¿Qué es la Estafa de la API?
La "Estafa de la API" es una forma de estafa que podemos encontrar en la plataforma Steam.
Consiste en explotar una vulnerabilidad en la seguridad de Steam y el desconocimiento de los usuarios con el fin de estafarles con artículos para distintos juegos.
La propia clave API de Steam, que puede generarse para cualquier cuenta en la plataforma Steam, permite la gestión de las ofertas de intercambio de Steam, pero no permite que las ofertas sean aceptadas por el Token Mobile de Steam Guard, que es imprescindible para finalizar una transacción de intercambio en Steam.
Un usuario de Steam (por ejemplo, engatusado por una oferta muy atractiva, que incluso parece imposible) decide visitar y utilizar un sitio que finge ofrecer un servicio o suplanta a otro sitio.
El usuario es redirigido a un falso panel de inicio de sesión de Steam, donde introduce sus datos de acceso y un código de autorización de la aplicación móvil Steam Guard.
Después de proporcionar datos privados en la página de inicio de sesión falsa, los estafadores pueden añadir una clave API a la cuenta del usuario y apoderarse de ella. Se puede acceder a la clave API de Steam desde esta página una vez que el usuario ha iniciado sesión en Steam.
Dado que los estafadores tienen acceso a la clave API del usuario, un script automatizado creado por los estafadores "escuchará" las ofertas entrantes del usuario y, cuando encuentre una ocasión, obtendrá información sobre la oferta de intercambio que ha recibido el usuario.
Tras obtener la información sobre la oferta de intercambio que ha recibido el usuario, el script cambia automáticamente la apariencia de la cuenta de Steam vinculada para que tenga el mismo aspecto que la cuenta con la que se supone que el usuario iba a realizar el intercambio. El script rechaza automáticamente la oferta de intercambio real que había recibido el usuario y envía su oferta de intercambio desde la cuenta falsa.
Cuando el usuario acepta la oferta de intercambio utilizando el Token Mobile de Steam Guard, no ve que hay diferencias en la oferta, lo que hace que pierda sus artículos.
¡Importante! Si esto ocurre, es posible que veas dos ofertas de intercambio en la pestaña "Historial de Ofertas Recibidas". La oferta real tendrá el estado "Intercambio rechazado (fecha y hora)" y la oferta falsa tendrá el estado "Intercambio aceptado (fecha y hora)".
Antes de aceptar una oferta utilizando el Token Mobile de Steam Guard, debes:
Comprobar los detalles del perfil del que se ha recibido la oferta de intercambio (perfil, avatar)
Verificar el nivel del perfil de Steam (la cuenta de Steam que pertenece a los estafadores puede tener un nivel diferente)
Revisa el historial de intercambio del perfil de Steam (para ello, en la oferta de intercambio que has recibido, haz clic en el avatar o en el nombre del perfil del que has recibido la oferta de intercambio y, a continuación, haz clic en la flecha situada junto a su nombre para expandir su historial de apodos)
Comprueba la fecha de creación de la cuenta de Steam desde la que has recibido la oferta de intercambio (la fecha de creación de la cuenta no puede modificarse de ninguna manera)
Ve a https://steamcommunity.com/dev/registerkey para eliminar la clave generada. Puedes hacerlo haciendo clic en el botón "Revocar mi clave API Web de Steam".
Si la clave se vuelve a generar, asegúrate de que tu navegador o el dispositivo que utilizas no están infectados por ningún tipo de malware.
Desautoriza todos los otros dispositivos con los que hayas iniciado sesión entrando en https://store.steampowered.com/twofactor/manage
Comprueba que no se han realizado otros cambios en tu cuenta, como por ejemplo la dirección de correo electrónico de tu cuenta
Cambia la contraseña de tu cuenta de Steam. (Hazlo sobre todo en otros sitios si tienes la misma contraseña en varios sitios).
Sólo para estar seguro, después de realizar los puntos anteriores, comprueba que tu cuenta no tiene una clave API de Steam generada de nuevo (punto 1.). Si utilizas plugins de inventario de Steam, comprueba que la clave API no es generada por los plugins que estás utilizando.
¡Atención! Antes de cada intercambio, se recomienda comprobar que tu cuenta no tiene una clave API de Steam Web creada. ¡Haciendo esto aumentarás la seguridad de tus intercambios!
Consiste en explotar una vulnerabilidad en la seguridad de Steam y el desconocimiento de los usuarios con el fin de estafarles con artículos para distintos juegos.
La propia clave API de Steam, que puede generarse para cualquier cuenta en la plataforma Steam, permite la gestión de las ofertas de intercambio de Steam, pero no permite que las ofertas sean aceptadas por el Token Mobile de Steam Guard, que es imprescindible para finalizar una transacción de intercambio en Steam.
Cómo funciona la Estafa de la API
Un usuario de Steam (por ejemplo, engatusado por una oferta muy atractiva, que incluso parece imposible) decide visitar y utilizar un sitio que finge ofrecer un servicio o suplanta a otro sitio.
El usuario es redirigido a un falso panel de inicio de sesión de Steam, donde introduce sus datos de acceso y un código de autorización de la aplicación móvil Steam Guard.
Después de proporcionar datos privados en la página de inicio de sesión falsa, los estafadores pueden añadir una clave API a la cuenta del usuario y apoderarse de ella. Se puede acceder a la clave API de Steam desde esta página una vez que el usuario ha iniciado sesión en Steam.
Dado que los estafadores tienen acceso a la clave API del usuario, un script automatizado creado por los estafadores "escuchará" las ofertas entrantes del usuario y, cuando encuentre una ocasión, obtendrá información sobre la oferta de intercambio que ha recibido el usuario.
Tras obtener la información sobre la oferta de intercambio que ha recibido el usuario, el script cambia automáticamente la apariencia de la cuenta de Steam vinculada para que tenga el mismo aspecto que la cuenta con la que se supone que el usuario iba a realizar el intercambio. El script rechaza automáticamente la oferta de intercambio real que había recibido el usuario y envía su oferta de intercambio desde la cuenta falsa.
Cuando el usuario acepta la oferta de intercambio utilizando el Token Mobile de Steam Guard, no ve que hay diferencias en la oferta, lo que hace que pierda sus artículos.
¡Importante! Si esto ocurre, es posible que veas dos ofertas de intercambio en la pestaña "Historial de Ofertas Recibidas". La oferta real tendrá el estado "Intercambio rechazado (fecha y hora)" y la oferta falsa tendrá el estado "Intercambio aceptado (fecha y hora)".
Cómo reconocer la Estafa de la API
Antes de aceptar una oferta utilizando el Token Mobile de Steam Guard, debes:
Comprobar los detalles del perfil del que se ha recibido la oferta de intercambio (perfil, avatar)
Verificar el nivel del perfil de Steam (la cuenta de Steam que pertenece a los estafadores puede tener un nivel diferente)
Revisa el historial de intercambio del perfil de Steam (para ello, en la oferta de intercambio que has recibido, haz clic en el avatar o en el nombre del perfil del que has recibido la oferta de intercambio y, a continuación, haz clic en la flecha situada junto a su nombre para expandir su historial de apodos)
Comprueba la fecha de creación de la cuenta de Steam desde la que has recibido la oferta de intercambio (la fecha de creación de la cuenta no puede modificarse de ninguna manera)
Cómo protegerte de la Estafa de la API en el futuro
Ve a https://steamcommunity.com/dev/registerkey para eliminar la clave generada. Puedes hacerlo haciendo clic en el botón "Revocar mi clave API Web de Steam".
Si la clave se vuelve a generar, asegúrate de que tu navegador o el dispositivo que utilizas no están infectados por ningún tipo de malware.
Desautoriza todos los otros dispositivos con los que hayas iniciado sesión entrando en https://store.steampowered.com/twofactor/manage
Comprueba que no se han realizado otros cambios en tu cuenta, como por ejemplo la dirección de correo electrónico de tu cuenta
Cambia la contraseña de tu cuenta de Steam. (Hazlo sobre todo en otros sitios si tienes la misma contraseña en varios sitios).
Sólo para estar seguro, después de realizar los puntos anteriores, comprueba que tu cuenta no tiene una clave API de Steam generada de nuevo (punto 1.). Si utilizas plugins de inventario de Steam, comprueba que la clave API no es generada por los plugins que estás utilizando.
¡Atención! Antes de cada intercambio, se recomienda comprobar que tu cuenta no tiene una clave API de Steam Web creada. ¡Haciendo esto aumentarás la seguridad de tus intercambios!
Actualizado el: 16/01/2024