El cryptojacking es una forma malware cada vez más extendida que se oculta en su dispositivo y roba los recursos de su equipo para hacer minería de monedas online como el bitcoin.
Todo acerca del cryptojacking
El cryptojacking (también denominado minería de criptomonedas maliciosa) es una amenaza emergente de Internet que se oculta en un ordenador o en un dispositivo móvil, y utiliza los recursos de la máquina para “extraer” diversas formas de monedas digitales conocidas como criptomonedas. Es una amenaza floreciente que puede apoderarse de navegadores web, así como comprometer todo tipo de dispositivos, desde ordenadores de escritorio y portátiles hasta teléfonos inteligentes e incluso servidores de red.
Al igual que la mayoría de los ataques maliciosos al público informático, el motivo es el beneficio, pero a diferencia de otras amenazas, está diseñado para permanecer completamente oculto del usuario. Para comprender la mecánica de la amenaza y saber cómo protegerse contra ella, empecemos por conocer algunos antecedentes.
¿Qué son las criptomonedas?
Las criptomonedas son un tipo de dinero digital que existe solo en el mundo digital, sin una forma física. Se crearon como una alternativa al dinero tradicional y se hicieron populares por su diseño avanzado, su potencial de crecimiento y su anonimato. Una de las primeras formas de criptomoneda, y de más éxito, el bitcoin, surgió en 2009. En diciembre de 2017, el valor de un solo bitcoin alcanzó su máximo histórico, casi 20 000 USD, después cayó por debajo de los 10 000 USD. El éxito del bitcoin inspiró la creación de otras criptomonedas que operan más o menos de la misma manera. Antes de que haya pasado una década desde su invención, personas de todo el mundo utilizan criptomonedas para comprar y vender cosas o hacer inversiones.
La palabra “criptomoneda” viene de la combinación de otros dos términos, “criptografía” y “moneda”. Se define como dinero electrónico basado en los principios del cifrado matemático complejo. Todas las criptomonedas existen como unidades monetarias descentralizadas y cifradas que pueden transferirse libremente entre los participantes de la red. Dicho de otra manera, una criptomoneda es electricidad convertida en líneas de código que tienen un valor monetario.
“Las unidades de criptomoneda (llamadas “coins”) no son más que entradas en una base de datos”.
Las unidades de criptomoneda (llamadas “coins”) no son más que entradas en una base de datos. Para realizar una transacción que modifica la base de datos, tienen que cumplirse ciertas condiciones. Piense en cómo hace el seguimiento de los movimientos de su cuenta bancaria. Cada vez que autoriza transferencias, retiradas de efectivo o depósitos, la base de datos del banco se actualiza con las nuevas transacciones. Las criptomonedas funcionan de forma similar, pero con una base de datos descentralizada.
A diferencia de las monedas tradicionales, las criptomonedas como el bitcoin no están respaldadas por un gobierno o un banco específicos. Ningún gobierno o regulador central supervisa la criptomoneda. Está descentralizada y se gestiona en múltiples bases de datos duplicadas simultáneamente en una red de millones de ordenadores que no pertenecen a ninguna persona u organización. Es más, la base de datos de criptomoneda funciona como un libro de contabilidad digital. Utiliza el cifrado para controlar la creación de nuevas monedas y comprobar la transferencia de fondos. Durante todo el proceso, la criptomoneda y sus propietarios permanecen en total anonimato.
La naturaleza anónima y descentralizada de las criptomonedas implica que ningún organismo regulador decide qué cantidad de moneda debe ponerse en circulación. Por el contrario, la manera en que la mayoría de las criptomonedas entra en circulación es un proceso denominado “minería”. Sin entrar en detalles, el proceso de minería consiste básicamente en convertir los recursos informáticos en coins de criptomoneda. Al principio, cualquiera que tuviera un ordenador podía extraer criptomonedas, pero esto se convirtió rápidamente en una carrera armamentística. Actualmente, la mayoría de los programas de minería utiliza ordenadores potentes y configurados ad hoc que extraen criptomonedas a todas horas. La gente empezó enseguida a buscar nuevas maneras de extraer criptomonedas y surgió el cryptojacking. En lugar de pagar un ordenador caro dedicado a la minería, los hackers empezaron a infectar ordenadores normales y a utilizarlos como una red a su antojo.
Si las criptomonedas son anónimas, ¿cómo se utilizan?
Los propietarios de criptomonedas las guardan en “carteras” virtuales, que están cifradas de forma segura con claves privadas. En una transacción, la transferencia de fondos entre los propietarios de sendas carteras digitales requiere que se introduzca un registro del intercambio en el libro de contabilidad digital público descentralizado. Los datos acerca del último bitcoin u otras transacciones de criptomoneda se recopilan en ordenadores especiales cada 10 minutos y se convierten en un rompecabezas matemático. Allí, la transacción convertida en rompecabezas espera la confirmación,
que tiene lugar cuando los miembros de otra categoría de participantes, denominados mineros, resuelven independientemente los complejos rompecabezas matemáticos que demuestran la legitimidad de la transacción. A continuación, se completa la transacción transfiriendo el dinero de la cartera del propietario a otra cartera. Normalmente, un arsenal de programas de minería trabaja sin descanso en la resolución del rompecabezas en una carrera por ser el primero en encontrar la resolución que autentica la transacción.
“Los mineros se dieron cuenta de que incluso los PC más punteros con un procesador potente no podían extraer coins de forma suficientemente rentable para cubrir los costes”.
El programa de minería que resuelve primero el problema cifrado recibe una recompensa, que suele ser cierta cantidad de nueva criptomoneda. Este método se concibió especialmente como incentivo para quienes sacrifican el tiempo y la capacidad informática de sus ordenadores a fin de mantener la red y crear nuevos coins. Debido a que la complejidad de los cálculos para resolver el rompecabezas ha aumentado constantemente a lo largo del tiempo (en particular los del bitcoin), los mineros se dieron cuenta de que incluso los PC más punteros con un procesador potente no podían extraer coins de forma suficientemente rentable para cubrir los costes.
Entonces, se intensificó la búsqueda añadiendo a los programas de minería sofisticadas tarjetas de procesamiento de vídeo, a veces varias, para manejar los onerosos cálculos. Finalmente, los mineros que querían seguir siendo competitivos aumentaron su negocio creando granjas enormes de ordenadores con hardware especializado en la minería de criptomonedas a escala comercial. Esta es la situación actual: quienes se dedican en serio a la minería de criptomonedas invierten mucho dinero en competir con otros programas de minería a fin de resolver los primeros el rompecabezas y reclamar su recompensa.
Adaptarse a este esfuerzo enorme es una carrera armamentística muy costosa, que requiere una gran potencia de procesamiento y mucha energía eléctrica para aumentar las oportunidades de rentabilidad de la minería. Por ejemplo, antes de que China cerrara las granjas de criptomoneda del país, algunas facturas eléctricas mensuales alcanzaban los 80 000 USD.
“Si es víctima del cryptojacking, puede no darse cuenta”.
¿Qué es el cryptojacking?
El cryptojacking es un plan para utilizar los dispositivos de otras personas (ordenadores, teléfonos inteligentes, tabletas o incluso servidores), sin su consentimiento ni su conocimiento, para extraer criptomonedas subrepticiamente a costa de la víctima. En lugar de construir un ordenador dedicado a la minería, los hackers utilizan el cryptojacking para robar los recursos informáticos de los dispositivos de sus víctimas. Cuando se suman todos estos recursos, los hackers pueden competir con operaciones sofisticadas de minería de criptomonedas sin incurrir en unos gastos operativos caros.
Si es víctima del cryptojacking, puede no darse cuenta. La mayoría del software de cryptojacking está diseñado para permanecer oculto al usuario, pero esto no significa que no se note. Este robo de sus recursos informáticos reduce la velocidad de otros procesos, aumenta la factura de la luz y acorta la vida del dispositivo. En función de lo sutil que sea el ataque, se pueden observar ciertas señales de alarma. Si su PC o Mac se ralentizan o el ventilador se pone en marcha más veces de lo normal, tiene motivos para sospechar que se trata de cryptojacking.
La motivación del cryptojacking es sencilla: el dinero. La minería de criptomonedas puede ser muy lucrativa, pero que llegue a ser rentable resulta casi imposible sin los medios para cubrir grandes costes. Para alguien que tiene recursos limitados y una moral cuestionable, el cryptojacking es una manera asequible y eficaz de extraer valiosos coins.
¿Cómo funciona el cryptojacking?
Los cryptojackers tienen más de una manera de aprovecharse de los ordenadores de otros usuarios. Uno de los métodos funciona como el malware clásico. El usuario hace clic en un enlace malicioso en un correo electrónico que carga código de minería de criptomonedas directamente en el ordenador. Una vez infectado el ordenador, el cryptojacker comienza a trabajar a todas horas para extraer criptomonedas, manteniéndose oculto en segundo plano. Como reside en el PC, es local, lo que significa que es una amenaza persistente que ha infectado el propio ordenador.
Un enfoque alternativo del cryptojacking se denomina a veces minería de criptomonedas fortuita. Al igual que los exploits de publicidad maliciosa, el plan implica la incrustación de un fragmento de código de JavaScript en una página web. Después, realiza la minería de criptomonedas en las máquinas de los usuarios que visitan esa página.
“La minería de criptomonedas fortuita puede infectar incluso los dispositivos móviles Android”.
En los primeros casos de minería de criptomonedas fortuita, los editores web se apuntaron a la fiebre del bitcoin en un intento por complementar sus ingresos y monetizar el tráfico de sus sitios; pedían permiso abiertamente a los visitantes para extraer criptomonedas mientras estaban en sus sitios. Lo planteaban como un intercambio justo: usted obtiene contenido gratuito mientras ellos utilizan su ordenador para la minería. Si se encuentra, por ejemplo, en un sitio de juegos, probablemente permanecerá en la página durante algún tiempo mientras el código de JavaScript extrae coins. Después, cuando sale del sitio, la minería de criptomonedas se cierra y libera su ordenador. En teoría, no es tan malo, siempre que el sitio sea transparente y honesto acerca de lo que está haciendo, pero es difícil asegurarse de que los sitios jueguen limpio.
Las versiones más maliciosas de minería de criptomonedas fortuita no se molestan en pedir permiso y siguen en ejecución mucho después de que el usuario salga del sitio inicial. Esto es una técnica común de los propietarios de sitios dudosos o de los hackers que han comprometido sitios legítimos. Los usuarios no tienen ni idea de que el sitio que visitaron ha utilizado su ordenador para extraer criptomonedas. El código utiliza los recursos del sistema mínimos suficientes para pasar desapercibido. Aunque el usuario piensa que las ventanas visibles del navegador están cerradas, sigue abierta una ventana oculta. Normalmente es una ventana oculta de tamaño reducido que cabe debajo de la barra de tareas o del reloj.
La minería de criptomonedas fortuita puede infectar incluso los dispositivos móviles Android. Funciona con los mismos métodos que se utilizan para los ordenadores de escritorio. Algunos ataques tienen lugar a través de un troyano oculto en una aplicación descargada. O bien, los teléfonos de los usuarios pueden redirigirse a un sitio infectado que deja detrás una ventana oculta persistente. Existe incluso un troyano que invade los teléfonos Android con un instalador tan nefasto que puede invadir el procesador hasta el punto de que sobrecalienta el teléfono, aumenta el consumo de batería y deja el Android inservible. Y no solo eso.
Es posible que se pregunte por qué su teléfono tiene relativamente menos potencia de procesamiento. Cuando estos ataques se producen en masa, el mayor número de teléfonos inteligentes constituye una fuerza colectiva digna de la atención de los cryptojackers.
Algunos profesionales de la seguridad informática señalan que, a diferencia de muchos otros tipos de malware, los scripts de cryptojacking no dañan los datos del ordenador o de las víctimas. Pero el robo de recursos de la CPU tiene consecuencias. Ciertamente, la disminución del rendimiento del ordenador puede ser sólo un fastidio para un usuario individual. Pero en las organizaciones grandes que han padecido el cryptojacking en muchos sistemas, se traduce en costes reales. Los costes de consumo eléctrico y de trabajo del departamento de IT, además de las oportunidades perdidas, son sólo algunas de las consecuencias de lo que ocurre cuando una organización se ve afectada por el cryptojacking fortuito.
¿Qué prevalencia tiene el cryptojacking?
El cryptojacking es relativamente nuevo, pero ya es una de las amenazas de Internet más comunes. En un blog de Malwarebytes reciente, nuestro equipo de Intel pone de manifiesto que, desde septiembre de 2017, la minería de criptomonedas maliciosa (otra denominación del cryptojacking) es el ataque de malware que más veces hemos detectado. El mes siguiente, en un artículo publicado en octubre de 2017, Fortune sugería que el cryptojacking es la mayor amenaza de seguridad en el mundo digital. Más recientemente, hemos observado un aumento del 4000% en las detecciones de malware de cryptojacking para Android durante el primer trimestre de 2018.
Es más, los cryptojackers apuntan cada vez más alto e invaden hardware cada vez más potente. Un ejemplo es un incidente en el que los delincuentes hacían cryptojacking desde la red de tecnología operativa del sistema de control de un servicio público europeo de distribución de agua y que degradó la capacidad del operador para gestionar la planta de ese servicio público. En otro caso mencionado en el mismo informe, un grupo de científicos rusos usaba supuestamente el superordenador de su centro de investigación y de construcción de ojivas nucleares para extraer bitcoins.
“Parece incluso que los delincuentes prefieren el cryptojacking al ransomware”.
A pesar de que estas intrusiones son contundentes, el cryptojacking de dispositivos personales sigue siendo el problema más prevalente, dado que robar pequeñas cantidades en muchos dispositivos permite acumular grandes sumas. De hecho, parece que los delincuentes prefieren el cryptojacking al ransomware (que a su vez utiliza criptomonedas para los pagos anónimos de los rescates), ya que potencialmente reporta a los hackers más dinero con menos riesgo.
¿Cómo puedo protegerme frente al cryptojacking?
Tanto si ha sufrido un ataque de cryptojacking localmente en su sistema como si ha sido a través del navegador, puede ser difícil detectar la intrusión de forma manual después del hecho. Del mismo modo, averiguar el origen del uso de la CPU puede ser complejo. Los procesos pueden ocultarse o enmascararse como legítimos para impedir que el usuario detenga el mal uso. Otra ventaja para los cryptojackers es el hecho de que, cuando su ordenador funciona a máxima capacidad, la protección se ejecutará muy lentamente y, por lo tanto, será más difícil resolver el problema. Al igual que ocurre con las precauciones contra el malware, es mucho mejor instalar la seguridad antes de convertirse en víctima.
Una opción obvia es bloquear JavaScript en el navegador que utiliza para explorar la web. Aunque esto interrumpe el cryptojacking fortuito, podría bloquear también el uso de funciones que le gustan y que necesita. Hay programas especializados, como “No Coin” y “MinerBlock”, que bloquean las actividades de minería en los navegadores más comunes. Los dos tienen extensiones para Chrome, Firefox y Opera. Las versiones más recientes de Opera incluso tienen No Coin integrado.
“Tanto si los atacantes tratan de usar malware como si intentan una descarga involuntaria a través del navegador o un troyano, está protegido contra el cryptojacking”.
No obstante, nuestra sugerencia es evitar las soluciones creadas a medida y buscar un programa de seguridad informática más completo. Malwarebytes, por ejemplo, le protege de algo más que del cryptojacking. También previene el malware, el ransomware y varias amenazas de Internet. Tanto si los atacantes tratan de usar malware como si intentan una descarga involuntaria a través del navegador o un troyano, está protegido contra el cryptojacking.
En un panorama de amenazas que se transforma constantemente, mantenerse a salvo de los peligros más recientes, como el cryptojacking, es un trabajo a tiempo completo. Con Malwarebytes, tendrá los medios necesarios para detectar y limpiar cualquier tipo de intrusión y asegurarse de que sólo usted utiliza los recursos de su ordenador.