Estafas, información sobre amenazas

Las páginas de verificación falsas están robando las cuentas de Steam a los jugadores

por Stefan Dasic | 12 de junio de 2026
Steam - Iniciando sesión...
Añadir como fuente preferida en Google

Los jugadores online deben tener cuidado con una estafa muy convincente cuyo objetivo es robarles la cuenta de Steam.

La estafa utiliza páginas de verificación falsas de FACEIT que parecen auténticas, con la imagen de marca oficial, enlaces que funcionan y lo que parece ser una ventana de inicio de sesión real de Steam. Para cuando te piden la contraseña, muchas víctimas ya están convencidas de que están interactuando con un servicio auténtico.

El objetivo es robarte la cuenta de Steam.

¿Por qué esta estafa se dirige a los jugadores de FACEIT?

Si no eres un jugador competitivo, es posible que FACEIT no te diga nada. Pero para millones de personas es muy importante, y eso lo convierte en un objetivo para los ciberdelincuentes que se hacen pasar por la plataforma.

FACEIT es una de las mayores plataformas de competición de Counter-Strike 2 (CS2). Millones de jugadores la utilizan para disputar partidas clasificatorias, torneos y ligas, y para disfrutar de sus avanzadas medidas contra las trampas.

Para utilizar FACEIT, los jugadores suelen vincular sus cuentas de Steam, que resultan muy valiosas para los estafadores.

Una cuenta de Steam robada puede contener:

  • Juegos comprados por valor de cientos o miles de dólares
  • Skins y objetos valiosos de CS2, algunos de los cuales alcanzan un valor considerable en dinero real
  • Fondos del monedero y formas de pago guardadas
  • Años de amistades, mensajes y reputación en la comunidad

Una vez que los delincuentes consiguen acceder a ella, pueden robar objetos, estafar a amigos o vender la cuenta en mercados ilegales.

Dado que FACEIT se conecta a Steam, una página falsa de «verificación de FACEIT» es una forma fácil de engañar a los usuarios. Las víctimas creen que están actualizando su cuenta, pero lo que los atacantes intentan en realidad es robar cuentas de Steam que pueden contener juegos valiosos, skins y fondos en el monedero. Los jugadores son especialmente vulnerables porque están acostumbrados a vincular cuentas y a seguir los pasos de verificación, y pueden actuar con rapidez si creen que su acceso a un juego está en peligro.

Cómo funciona la estafa

El ataque comienza con una página web que parece la página oficial de FACEIT. Es probable que estas páginas fraudulentas se difundan a través de los mismos canales que los jugadores utilizan a diario: foros de la comunidad, servidores de chat, publicaciones en redes sociales y mensajes directos.

La página afirma que FACEIT ofrece una verificación de identidad gratuita y opcional para ayudar a crear una comunidad más fiable. Tiene un aspecto pulido, utiliza la imagen de marca correcta e incluso incluye enlaces que funcionan al blog y a las páginas de asistencia reales de FACEIT. Todo está diseñado para hacerte creer que estás en una página web auténtica de FACEIT, pero no es así.

Página de verificación falsa de FACEIT
Página de verificación falsa de FACEIT

En lugar de utilizar el sitio web oficial faceit.com dominio, los estafadores utilizan direcciones muy parecidas, como por ejemplo:

  • faceit-discord.com
  • faceit-clubs-verify.com
  • faceit-verification-clubs.com

Las palabras añadidas, como «verificación» o «discord», están pensadas para que estas direcciones parezcan legítimas a primera vista, pero se trata de sitios web controlados por ciberdelincuentes.

Muchos de estos dominios tienen solo unos días o incluso unas horas de antigüedad. Los estafadores registran constantemente otros nuevos, sabiendo que es probable que acaben siendo bloqueados. Por eso, el hecho de que un sitio web no esté marcado como peligroso no significa que sea seguro.

Sin embargo, hay pequeños indicios. Por ejemplo, en una página aparecían tanto «Copyright 2024» como «Copyright 2025». Las empresas legítimas rara vez cometen errores como ese, pero los sitios fraudulentos suelen hacerlo.

Tras el proceso de verificación, la página afirma que hay un problema con tu cuenta de CS2 y te pide que actualices tus datos para demostrar que no eres un tramposo ni estás utilizando una cuenta «smurf».

Aquí está el truco. El código QR se ve borroso y es difícil de escanear. Los investigadores creen que es a propósito. Tras varios intentos fallidos, es probable que muchos usuarios se rindan y, en su lugar, hagan clic en el botón «Iniciar sesión a través de Steam», que parece más sencillo.

El código QR dañado es el empujoncito que lleva a las víctimas a la parte de la página donde se produce el robo propiamente dicho.

Página falsa de FACEIT con un código QR borroso y el botón «Iniciar sesión con Steam»
Página falsa de FACEIT con un código QR borroso y el botón «Iniciar sesión con Steam»

Cuando los usuarios acaban por dejar de lado el código QR y hacen clic en el botón, aparece una ventana de inicio de sesión de Steam. Parece muy realista, con el logotipo de Steam, los campos de inicio de sesión y lo que parece ser un steamcommunity.com barra de direcciones.

Pero la ventana es falsa.

Una ventana de inicio de sesión falsa de Steam roba los datos de tu cuenta
Una ventana de inicio de sesión falsa de Steam roba los datos de tu cuenta

En lugar de abrir una página de inicio de sesión real de Steam, los estafadores muestran una réplica muy convincente dentro de la propia página web. Los investigadores en seguridad denominan a esto un «ataque de navegador dentro del navegador». La ventana falsa tiene el mismo aspecto y se comporta como una ventana emergente auténtica del navegador, pero la barra de direcciones no es más que parte de la imagen.

Todo lo que se introduzca en el formulario llega directamente a manos de los delincuentes. Si la página también solicita un código de Steam Guard, este también es robado, lo que permite a los atacantes acceder a la cuenta. A continuación, se engaña a algunas víctimas para que «protejan» sus objetos transfiriéndolos a un amigo o a una cuenta de respaldo, cuando en realidad los están enviando directamente a los estafadores.

Cómo protegerse contra esta estafa

Unos sencillos hábitos pueden evitar esta estafa:

  • Fíjate en la barra de direcciones real. La página web oficial de FACEIT es faceit.com. Ten cuidado con los dominios que se parecen a otros, como faceit-discord.com o faceit-clubs-verify.com. Recuerda: una ventana de inicio de sesión dentro de una página web puede falsificar su propia barra de direcciones. Fíate de la que aparece en la parte superior del navegador, no de la que aparece dentro de la página.
  • Desconfía de los códigos QR borrosos. Los investigadores creen que el código QR de esta estafa se ha difuminado a propósito para que los usuarios pulsen el botón «Iniciar sesión a través de Steam».
  • Considera la urgencia como una señal de alerta. Los mensajes sobre problemas con la cuenta, la verificación o la pérdida de acceso están pensados para que actúes con rapidez. Tómate tu tiempo y comprueba primero la información.
  • Ve directamente a la fuente. Si no estás seguro de si FACEIT o Steam te están pidiendo algo, abre tú mismo la página web o la aplicación oficial en lugar de seguir enlaces de Discord, mensajes o anuncios.
  • Añade otra capa de protección. Los sitios fraudulentos suelen parecer legítimos. Malwarebytes Browser Guard puede ayudarte a bloquear páginas de phishing conocidas y otras estafas en línea antes de que introduzcas tu nombre de usuario y contraseña.

Si ya has introducido tus datos

Cambia tu contraseña de Steam inmediatamente, asegúrate de que Steam Guard esté activado y cierra sesión en todos los demás dispositivos. Comprueba la configuración de las claves API de Steam y elimina cualquier clave que no reconozcas. Cambia la contraseña en cualquier otro sitio donde la hayas reutilizado y revisa tu cuenta para detectar posibles intercambios o compras no autorizados.

¿Por qué funciona esta estafa?

Esta estafa funciona porque no parece una estafa. La imagen de marca es convincente, la historia tiene sentido e incluso la ventana de inicio de sesión de Steam parece auténtica.

La mayoría de la gente sabe que hay que comprobar la barra de direcciones antes de introducir una contraseña. Los ataques «browser-in-the-browser» están diseñados para burlar ese hábito. Como la ventana falsa de Steam está integrada en la propia página, los delincuentes pueden hacer que su barra de direcciones muestre lo que quieran, incluyendo steamcommunity.com.

Lo más seguro es desconfiar de cualquier ventana de inicio de sesión que aparezca dentro de otra página web. Si no estás seguro, cierra la página e inicia sesión en Steam como lo haces habitualmente, a través de la aplicación oficial o escribiendo la dirección tú mismo.

Esa pequeña pausa, ese rechazo a tomar el atajo fácil hacia el que te empuja la página, es todo lo que hace falta para que tu cuenta siga siendo tuya.

Detén las amenazas antes de que puedan causar ningún daño.

Malwarebytes Browser Guard automáticamente las páginas de phishing y los sitios maliciosos. Es gratis y se instala con un solo clic. Añádelo a tu navegador →

Acerca del autor

Stefan Dasic

Stefan Dasic

Apasionado de las soluciones antivirus, Stefan ha participado desde muy joven en pruebas de malware y control de calidad de productos antivirus. Como parte del equipo de Malwarebytes , Stefan se dedica a proteger a los clientes y garantizar su seguridad.

ÚLTIMOS ARTÍCULOS

AI
Google

Un tribunal dictamina que Google puede ser responsable de resúmenes falsos generados por IA

Junio 11, 2026

«La IA puede cometer errores» no es una defensa jurídica suficiente para los resúmenes generados por IA que sean difamatorios o incorrectos, según ha dictaminado un tribunal alemán.

Filtraciones de datos
Logotipo de VRChat

VRChat afirma que la filtración de datos denunciada nunca ocurrió

Junio 11, 2026

Te explicamos qué datos se han visto expuestos, cuáles son los posibles riesgos y qué medidas debes tomar ahora.

Noticias
Spotify en un vídeo de redes sociales

Premium gratuitos para Spotify Premium que circulan en las redes sociales están difundiendo programas de robo de información

Junio 10, 2026

Los ciberdelincuentes están convirtiendo TikTok e Instagram en plataformas para distribuir malware, utilizando tutoriales de software gratuito para propagar programas de robo de información.

Añadir como fuente preferida en Google

Artículos relacionados

Icono de colaborador

Colaboradores

Icono del Centro de Amenazas

Centro de amenazas

Icono Podcasts

Podcast

Icono del glosario

Glosario

Icono de estafa

Estafas