El cryptojacking es un nuevo camino para los piratas informáticos criminales. De hecho, es una técnica maliciosa particular que les permite extraer criptomonedas utilizando la potencia de cálculo de las computadoras o dispositivos móviles de usuarios desprevenidos.
El cryptojacking, una versión maliciosa de la criptominería, representa una amenaza que se esconde en una computadora o dispositivo móvil y utiliza recursos de la máquina, obviamente sin autorización, para “generar” —en la jerga técnica, se usa el término minería— tipos de dinero virtual conocidos como criptomonedas.
Como ocurre con la mayoría de los ciberataques, incluso en el caso del cryptojacking, el motivo es obviamente el beneficio propio. Sin embargo, a diferencia de los clásicos malware, como los troyanos, esta técnica de ataque ha sido diseñada para permanecer completamente oculta sin dañar la máquina comprometida.
A pesar de la caída del valor de las criptomonedas, nos enfrentamos a una amenaza cada vez mayor, capaz de infiltrarse en los navegadores web y comprometer todo tipo de dispositivos, desde ordenadores de sobremesa hasta portátiles, teléfonos inteligentes e incluso servidores de red.
El aumento del cryptojacking
La consecuencia directa del aumento del criptojacking está representada por el hecho de que el tráfico mundial de Internet se multiplicó por 200 en las empresas vinculadas a la minería de criptomonedas: cifras impresionantes, publicadas por los analistas de Cisco Umbrella durante el trabajo de la Conferencia RSA.
El cryptojacking nació como una amenaza creciente en el panorama de la ciberseguridad, con un notable incremento en los incidentes desde 2018. Según un informe de amenazas de SonicWall 2024, en 2023 se registraron 1,060 millones de casos, lo que representa un aumento del 659% respecto al año anterior.
Este fenómeno ha sido particularmente pronunciado en las regiones de APAC y LATAM. Por el lado de Norteamérica y Europa se experimentaron incrementos aún más significativos, de 596% y 1046% respectivamente.
Los meses finales del año pasado, noviembre y diciembre, fueron testigos de volúmenes de ataques sin precedentes. El volumen total de cryptojacking en el mundo aumentó 659%.
El crecimiento del cryptojacking se refleja también en las acciones de las fuerzas del orden. En 2024, una operación conjunta entre Europol, la policía ucraniana y un proveedor de servicios en la nube resultó en la detención de un individuo sospechoso de minar ilegalmente criptomonedas por un valor superior a los 2 millones de dólares.
Este arresto subraya la creciente colaboración internacional para combatir este tipo de delitos cibernéticos, que representan una proporción significativa de los ataques de malware, alcanzando un sexto del total en 2023 según SonicWall.
¿Cómo nació el cryptojacking?
Antes de descubrir cómo funciona técnicamente el criptojacking, es importante entender qué son las criptomonedas y cómo se generan.
El término criptomoneda indica todos los tipos de dinero digital diseñados como una alternativa al dinero tradicional. Esta se desarrolla y potencia gracias a la tecnología de cadena de bloques (blockchain) que ha revolucionado el sistema financiero tradicional.
La más famosa de las criptomonedas, y también una de las primeras que se generó en 2009, es el Bitcoin: su potencial de crecimiento es enorme. Más allá de sus altibajos, la moneda alcanzó en 2024 un valor de casi 65.000 dólares por cada Bitcoin.
Bitcoin, Bitcoin Cash, Monero, Ethereum y todas las demás monedas virtuales existen en forma de unidad monetaria descentralizada y, por lo tanto, fuera del mercado de divisas.
Las criptomonedas se pueden transferir libremente entre los distintos titulares y, al igual que las monedas tradicionales, se pueden utilizar para comprar y vender productos —ahora también en grandes tiendas electrónicas— o para realizar inversiones.
El funcionamiento del dinero digital, así como el término criptomoneda deja imaginar, se basa en el principio de la criptografía.
Para generarlos, es necesario completar un llamado proceso de minería que transforma los recursos informáticos de una computadora en criptomonedas. De hecho, cualquier persona con un ordenador lo suficientemente potente tiene la posibilidad de generar criptomonedas.
En realidad, a medida que aumenta el número de criptomonedas disponibles en el mercado, se hace cada vez más difícil generar nuevas y el proceso de extracción ha empezado a requerir una potencia de cálculo cada vez mayor.
Por este motivo, la mayoría de los “mineros” utilizan ordenadores potentes —aunque sería más correcto hablar de máquinas y sistemas de minería— especialmente ensamblados con potentes procesadores y tarjetas de vídeo de última generación equipadas con GPU optimizadas con precisión para generar criptomonedas.
Evidentemente, mientras las criptomonedas tuvieran un precio elevado, el proceso de extracción ofrecía importantes beneficios y justificaba el uso masivo de los recursos informáticos de la computadora.
Cuando el mercado entró en crisis, crear criptomonedas “en casa” ya no era conveniente. Esto ha llevado a algunos usuarios a pensar en una alternativa que les permita seguir generando criptomonedas mientras explotan la potencia informática de otras, iniciando de forma efectiva un proceso de minería distribuida y dando lugar al fenómeno del criptojacking para generar criptomonedas secretamente a costa de la víctima.
Así funciona el cryptojacking
Los piratas informáticos criminales pueden llevar a cabo un ataque de cryptojacking utilizando una variedad de métodos. Uno de los más comunes es muy similar al que se utiliza para propagar el malware clásico.
Los hackers pueden realizar un ataque de cryptojacking usando diferentes métodos. Uno de los más comunes es muy similar al que se utiliza para difundir el malware clásico.
En la práctica, mediante campañas de phishing masivas, se persuade a la víctima potencial para que haga clic en un enlace malicioso en el texto de un correo electrónico malicioso y se instala y activa el código de criptominería en su ordenador. Poco después de comprometer el sistema de la víctima, el criptojacker comienza a trabajar en secreto para generar criptomonedas.
Otro método de ataque de cryptojacking se denomina Drive-by cryptomining o Criptominería Automática. Al igual que en las campañas de malvertising, donde los hackers criminales esconden exploits dentro de banners y anuncios maliciosos creados ad hoc y publicados no solo en sitios fraudulentos sino también en portales totalmente legítimos, también el método Drive-by Cryptomining Implica la integración de un código JavaScript malicioso oculto en una página web. Cualquier persona que visite la página se infectará inmediatamente y, poco después, se iniciará la generación de criptomonedas en las máquinas que visiten la página.
Hay que decir que los primeros casos de criptominería clandestina registrados en Internet fueron, en general, legítimos. De hecho, algunos administradores legítimos de sitios decidieron aumentar sus ingresos monetizando el tráfico de su sitio, solicitando explícitamente a los visitantes autorización para generar criptomonedas durante su estancia en las distintas páginas. Se trataba de una especie de “compensación” justa por publicar contenido gratuito.
Esta posibilidad de explotar la potencia informática de otros a plena luz del sol la aprovechaban principalmente los sitios de juegos online, en los que los visitantes solían permanecer durante mucho tiempo. Al cerrar la ventana del navegador, se interrumpió el código JavaScript para generar monedas virtuales, liberando recursos informáticos.
En la actualidad, lamentablemente, la mayoría de los sitios que utilizan la técnica de minado criptográfico simulado no son tan transparentes con los usuarios y los piratas informáticos delincuentes están abusando de ella, no solo en sus sitios clandestinos, sino que también invaden numerosos sitios legítimos.
El código JavaScript de la minería de criptomonedas funciona de forma secreta y continúa haciéndolo incluso cuando el usuario abandona el sitio o cierra la ventana del navegador, permaneciendo normalmente dentro de una ventana emergente del tamaño adecuado para ocultarse debajo de la barra de tareas.
Los dispositivos Android también están en riesgo
Sin mencionar que, utilizando la técnica de criptominería automática, el criptojacking también puede infectar dispositivos móviles con el sistema operativo Android, con una metodología de ataque completamente similar a la que ocurre en los PC de escritorio. En algunos casos, la navegación móvil del usuario se redirige a sitios infectados que contienen una ventana emergente invisible y difícil de cerrar.
La mayoría del cryptojacking en dispositivos Android, por otro lado, se lleva a cabo mediante el uso de aplicaciones maliciosas que ocultan un troyano. En muchos casos, la explotación de los recursos de los teléfonos inteligentes es tan intensa que provoca que el procesador se sobrecargue, lo que provoca un sobrecalentamiento y daña tanto la batería como el propio teléfono inteligente.
Para los piratas informáticos, la comodidad de atacar teléfonos inteligentes con ataques de cryptojacking reside en la gran cantidad de dispositivos teóricamente vulnerables que, si se “unen” entre sí, proporcionan una potencia de cálculo impresionante.
Una grave amenaza para las empresas
Si bien, como se ha visto, el criptojacking no tiene como objetivo dañar los dispositivos comprometidos, también es cierto que explotar los recursos de hardware y la potencia de cálculo sin autorización sigue teniendo un coste significativo.
Si para el usuario individual, la ralentización del sistema representa más que cualquier otra cosa un inconveniente que ralentiza las operaciones diarias y que, en el peor de los casos, se soluciona con un restablecimiento de la configuración o con el formateo del disco duro, muchas otras y más graves consecuencias pueden ser las consecuencias del cryptojacking en el entorno empresarial y especialmente para las pequeñas y medianas empresas.
De hecho, los ataques de criptojacking y criptominería automática conllevan, en primer lugar, altos costes relacionados con el consumo de la corriente eléctrica necesaria para que las CPU de los ordenadores empresariales alcancen su máxima potencia. Por lo tanto, es necesario considerar cualquier intervención de asistencia necesaria para restablecer el correcto funcionamiento de los sistemas comprometidos.
Por último, existe un coste indirecto debido a la imposibilidad de acceder rápidamente a las infraestructuras y los recursos corporativos, especialmente en el ámbito del trabajo inteligente, ya que las computadoras y los dispositivos móviles se “comprometen” a generar criptomonedas en nombre de terceros.
Sin mencionar que la presencia de la minería de criptomonedas en las máquinas de las empresas podría implicar que toda la infraestructura de TI de la empresa tenga vulnerabilidades que los piratas informáticos criminales también pueden aprovechar para otros fines mucho más dañinos.
Consejos para defenderse del cryptojacking
Aunque es menos peligroso que el malware clásico, el cryptojacking es, por lo tanto, una amenaza que no debe subestimarse.
En primer lugar, como hemos visto, la mayoría de las veces los códigos de criptojacking se distribuyen mediante campañas de suplantación de identidad. Por lo tanto, es posible prevenir un posible ataque comprobando siempre el remitente del correo electrónico y los enlaces del cuerpo del mensaje antes de hacer clic en él.
Es igual de fácil averiguar dónde apunta realmente una URL indicada en los mensajes de suplantación de identidad con el ratón sobre ella: en la parte inferior, en la barra de actividades del cliente de correo electrónico, aparecerá la dirección real a la que apunta el enlace.
Una vez que se ha producido la infección, lamentablemente, puede resultar difícil detectar la intrusión manual, debido a las técnicas de ofuscación utilizadas. De hecho, a menudo, la criptominería genera procesos que se hacen pasar por legítimos para confundir al usuario y evitar que los dé por terminados.
Sin mencionar que el uso excesivo de los recursos del sistema, además de reducir el funcionamiento normal de la máquina, hace que sea imposible incluso intervenir para iniciar una posible operación de recuperación del sistema.
Por lo tanto, el primer consejo para defenderse es instalar una solución de seguridad válida, además de las herramientas antimalware clásicas. También se recomienda integrar un módulo para identificar y bloquear los códigos JavaScript de cryptojacking.
Otra solución, menos eficaz, es bloquear la ejecución del código JavaScript en el navegador web, aunque al hacerlo se corre el riesgo de bloquear también funciones útiles presentes en muchos sitios legítimos.
Alternativamente, es posible utilizar extensiones de navegador especializadas precisamente en bloquear el cryptojacking: entre las más eficientes, nos gustaría señalar ‘NoCoin’ que bloquean las actividades mineras en Chrome o Firefox; MinerBlock y Opera. O incluso se pueden instalar bloqueadores de anuncios como uBlock Origin, capaz de bloquear los banners publicitarios en las páginas web.
Fuente: Cybersecurity360.it
