Acceso en cuentas con 2FA activo

Hola amigos,

recientemente he sufrido algún tipo de ataque y perdí el acceso a mi cuenta de google, a la cual tenia asociado todas mis redes sociales, steam, discord, etc.

Tras el incidente pude recuperar todas las cuentas, cerré sesión en todos los dispositivos que la tenían abierta, cambie contraseñas, quite y volví a poner el 2fa (uso el google authenticator y numero de teléfono normalmente), y formatee todo el ordenador con una instalación limpia.

El caso es que, una semana después, sin ningún aviso a mis mails, ni nada, mi cuenta de steam y discord se ha dedicado a mandar spam del clasico “click para regalo” a todos mis contactos. Ambas cuentas las tengo con sus respectivos 2fa y tampoco ha habido ningún dispositivo ajeno a los míos (portátil y teléfono) conectado.

La verdad es que me estoy volviendo loco tratando de entender como han podido hacerlo, alguna idea sobre el cómo o acerca de como protegerme mejor?

Muchas gracias amigos!