ak4ever escribió: miro el registro de autorizaciones y no aparece ningún inicio de sesión nuevo ni hay ningún dispositivo autorizado que no sea mio.
Seguramente hayas entrado en alguna web que te ha robado el token de autentificación de Steam de tu navegador. Con esto, no necesitan ni tu contraseña ni usuario, simplemente añaden ese token en su navegador, y pueden acceder a tu cuenta de Steam como cuando lo haces en tu casa. Por eso no te aparece ningún inicio de sesión nuevo ni otro dispositivo, porque estan entrando en su navegador con el token de tu navegador. Con este método, no es necesario que metas tu datos de acceso a Steam en la web "maliciosa", simplemente por entrar ya pueden robarte el token de autentificación. Esto no es tanto un problema de Steam, sino del navegador en sí, ya que el token se puede usar en cualquier dispositivo, cuando debería comprobar otros datos, como la IP o el dispositivo original donde se creó el token por primera vez.
Con este método es como le hackearon la cuenta de Youtube a Linus Tech Tips hace unas semanas. Simplemente uno del equipo entró en un link, y ya pudieron acceder a la cuenta y liarsela. No podían cambiarle el mail ni la contraseña, pero si borrar videos, empezar hacer un directo que formaba parte de la estafa, etc...
La parte menos mala de esta es que no pueden cambiarte la contraseña, porque ahi si necesitan tanto la contraseña actual como el 2FA (si lo tienes activo), pero si pueden vender y comprar en el mercado con ciertas limitaciones. A mi, por ejemplo, cuando compro o vendo cosas en masa en el mercado de Steam, para el primer o los dos primeros artículos no me requiere confirmación en la app del movil, pero a partir de ahí si me la empieza a pedir.