Categoría: Seguridad · Última revisión: mayo 2026

Contenido informativo y orientativo. Para recuperar ítems robados, sigue siempre los canales oficiales de Steam Support.

Qué es un API scam en CS2

El «API scam» es uno de los tipos de fraude más frecuentes en la comunidad de CS2. El término se usa de forma amplia para describir varios métodos mediante los cuales un atacante consigue acceso a tu cuenta de Steam o a tus trades activos, y los redirige para robarte las skins.

Hay dos variantes principales:

Variante 1 — Robo de clave API de Steam: Un atacante obtiene tu Steam Web API Key. Con ella puede monitorizar tus trades activos, cancelar ofertas legítimas entrantes y sustituirlas por ofertas falsas que parecen idénticas, pero que envían tus skins a una cuenta diferente.

Variante 2 — Sesión robada vía phishing (más común actualmente): El atacante te hace iniciar sesión en un sitio falso que imita a Steam o a una plataforma de trading. Captura tus credenciales o los datos de sesión activa. Con eso puede iniciar sesión en tu cuenta directamente, sin necesitar la API key.

Cómo ocurre un API scam paso a paso

  1. Visitas un sitio falso que imita a una plataforma legítima
  2. El sitio te pide que «inicies sesión con Steam» o que «generes una API key» para usar el servicio
  3. Si introduces tus datos o autorizas la API key en ese sitio falso, el atacante la recibe
  4. El atacante configura bots que monitorizan tus trades en tiempo real
  5. Cuando alguien legítimo te envía una trade offer, el bot del atacante la cancela y envía una offer casi idéntica, pero con su cuenta como destinataria
  6. Si no revisas el destinatario con atención, aceptas la offer falsa y la skin va al estafador

Señales de que puedes estar siendo víctima

  • Recibes una trade offer que esperabas, pero el perfil del destinatario no coincide con el que debería ser
  • Alguien contacta contigo alegando ser de soporte de Steam, de una plataforma o de otro jugador, y te pide hacer algo urgente
  • Visitas un link que parece de Steam o una plataforma conocida pero la URL tiene variaciones sutiles (skinp0rt.com, stearn.com, etc.)
  • Recibes offers no solicitadas con ítems de valor muy superior a los tuyos sin explicación lógica
  • Tus trades se cancelan solos repetidamente sin que hayas hecho nada

Cómo proteger tu cuenta — medidas concretas

Steam Guard Mobile Authenticator

Actívalo si no lo tienes. Todas las confirmaciones de trades pasan por la app móvil de Steam. No confirmes trades desde links en emails, mensajes de Discord o Telegram — solo desde la app oficial de Steam.

Revisar y revocar tu Steam Web API Key

Entra en steamcommunity.com/dev/apikey. Si ves una API key que no recuerdas haber creado, o si el dominio asociado no es tuyo, revócala inmediatamente. La mayoría de usuarios normales no necesita tener una API key personal — si no sabes para qué sirve la tuya, es más seguro revocarla.

Verificar el destinatario en cada trade offer

Antes de aceptar cualquier trade offer, verifica manualmente el perfil de la cuenta que te envía la offer. ¿El nombre de perfil, avatar y nivel de Steam coinciden con lo que esperas? Tómate 10 segundos antes de confirmar.

No iniciar sesión en Steam desde links externos

Si necesitas ir a Steam o a una plataforma de trading, escribe la URL directamente en el navegador o usa marcadores que hayas creado tú mismo. Los primeros resultados de búsqueda en Google pueden ser anuncios pagados de sitios falsos que imitan a los reales.

Qué es el Trade Protection y cómo te ayuda

En julio de 2025, Valve introdujo el sistema Trade Protection en CS2. Cuando recibes ítems de CS2 en un trade, quedan marcados como «Trade Protected» durante 7 días.

El beneficio de seguridad: Si tu cuenta es comprometida, tienes 7 días para revertir todos los trades no autorizados con un solo clic desde tu historial de trades en Steam. No necesitas contactar con soporte.

La consecuencia de usar el botón de reversión: Tu cuenta queda con un bloqueo de 30 días para operar en el Steam Community Market. Todos los trades elegibles del período se revierten (no puedes elegir cuáles).

Trade Protection no es sustituta de las medidas preventivas. Úsala como último recurso en una situación de emergencia.

Qué hacer si ya has sido víctima

  1. Asegura tu cuenta desde un dispositivo limpio: cambia la contraseña, revoca la Steam API key, desautoriza todos los dispositivos en la configuración de Steam
  2. Revisa el historial de trades en Steam. Si hay trades que no reconoces con Trade Protection activa, activa la reversión
  3. Contacta con Steam Support en help.steampowered.com — documenta lo ocurrido con fechas, cuentas involucradas y capturas
  4. No uses la cuenta hasta haber completado los pasos anteriores
  5. Reporta la cuenta del estafador desde Steam

Preguntas frecuentes

¿Puedo tener activado Steam Guard y aún ser víctima de un API scam?
Sí. Steam Guard protege el inicio de sesión con nuevos dispositivos, pero si el atacante ya tiene acceso a tu sesión activa o a tu API key, puede operar sin necesitar pasar por Steam Guard nuevamente.

¿Las plataformas legítimas me pedirán mi Steam API key?
Las plataformas legítimas de trading usan la autenticación oficial de Steam (Steam OpenID) para que inicies sesión. Ninguna plataforma legítima debería pedirte que generes o compartas una Steam Web API key personal. Sí pueden pedir tu Trade URL, que es diferente.

¿Qué pasa si el ítem ya no tiene Trade Protection cuando descubro el scam?
En ese caso el botón de reversión automática no aplica. Debes contactar con Steam Support con toda la documentación disponible. La recuperación en estos casos no está garantizada.

Fuente: Steam Community guides, páginas de seguridad de Valve, documentación oficial de Steam Trade Protection. Última revisión: mayo 2026.