Wallpaper Engine permite usar fondos de pantalla animados e interactivos en Windows, y uno de sus formatos ejecuta programas reales sobre el escritorio. Kaspersky detectó que varios atacantes metieron malware dentro de fondos de ese tipo subidos a Steam Workshop, algunos con decenas de miles de descargas. En esta guía vamos a ver cómo comprobar si tienes uno instalado y cómo limpiarlo paso a paso.
¿Por qué un fondo de pantalla puede ejecutar malware?
La aplicación admite cuatro tipos de wallpaper: vídeo, escena, web y aplicación. Los tres primeros muestran contenido (un .mp4, una escena animada, una página web). El wallpaper de tipo aplicación carga un ejecutable de Windows como capa del escritorio.
Ese formato existe para cosas legítimas: relojes, monitores de sistema, widgets o minijuegos que viven en el fondo. El problema es que un ejecutable es un ejecutable, y nada impide que ese .exe haga algo distinto de pintar un reloj.
El fallo no está en la app ni en Steam, sino en el contenido que terceros suben al Workshop usando ese formato. Steam ya retiró los fondos infectados que Kaspersky identificó, pero el mecanismo sigue ahí y podrían subirse versiones nuevas.
¿Cómo funciona el ataque y qué roba?
El equipo de Kaspersky documentó dos métodos de ocultación. El primero es directo: el paquete del fondo incluye un ejecutable, una librería .DLL o un script que se lanza en segundo plano al seleccionar el wallpaper, sin clic adicional ni un instalador visible.
El segundo es más elaborado. El malware viaja dentro de un comprimido protegido con contraseña, y esa contraseña está escondida en el nombre del archivo o en un JSON de configuración. El comprimido se descifra solo al activar el fondo, lo que sirve para esquivar a los antivirus, que no pueden inspeccionar un archivo cifrado hasta que se abre.
No fue un único programa ni un único grupo, sino varios actores aprovechando el mismo agujero. Entre lo detectado están los infostealerLumma y Vidar (roban contraseñas guardadas, cookies de sesión y datos del navegador), el backdoorDarkKomet (control remoto del equipo) y el loader RenEngine (descarga más malware una vez dentro).
Lumma y Vidar tienen capacidad documentada para extraer información de wallets de criptomonedas, así que el riesgo no se queda en la cuenta de Steam. En uno de los casos analizados, un fondo lanzaba un minijuego que funcionaba con normalidad mientras desplegaba DarkKomet por detrás y robaba la sesión de Steam.
Las cookies de sesión son lo más peligroso del lote. Con ellas un atacante entra en tu cuenta sin la contraseña ni el código de Steam Guard, porque hereda una sesión ya validada. El malware llegaba a usar las cuentas robadas para subir más fondos infectados, con lo que se propagaba solo.
La campaña venía operando desde agosto de 2025, según el informe de Kaspersky en Securelist. Apuntó sobre todo a usuarios de China y Rusia, con víctimas también en Singapur, Hong Kong, Alemania, Vietnam, India y Canadá. La app ronda los 100.000 usuarios activos al día, y se hallaron decenas de paquetes infectados con decenas de miles de descargas cada uno.
¿Cómo compruebo si tengo un wallpaper infectado?
Tienes toda la razón, y van dos veces. Lo guardé en memoria como «usar con moderación», pero al reescribir el apartado lo dejé directamente sin una sola negrita, que es justo lo contrario de moderación: es ausencia.
En ese apartado hay términos que piden negrita en su primera aparición para guiar la lectura: tipo aplicación (el concepto central), project.json y el campo type (el dato que el lector va a buscar), la ruta de la carpeta, y la acción de no ejecutar nada. Te lo dejo corregido:
¿Cómo compruebo si tengo un wallpaper infectado?
La mayoría de las veces puedes descartar el problema en diez segundos. Los fondos de tipo aplicación vienen desactivados por defecto en el buscador del Workshop, así que si nunca tocaste esa opción, no tienes de que preocuparte. Y aunque la hubieras activado, la app lanza un aviso obligatorio cada vez que aplicas uno de esos fondos, explicando que ejecuta un programa externo. No se puede saltar ni desactivar de serie. Si nunca viste ese aviso, no tienes un fondo de ese tipo puesto.
Si sí los activaste en su momento, o no estás seguro, toca revisar. Abre Wallpaper Engine, ve a la pestaña «Instalados» y mira tus fondos. Los que te interesan son los de tipo aplicación, que son los únicos que ejecutan código.
¿Cómo distingues uno? Haz clic derecho sobre un fondo y elige «Open in Explorer» (Abrir en el explorador) para ir a su carpeta. Dentro hay un archivo project.json: ábrelo con el Bloc de notas y busca el campo type. Si pone application, ese fondo carga un ejecutable. Si pone video, scene o web, es contenido pasivo y no ejecuta nada.
Cuando localices uno de tipo aplicación, mira qué hay en su carpeta. Un fondo legítimo tiene su project.json y poco más. Lo que debería hacerte sospechar son archivos .exe o .dll sueltos, scripts (.bat, .vbs, .js) o comprimidos protegidos con contraseña (.zip, .rar, .7z), sobre todo si la contraseña va escrita en el nombre del archivo. Ese era uno de los trucos de la campaña.
Si prefieres revisarlo todo de golpe sin ir fondo por fondo, abre el Explorador con Win + E y entra en la carpeta donde Steam guarda las descargas:
C:\Program Files (x86)\Steam\steamapps\workshop\content\431960
(Cambia la letra C si instalaste Steam en otro disco.) Verás carpetas con nombres numéricos, una por fondo. Ordénalas por fecha de modificación para revisar primero las recientes y busca los mismos archivos sospechosos.
Una cosa importante: no ejecutes nada para «probar» qué hace. Si das con algo raro, no lo abras. Apúntalo y pasa a la limpieza.
¿Cómo limpio mi equipo si encuentro algo?
Empieza por darte de baja del fondo dentro de Steam (botón Unsubscribe en el item del Workshop). Revisa también las suscripciones recientes, no solo el que recuerdas haber aplicado, porque a veces no es el que crees.
Después escanea el equipo con un antivirus actualizado antes de iniciar sesión en nada. Windows Defender al día sirve como primera pasada. Deja que termine el análisis completo y vacía la Papelera de reciclaje solo cuando el escaneo haya acabado.
Muy importante: no cambies tus contraseñas desde el equipo infectado. Si estas infectado por infostealer, captura cualquier credencial nueva que escribas. Limpia primero el PC, confirma que está limpio y cambia las contraseñas (Steam, correo, wallets) desde otro dispositivo que sepas seguro. En Steam, cierra sesión en todos los dispositivos para invalidar las cookies que pudieran haber robado.
Si entraste algún código de Steam Guard en una página o aprobaste un inicio de sesión raro durante el proceso, trata la cuenta como comprometida.
¿Tengo que dejar de usar Wallpaper Engine?
No. La aplicación es legítima y el formato de tipo aplicación tiene usos normales. El riesgo se concentra en contenido concreto descargado de terceros.
Si quieres reducir la exposición, quédate con fondos de tipo vídeo, escena o web, que no ejecutan programas. Y antes de aplicar uno de tipo aplicación de un autor que no conoces, revisa su carpeta con los pasos de arriba. Es más trabajo, pero te separa de una sesión de Steam robada.
[Fuente: Securelist (Kaspersky) · BleepingComputer]
Preguntas frecuentes
¿Wallpaper Engine es seguro?
Sí. La aplicación no está comprometida. El problema son ciertos fondos de tipo aplicación subidos por terceros a Steam Workshop, que esconden ejecutables maliciosos. Los formatos de vídeo, escena y web no ejecutan código.
¿Cómo sé qué tipo de wallpaper tengo?
Abre el project.json de su carpeta con el Bloc de notas y busca el campo type. Si pone application, carga un ejecutable. Si pone otra cosa (video, scene, web), no.
¿Dónde están guardados los wallpapers descargados?
En C:\Program Files (x86)\Steam\steamapps\workshop\content\431960, una carpeta por fondo con nombre numérico. Cambia la letra del disco si instalaste Steam en otro.
Descargué un fondo infectado, ¿cambio ya mis contraseñas?
No desde el equipo infectado. Limpia primero el PC con un antivirus, confirma que está limpio y cambia las contraseñas desde otro dispositivo seguro. Cierra sesión en todos los dispositivos en Steam.
¿Steam ya solucionó el problema?
Steam retiró los fondos maliciosos que Kaspersky identificó, pero el mecanismo de ataque sigue existiendo y podrían subirse versiones nuevas. Conviene mantener el antivirus activo.
