Steam encabeza el ranking de marcas de cebos para phisher en 2025

En el primer trimestre de 2025, la plataforma de juegos Steam encabezó inesperadamente la lista de las marcas más populares entre los estafadores de phishing. Así lo informó la empresa Guardio, especializada en ciberseguridad, tras analizar millones de mensajes recibidos por sus clientes. Según el estudio, Steam superó a las compañías tradicionalmente más suplantadas: Microsoft y Meta.

Los estafadores utilizan activamente el nombre de Steam para enviar notificaciones sobre supuestos problemas con las cuentas, como errores de pago o actividad sospechosa al iniciar sesión. El objetivo de estos mensajes es hacer que el usuario acceda a un enlace falso e introduzca su nombre de usuario y contraseña en un sitio web falso, donde la información pasa inmediatamente a manos de los delincuentes.

Además de los mensajes sobre amenazas de seguridad, se emplean otros escenarios. Algunos correos informan sobre la obtención de una tarjeta de regalo de Steam o el acceso a promociones exclusivas, obligando al destinatario a seguir un enlace malicioso para obtener el “premio”. Todos estos esquemas se basan en la confianza del usuario en la marca y en el hábito de reaccionar rápidamente a este tipo de notificaciones.

Según Guardio, otro fenómeno resultó inusual: por primera vez, operadores de peajes en EE.UU. entraron en el top 10 de marcas más suplantadas. Se trata de compañías como EZDrive Massachusetts, E-ZPass y SunPass, que operan en distintas regiones del país. Guardio informó de un aumento del 604 % en los mensajes fraudulentos relacionados con el pago de peajes desde comienzos del año. El salto más brusco se produjo en la primera semana de marzo.

El esquema es simple: la víctima recibe un SMS con información sobre un supuesto peaje impagado. El mensaje contiene un enlace a un sitio web falso que imita la interfaz del servicio oficial. El objetivo es obtener los datos de pago, explotando el miedo a las multas y la urgencia del problema. Según los analistas, es precisamente esta urgencia lo que hace que estos mensajes falsos sean especialmente eficaces.

Entre las diez marcas más suplantadas también se encuentran Roblox, el servicio postal USPS, la plataforma de streaming Netflix y el servicio de transferencia de archivos WeTransfer. Son bien conocidas por el público estadounidense y generan menos sospechas, lo que las convierte en señuelos ideales para los estafadores.

También se detectó un aumento de mensajes que se hacen pasar por el servicio fiscal IRS, así como por las marcas Joann y Forever 21. Estas últimas anunciaron el cierre de algunas tiendas a comienzos del año, lo que fue aprovechado por los delincuentes. Enviaban falsas ofertas de “liquidación final” con grandes descuentos, llevando a las víctimas a sitios fraudulentos para robar sus datos.

Según las estimaciones de Guardio, los estafadores adaptan cada vez más sus tácticas a la actualidad y al comportamiento de los usuarios. Cuanto más relevante es la noticia o situación, mayores son las probabilidades de un ataque exitoso. Por eso, los cambios estacionales, los cierres de tiendas y las campañas fiscales se convierten en motivo de una oleada de correos falsos.

Los expertos en seguridad recuerdan: cualquier información repentina sobre pagos, premios o bloqueos debe generar sospechas. Debe verificarse únicamente a través de sitios web y aplicaciones oficiales. Incluso las marcas más populares no están a salvo de que su nombre sea utilizado como herramienta por los estafadores.