El cryptojacking es un nuevo El Dorado para los hackers criminales: se trata de una técnica particularmente maliciosa que les permite minar criptomonedas explotando la potencia de cálculo de ordenadores o dispositivos móviles de usuarios desprevenidos.
Qué es Cryptojacking
La versión maliciosa de la criptominería, el cryptojacking es una amenaza que se oculta en un ordenador o dispositivo móvil y utiliza los recursos de la máquina, obviamente sin autorización, para “generar” (en la jerga técnica, el término minar) tipos de dinero virtual conocidos como criptomonedas.
Como en la mayoría de los ciberataques, en el cryptojacking el móvil es obviamente el lucro. Sin embargo, a diferencia del malware “clásico”, esta técnica de ataque está diseñada para permanecer completamente oculta sin dañar la máquina comprometida.
Cómo Nace el Cryptojacking
Antes de descubrir cómo funciona técnicamente el cryptojacking, conviene entender qué son las criptomonedas y cómo se generan.
El término criptodivisa (o criptomoneda) se refiere a todo tipo de dinero digital diseñado como alternativa al dinero tradicional. La más famosa de las criptodivisas, y también una de las primeras en generarse en 2009, es Bitcoin: su potencial de crecimiento es enorme si tenemos en cuenta que en 2017 la criptodivisa alcanzó el increíble precio de casi 20.000 dólares por un solo Bitcoin.
Bitcoin, Bitcoin Cash, Monero, Ethereum y todas las demás monedas virtuales existen en forma de unidad monetaria descentralizada y, por tanto, al margen del mercado de divisas. Las criptodivisas pueden transferirse libremente entre titulares utilizando immediatemo-mentum.co y, al igual que las monedas tradicionales, pueden utilizarse para comprar y vender productos (ahora también en grandes tiendas electrónicas) o para realizar inversiones.
El funcionamiento del dinero digital, como sugiere el término criptodivisa, se basa en el principio de la criptografía.
Para generarlas, hay que llevar a cabo un proceso denominado minería, que transforma los recursos informáticos de un ordenador en criptodivisas. De hecho, cualquier persona con un ordenador suficientemente potente tiene la capacidad de generar criptodivisas. Sin embargo, a medida que aumentaba el número de criptomonedas disponibles en el mercado, resultaba cada vez más difícil generar otras nuevas, y el proceso de minería empezó a requerir cada vez más potencia de cálculo.
Por este motivo, la mayoría de los “mineros” utilizan potentes ordenadores (aunque sería más correcto hablar de máquinas y sistemas de minería) especialmente ensamblados con potentes procesadores y tarjetas de vídeo de última generación con GPU optimizadas específicamente para generar criptodivisas.
Evidentemente, mientras las criptomonedas tuvieron un alto valor, el proceso de minería ofrecía beneficios considerables y justificaba el uso masivo de los recursos informáticos del propio ordenador. Cuando el mercado se desplomó, la creación “casera” de criptodivisas dejó de ser conveniente. Esto llevó a algunos usuarios a pensar en una alternativa que les permitiera seguir generando criptodivisas mientras explotaban la potencia de cálculo de otros, iniciando de hecho un proceso de minería distribuida y dando lugar al fenómeno del cryptojacking para generar criptodivisas en secreto a costa de la víctima.
Cómo Funciona el Cryptojacking
Los hackers criminales pueden llevar a cabo un ataque de cryptojacking utilizando varios métodos. Uno de los más comunes es muy similar al utilizado para propagar malware clásico. En la práctica, mediante campañas masivas de phishing, se persuade a la víctima potencial para que haga clic en un enlace malicioso en el texto de un correo electrónico malicioso y se instala y activa el código de criptominería en su ordenador. Inmediatamente después de comprometer el sistema de la víctima, el cryptojacker comienza a trabajar de forma encubierta para generar criptomonedas.
Otro método de ataque de cryptojacking se denomina ‘drive-by cryptomining‘. Al igual que ocurre con las campañas de malvertising, en las que los hackers criminales ocultan exploits en banners y anuncios maliciosos creados ad hoc que se publican no sólo en sitios fraudulentos sino también en portales completamente legítimos, el método ‘drive-by cryptomining‘ también implica la integración de código JavaScript malicioso oculto en una página web. Cualquiera que visite la página será inmediatamente infectado, e inmediatamente después comenzará la generación de criptomonedas en las máquinas que visiten la página.
Esta posibilidad de explotar la potencia de cálculo de otros a la luz del sol fue aprovechada especialmente por los sitios de juegos en línea en los que los visitantes solían permanecer mucho tiempo. En el momento en que se cerraba la ventana del navegador, el código JavaScript para la generación de monedas virtuales se interrumpía, liberando los recursos del ordenador.
Hoy en día, por desgracia, la mayoría de los sitios que adoptan la técnica drive-by cryptomining no son tan “transparentes” con los usuarios, y la técnica es objeto de abuso por parte de hackers criminales que la utilizan no sólo en sus sitios clandestinos, sino que también invaden numerosos sitios legítimos. El código JavaScript de la criptominería funciona subrepticiamente y continúa haciéndolo incluso cuando el usuario abandona el sitio o cierra la ventana del navegador, ejecutándose normalmente dentro de una ventana emergente de tamaño adecuado para ocultarse bajo la barra de tareas.
Los dispositivos Android también corren peligro
Sin olvidar que mediante la técnica de drive-by cryptomining, el cryptojacking también puede infectar dispositivos móviles con sistema operativo Android, con una metodología de ataque totalmente similar a la de los PC de sobremesa. En algunos casos, la navegación móvil del usuario es redirigida a sitios infectados que contienen un pop-under “invisible” difícil de cerrar.
En cambio, la mayor parte del cryptojacking en dispositivos Android tiene lugar mediante el uso de aplicaciones maliciosas que ocultan un troyano. En muchos casos, la explotación de los recursos del smartphone es tan intensa que provoca el sobrecalentamiento del procesador y daña tanto la batería como el propio smartphone.
La conveniencia de que los hackers criminales se dirijan a los smartphones con ataques de cryptojacking radica en el gran número de dispositivos teóricamente vulnerables que, cuando se “unen”, proporcionan una potencia de cálculo impresionante. No en vano, los investigadores de Malwarebytes registraron un aumento del 4000% en el malware de cryptojacking para Android hace algunos años.
Una Grave Amenaza para las Empresas
Aunque, como hemos visto, el cryptojacking no tiene como objetivo dañar los dispositivos comprometidos, no es menos cierto que la explotación de recursos de hardware y potencia de cálculo sin autorización tiene un coste considerable.
Si para el usuario particular la ralentización del sistema es más bien una molestia que ralentiza la operativa diaria y que, en el peor de los casos, puede solucionarse con un reseteo de la configuración o un formateo del disco duro, las consecuencias del cryptojacking en el ámbito corporativo, y especialmente para las pequeñas y medianas empresas, pueden ser muy diferentes y más graves.
En efecto, los ataques de cryptojacking y drive-by cryptomining conllevan, en primer lugar, elevados costes relacionados con el consumo de electricidad necesario para hacer funcionar a plena potencia las CPU de los ordenadores de las empresas. Luego hay que tener en cuenta la eventual asistencia necesaria para restablecer el correcto funcionamiento de los sistemas comprometidos.
Por último, existe un coste indirecto debido a la incapacidad de acceder rápidamente a las infraestructuras y recursos corporativos, especialmente en el contexto del smart working, ya que los PC y los dispositivos móviles están “ocupados” generando criptomoneda en nombre de otros.
Por no mencionar que la presencia de criptominería en las máquinas de la empresa podría significar que toda la infraestructura informática de la empresa tiene vulnerabilidades que pueden ser explotadas por hackers criminales para otros fines mucho más dañinos.
Cómo Detectar el Cryptojacking
Detectar un ataque de cryptojacking es una tarea muy difícil, ya que por su naturaleza la amenaza tiende a ser muy silenciosa. Los dispositivos afectados por el cryptojacking pueden mostrar algunos síntomas muy generales que son difíciles de interpretar, tales como:
- Degradación del rendimiento: el procesador y la tarjeta de vídeo suelen estar ocupados al 100% sin ningún programa o juego activo en memoria, lo que ralentiza la ejecución de programas legítimos. El proceso que consume todos los recursos está relacionado con el ataque de cryptojacking y puede activarse en cualquier momento del día;
- Sobrecalentamiento y ruido: como el procesador o la tarjeta de vídeo están funcionando al máximo de su capacidad, el calor generado es mayor, aumentando el ruido del sistema de refrigeración;
- Procesos imposibles de cerrar: los procesos que minan criptomoneda son prácticamente imposibles de cerrar, ya que se activan a través de servicios del sistema o hackeando procesos del sistema (síntoma de que el cryptojacking es posterior a una infección masiva a través de troyanos);
- Caída de framerates en los juegos: los que más sufren el ataque del cryptojacking son los PC gaming, que ofrecen los procesadores y tarjetas de vídeo más potentes (los mejores para generar criptodivisas). El juego se ejecutará muy lentamente y con tirones evidentes, a pesar de que el ordenador cumple con todos los requisitos mínimos para jugar sin problemas.
Como es fácil adivinar, estos síntomas son genéricos y no siempre están asociados a la minería de criptomonedas, ya que incluso los troyanos comunes pueden saturar los recursos del ordenador durante la infección.
Consejos para Defenderse del Cryptojacking
Aunque menos peligroso que el malware clásico, el cryptojacking es por tanto una amenaza que no debe subestimarse.
En primer lugar, como hemos visto, los códigos de cryptojacking se distribuyen con mayor frecuencia a través de campañas de phishing. Por lo tanto, es posible prevenir un ataque comprobando siempre el remitente del correo electrónico y cualquier enlace en el cuerpo del mensaje antes de hacer clic en ellos.
Es igual de fácil averiguar a dónde apunta realmente una URL indicada en mensajes de phishing pasando el ratón por encima: la dirección real a la que apunta el enlace aparecerá en la parte inferior de la barra de tareas de su cliente de correo electrónico.
Una vez infectado, por desgracia, puede ser difícil, si no imposible, detectar la intrusión manualmente debido a las técnicas de ofuscación utilizadas: de hecho, el cryptomining suele generar procesos que simulan ser legítimos para confundir al usuario y evitar que los finalice.
Por no mencionar el hecho de que el uso excesivo de los recursos del sistema no sólo reduce el funcionamiento normal de la máquina, sino que también hace que sea efectivamente imposible lanzar una operación de restauración del sistema.
Herramientas de Protección
El primer consejo para defenderse es, por tanto, instalar una solución de seguridad válida como Malwarebytes que, además de las herramientas antimalware clásicas, integra un módulo de detección y bloqueo de los códigos JavaScript de cryptojacking.
Otra solución menos eficaz consiste en bloquear la ejecución de código JavaScript en el navegador web, aunque al hacerlo se corre el riesgo de bloquear también funciones útiles que se encuentran en muchos sitios legítimos. Como alternativa, se pueden utilizar extensiones del navegador especializadas precisamente en bloquear el cryptojacking: entre las más eficaces se encuentran MinerBlock y NoMiner, que bloquean las actividades de minería en Chrome, Firefox y Opera. O un adblocker como uBlock Origin capaz de bloquear los banners publicitarios de las páginas web.
Recuerda que la prevención y la conciencia son fundamentales para protegerte del Cryptojacking. Mantén tus dispositivos actualizados, utiliza herramientas de seguridad confiables y adopta buenas prácticas en línea para reducir el riesgo de ser víctima de esta amenaza.