una versión manipulada de la librería AggregatorHost.dll. Juntos localizan la instalación de Steam, extraen la contraseña de la sesión activa y la envían a servidores de los atacantes, quienes usan la cuenta robada para seguir distribuyendo más fondos infectados, perpetuando el ciclo.
El 89% de las víctimas detectadas se concentraba en China, con fondos diseñados visualmente para atraer a jugadores de esa región. Pero el robo de cuentas resultó ser solo el principio: algunos fondos también instalaban minadores de criptomonedas, ransomware o software para integrar los equipos en botnets, lo que sugiere la participación de varios grupos criminales usando la misma técnica.
Steam ha eliminado los fondos señalados en el informe, pero la amenaza sigue viva y nuevos casos aparecen con regularidad. Kaspersky advierte que no se puede confiar ciegamente en los filtros de la plataforma: quien descargue fondos de la Workshop para editarlos en Wallpaper Engine debería analizarlos con un antivirus antes de aplicarlos, prestando especial atención a los del tipo 'Aplicación'.
Instalas un fondo de pantalla animado en tu PC. Se ve perfecto. Unos minutos después, tu cuenta de Steam ya no te pertenece. Eso es lo que ha estado sucediendo durante meses en la Workshop de Steam, y la mayoría de los afectados ni siquiera saben qué pasó.
El ataque funciona a través de Wallpaper Engine, la popular aplicación que permite crear y personalizar fondos animados e interactivos. Más de 100.000 personas la usan a diario. Los hackers vieron una oportunidad clara: subir fondos infectados a la Workshop de Steam, donde los jugadores descargan wallpapers para editarlos. Lo ingenioso es que estos fondos maliciosos se disfrazan de lo que parecen ser simples "application wallpapers" —en realidad, programas ejecutables corriendo en tu escritorio.
Kaspersky, la empresa de ciberseguridad, descubrió que atacantes llevan explotando esta vulnerabilidad desde finales de 2025. Suben fondos infectados de forma gratuita a la Workshop, aprovechando los filtros de seguridad débiles de Valve. Algunos de estos fondos ya acumulaban miles de descargas. Lo más preocupante es lo bien que se camufla el ataque: el fondo arranca con su animación habitual, pero en segundo plano está haciendo daño.
Cuando instalas uno de estos fondos comprometidos, los hackers introducen en tu equipo un programa oculto llamado Synaptics.exe, diseñado para ejecutarse sin que lo veas. Junto a él viene una versión manipulada de la librería del sistema AggregatorHost.dll. Su trabajo es localizar la instalación de Steam en tu PC, obtener la contraseña de tu sesión activa y enviarla a un servidor controlado por los atacantes. Desde ahí, los delincuentes usan tu cuenta robada para subir más fondos maliciosos a la Workshop, perpetuando el ciclo.
Según los datos de Kaspersky, el 89% de las víctimas detectadas estaban en China, con fondos diseñados visualmente para atraer a jugadores de esa región. Rusia concentraba el 5,5% del total. Pero el robo de cuentas es solo el principio. Los investigadores encontraron que algunos de estos fondos también instalaban minadores de criptomonedas sin permiso, ransomware que bloquea el acceso a tus propios archivos, o software para integrar tu PC en redes de equipos infectados controlados remotamente. Esto sugiere que varios grupos de hackers están usando la misma técnica.
Steam ya ha eliminado los fondos identificados en el informe de Kaspersky, pero la amenaza sigue siendo activa. La empresa de seguridad advierte que nuevos casos aparecen regularmente y recomienda no confiar en que los filtros de Valve te protejan. Si vas a descargar fondos de la Workshop para editarlos en Wallpaper Engine, lo ideal es pasar un antivirus antes de aplicar cualquier fondo. Presta especial atención a los fondos tipo "Aplicación": esos son los sospechosos.
Notable Quotes
Los hackers introducen un programa oculto llamado Synaptics.exe diseñado para ejecutarse en segundo plano sin que lo veas— Kaspersky
Steam ha eliminado los fondos identificados pero nuevos casos aparecen regularmente— Kaspersky
The Hearth Conversation Another angle on the story
¿Por qué Wallpaper Engine en particular? ¿No hay otras aplicaciones que permitan fondos personalizados?
Wallpaper Engine es popular y legítima, eso es lo que la hace útil para los atacantes. Los usuarios confían en ella. Además, la Workshop de Steam es un lugar donde la gente descarga contenido sin pensar demasiado en la seguridad.
Entonces el malware no está realmente en Wallpaper Engine, sino en los fondos que suben a Steam.
Exacto. Wallpaper Engine es solo el vehículo. El problema es que alguien sube un archivo que parece un fondo pero es un ejecutable disfrazado. Cuando lo instalas, el daño ya está hecho.
¿Cómo es que Valve no detecta esto? ¿No tienen sistemas para verificar lo que se sube?
Tienen filtros, pero claramente no son suficientes. Los hackers llevan meses haciéndolo. Algunos fondos acumularon miles de descargas antes de ser eliminados. Eso sugiere que los controles de Valve son débiles o que los atacantes saben cómo eludirlos.
¿Y una vez que roban tu contraseña, qué pasa con tu cuenta?
La usan para subir más fondos infectados. Tu cuenta se convierte en una herramienta para propagar el malware. Es un ciclo: roban una cuenta, la usan para infectar a más gente, y así sucesivamente.
¿Por qué China concentra el 89% de los casos?
Probablemente porque los atacantes diseñaron los fondos visualmente para atraer a jugadores chinos. Es un ataque dirigido. Pero eso no significa que otros países estén seguros; solo que fueron menos el objetivo inicial.
¿Qué debería hacer alguien que ya descargó fondos de la Workshop?
Pasar un antivirus a su PC. Cambiar su contraseña de Steam. Y en el futuro, ser muy cuidadoso con lo que descarga, especialmente si dice "Aplicación" en lugar de ser un fondo tradicional.