Cr­y­p­to­ja­c­ki­ng: cómo detectar y pro­te­ge­r­se de la infección

En el cr­y­p­to­ja­c­ki­ng, los ci­be­r­de­li­n­cue­n­tes infectan or­de­na­do­res y di­s­po­si­ti­vos móviles con malware con el fin de utilizar su potencia de cálculo para generar cri­p­to­mo­ne­das. Una infección puede de­te­c­tar­se por una carga in­e­x­pli­ca­ble­me­n­te alta de la CPU. Varios métodos ayudan a detectar, detener y prevenir el cr­y­p­to­ja­c­ki­ng.

El cr­y­p­to­ja­c­ki­ng – de “cr­y­p­to­cu­rre­n­cy” y “hi­gh­ja­c­ki­ng” – es un malware híbrido que se transmite en forma de troyanos y scripts. Los cr­y­p­to­ja­c­ke­rs han su­s­ti­tui­do prá­c­ti­ca­me­n­te al ra­n­so­m­wa­re y a los virus como una de las mayores amenazas online a nivel mundial. Los piratas se infiltran en sistemas sin ser de­te­c­ta­dos para el cr­y­p­to­mi­ni­ng de cri­p­to­mo­ne­das. Como resultado, el uso de la CPU y el consumo de energía son ex­tre­ma­da­me­n­te altos. A di­fe­re­n­cia de otros programas ma­li­cio­sos, los cr­y­p­to­ja­c­ke­rs están in­te­re­sa­dos pri­n­ci­pa­l­me­n­te en el secuestro de recursos in­fo­r­má­ti­cos; el espionaje de datos sensibles del usuario o del sistema no juega un papel im­po­r­ta­n­te.

El cr­y­p­to­ja­c­ki­ng está vinculado al proceso de cr­y­p­to­mi­ni­ng. En el cr­y­p­to­mi­ni­ng, los mineros aportan su propia capacidad de cálculo o ca­pa­ci­da­des co­m­bi­na­das (cuando forman parte de pools) para legitimar y verificar las tra­n­sac­cio­nes con cri­p­to­mo­ne­das y do­cu­me­n­tar­las en el blo­c­k­chain. Para ga­ra­n­ti­zar la legalidad de las tra­n­sac­cio­nes, las de Bitcoin, por ejemplo, se registran pú­bli­ca­me­n­te. Sin embargo, las altcoins anónimas, como Monero y Ethereum, ofrecen a los de­li­n­cue­n­tes el anonimato necesario para realizar tra­n­sac­cio­nes ilegales a través de sistemas pi­ra­tea­dos.

A medida que el cr­y­p­to­mi­ni­ng se vuelve más intensivo en recursos y consume más tiempo, la minería rentable depende cada vez más de las altas ca­pa­ci­da­des de co­mpu­tación y del costoso consumo de energía. La minería ilegal en forma de cr­y­p­to­ja­c­ki­ng tiene como objetivo utilizar los recursos in­fo­r­má­ti­cos de otras personas para generar be­ne­fi­cios sin incurrir en sus propios costes ope­ra­ti­vos. Con este fin, los sistemas afectados suelen añadirse a redes de bots de minería que actúan como pools de minería ilegal y agrupan la potencia de cálculo.

Formar parte de una red de cr­y­p­to­ja­c­ki­ng a gran escala sin querer y sin saberlo es más fácil de lo que crees. Puedes ser atraído por técnicas de scareware y acabas haciendo clic en un enlace que lleva a una página web infectada o de­s­ca­r­ga­n­do una apli­ca­ción de terceros de una fuente dudosa. Lo único que puedes notar es un sistema más lento, porque un troyano utilizará las ca­pa­ci­da­des in­fo­r­má­ti­cas de tu PC o di­s­po­si­ti­vo móvil en segundo plano.

Los usuarios do­mé­s­ti­cos no son el único objetivo de los cr­y­p­to­ja­c­ke­rs: se han producido famosos cr­y­p­to­ja­c­ki­ng de grandes marcas y empresas como, por ejemplo, Tesla Motors, donde los empleados uti­li­za­ron apli­ca­cio­nes de­s­pro­te­gi­das in­fe­c­ta­das con scripts de cr­y­p­to­ja­c­ki­ng. Otro caso muy conocido fue el del Wi-Fi pro­po­r­cio­na­do por las tiendas Starbucks en Buenos Aires, a través del cual se secuestró la potencia de cálculo de los or­de­na­do­res po­r­tá­ti­les y di­s­po­si­ti­vos móviles co­ne­c­ta­dos. Otros ejemplos son las páginas web de Cristiano Ronaldo y del zoo de San Diego, que uti­li­za­ron sin saberlo el programa de minería Coinhive para minar la potencia de cálculo de los vi­si­ta­n­tes de la web.

De­pe­n­die­n­do de cómo se utilicen los or­de­na­do­res o di­s­po­si­ti­vos móviles ex­tra­n­je­ros para el cr­y­p­to­ja­c­ki­ng, se di­s­ti­n­guen las si­guie­n­tes ca­te­go­rías de malware peligroso:

• Cr­y­p­to­ja­c­ki­ng a través de troyanos/adware: los sistemas que se infectan con un troyano de cr­y­p­to­ja­c­ki­ng a través de páginas web in­fe­c­ta­das, archivos, descargas u otros medios, se usan para que la CPU o la GPU estén al servicio de la minería. Como evitan los programas antivirus y el ad­mi­ni­s­tra­dor de tareas, suelen pasar des­ape­r­ci­bi­dos durante mucho tiempo.
• Cr­y­p­to­ja­c­ki­ng a través de Ja­va­S­cri­pt/na­ve­ga­do­res: en este caso, el código de minería se oculta en scripts, por ejemplo, en forma de fra­g­me­n­tos de código del programa Coinhive, en páginas web y se ejecuta en el navegador. Los vi­si­ta­n­tes de una página web ponen, sin saberlo, su potencia de cálculo a di­s­po­si­ción de la minería, po­si­ble­me­n­te incluso después de haber navegado fuera de la página, lo que es posible a través de ventanas eme­r­ge­n­tes o pestañas ocultas. Dado que los portales de streaming mantienen a sus usuarios en la página durante mucho tiempo, también se ven afectados por los códigos de minería en los re­pro­du­c­to­res de vídeo o los anuncios de cr­y­p­to­ja­c­ki­ng en­cu­bie­r­tos.

Parece irónico que el creador del código Ja­va­S­cri­pt Coinhive, am­plia­me­n­te utilizado para el cr­y­p­to­ja­c­ki­ng, afirme que Coinhive es una al­te­r­na­ti­va a los clásicos banners pu­bli­ci­ta­rios. Pero la idea detrás de un código como Coinhive no es ilegal. Siempre que no se abuse de él. En principio, un código integrado en las páginas web, a través del cual los vi­si­ta­n­tes aceptan co­n­s­cie­n­te­me­n­te la minería, puede ser una al­te­r­na­ti­va segura a los anuncios que conducen a webs ma­li­cio­sas de estafa o phishing o al robo de datos sensibles de los usuarios.

El requisito para ello es que los vi­si­ta­n­tes de la página accedan a ofrecer una parte de su potencia de cálculo por la visita a la página web, como es el caso de las consultas con cookies. De este modo, los ope­ra­do­res de páginas web se financian incluso sin una alta densidad de pu­bli­ci­dad in­co­n­tro­la­da. Sin embargo, esto solo podría llevarse a cabo mediante normas in­de­pe­n­die­n­tes y la tra­n­s­pa­re­n­cia de los códigos de cr­y­p­to­mi­ni­ng en los proyectos web. Un ejemplo exitoso del uso legal de Coinhive fue una ini­cia­ti­va de donación de UNICEF Australia, en la que se generaron do­na­cio­nes a través de las visitas a la página web.

Si te preguntas si tu di­s­po­si­ti­vo está afectado por el cr­y­p­to­mi­ni­ng malware, debes prestar atención a la señal más común para detectar el malware: una alta carga in­e­x­pli­ca­ble de la CPU o la GPU. Dado que los cr­y­p­to­ja­c­ke­rs están in­te­re­sa­dos pri­n­ci­pa­l­me­n­te en la potencia de cálculo, es difícil ocultar el impacto del malware. Para generar grandes be­ne­fi­cios con el cr­y­p­to­ja­c­ki­ng, la carga de trabajo debe ser co­rre­s­po­n­die­n­te­me­n­te alta. A veces puede alcanzar hasta el 90 o el 100 por ciento.

Un fu­n­cio­na­mie­n­to no­ta­ble­me­n­te ruidoso de la ve­n­ti­la­ción del ordenador o un di­s­po­si­ti­vo so­bre­ca­le­n­ta­do indican que los procesos se están eje­cu­ta­n­do en segundo plano. Así que, a menos que estés eje­cu­ta­n­do tareas de cálculo intensivo, tu di­s­po­si­ti­vo no debería so­bre­ca­le­n­tar­se. Si lo hace, puede ser in­di­ca­ti­vo de una posible in­fi­l­tra­ción de malware. En el peor de los casos, el cr­y­p­to­ja­c­ki­ng no detectado puede acortar la vida útil de tu di­s­po­si­ti­vo debido a la carga pe­r­ma­ne­n­te.

Los in­fe­c­ta­dos por troyanos de cr­y­p­to­ja­c­ki­ng deben proceder como lo harían en caso de cualquier otra intrusión de malware:

Escanea tu di­s­po­si­ti­vo con un software an­ti­ma­lwa­re fiable para comprobar si el programa malicioso es de­te­c­ta­ble; elimina el malware. Como los troyanos de cr­y­p­to­ja­c­ki­ng pueden des­ac­ti­var el software antivirus e inactivar el Ad­mi­ni­s­tra­dor de Tareas o es­co­n­de­r­se en los archivos del sistema de registro, este método no siempre tiene éxito.

Si los programas an­ti­ma­lwa­re no detectan nada, ponte en contacto con un experto en seguridad in­fo­r­má­ti­ca. Puedes ir a lo seguro re­ini­cia­n­do por completo tu di­s­po­si­ti­vo, por ejemplo, uti­li­za­n­do la opción de re­cu­pe­ra­ción de Windows.

Puedes evitar los troyanos de cr­y­p­to­ja­c­ki­ng ma­n­te­nie­n­do tu sistema al día, in­s­ta­la­n­do ac­tua­li­za­cio­nes, uti­li­za­n­do un programa antivirus fiable y ac­tua­li­za­do con re­gu­la­ri­dad. También puedes observar los co­m­po­r­ta­mie­n­tos so­s­pe­cho­sos del sistema, por ejemplo, un di­s­po­si­ti­vo que se calienta, una ve­n­ti­la­ción ruidosa o una potencia de pro­ce­sa­mie­n­to lenta.

Como el cr­y­p­to­ja­c­ki­ng no siempre infecta tu sistema, sino que también secuestra las ca­pa­ci­da­des in­fo­r­má­ti­cas a través de los scripts de Java, los anuncios o los streams, se puede evitar la minería ilegal blo­quea­n­do los scripts de Java o las listas de filtros de minería. De esta forma se pueden des­ac­ti­var los scripts de Java en cualquier navegador. Sin embargo, esto puede provocar que algunas fu­n­cio­na­li­da­des de la página web dejen de ser eje­cu­ta­bles. Las ex­te­n­sio­nes del navegador, como “No Coin” o “Mi­ne­r­Blo­ck” también intentan impedir di­re­c­ta­me­n­te las ac­ti­vi­da­des de minería en el navegador.

Es más seguro utilizar so­lu­cio­nes de seguridad integral como My­De­fe­n­der de IONOS o Ma­lwa­re­b­y­tes, que detectan tanto el malware “clásico” como el malware de minería y los combaten.

Dado que el cr­y­p­to­ja­c­ki­ng puede dañar el hardware y provocar la pérdida de datos, deberías hacer re­gu­la­r­me­n­te copias de seguridad de tus datos uti­li­za­n­do medios externos. My­De­fe­n­der de IONOS es una opción adecuada que ofrece copias de seguridad au­to­má­ti­cas en centros de datos con ce­r­ti­fi­ca­ción ISO para una doble pro­te­c­ción y múltiples copias de seguridad. Puedes hacer copias de seguridad de datos se­le­c­cio­na­dos o de sistemas completos.

El malware puede dividirse a grandes rasgos en tres ca­te­go­rías:

• Virus: códigos de programas ma­li­cio­sos que se mu­l­ti­pli­can y manipulan y dañan los sistemas.
• Gusanos: una subclase de virus que manipula los sistemas, los daña, abre el acceso a programas ma­li­cio­sos adi­cio­na­les, so­bre­ca­r­ga la capacidad de los or­de­na­do­res y, a di­fe­re­n­cia de los virus, se propaga sin la in­te­r­ve­n­ción del usuario, por ejemplo, a través de correos ele­c­tró­ni­cos y spam en las redes; un ejemplo muy conocido es Emotet.
• Troyanos: códigos de programas ma­li­cio­sos que no re­pro­du­cen, sino que manipulan funciones del sistema

Como muestra el cr­y­p­to­ja­c­ki­ng, los límites entre los programas ma­li­cio­sos son borrosos. Por ejemplo, los gusanos in­fo­r­má­ti­cos suelen servir para abrir el acceso a troyanos y rootkits ma­li­cio­sos. Las funciones más comunes del malware son:

• Espionaje y phishing de datos sensibles de usuarios y accesos
• Difundir o descargar más programas ma­li­cio­sos, por ejemplo, como parte de redes de bots
• In­fi­l­tra­ción para realizar ci­ber­ata­ques
• “Piratería” de los sistemas para realizar trabajos es­pe­cí­fi­cos
• So­bre­ca­r­ga de or­de­na­do­res y sistemas debido a ataques DDoS y DoS
• El cifrado de datos con fines de extorsión, como es el caso del ra­n­so­m­wa­re