Cryptojacking: cómo detectar y protegerse de la infección

En el cryptojacking, los ciberdelincuentes infectan ordenadores y dispositivos móviles con malware con el fin de utilizar su potencia de cálculo para generar criptomonedas. Una infección puede detectarse por una carga inexplicablemente alta de la CPU. Varios métodos ayudan a detectar, detener y prevenir el cryptojacking.

El cryptojacking – de “cryptocurrency” y “highjacking” – es un malware híbrido que se transmite en forma de troyanos y scripts. Los cryptojackers han sustituido prácticamente al ransomware y a los virus como una de las mayores amenazas online a nivel mundial. Los piratas se infiltran en sistemas sin ser detectados para el cryptomining de criptomonedas. Como resultado, el uso de la CPU y el consumo de energía son extremadamente altos. A diferencia de otros programas maliciosos, los cryptojackers están interesados principalmente en el secuestro de recursos informáticos; el espionaje de datos sensibles del usuario o del sistema no juega un papel importante.

El cryptojacking está vinculado al proceso de cryptomining. En el cryptomining, los mineros aportan su propia capacidad de cálculo o capacidades combinadas (cuando forman parte de pools) para legitimar y verificar las transacciones con criptomonedas y documentarlas en el blockchain. Para garantizar la legalidad de las transacciones, las de Bitcoin, por ejemplo, se registran públicamente. Sin embargo, las altcoins anónimas, como Monero y Ethereum, ofrecen a los delincuentes el anonimato necesario para realizar transacciones ilegales a través de sistemas pirateados.

A medida que el cryptomining se vuelve más intensivo en recursos y consume más tiempo, la minería rentable depende cada vez más de las altas capacidades de computación y del costoso consumo de energía. La minería ilegal en forma de cryptojacking tiene como objetivo utilizar los recursos informáticos de otras personas para generar beneficios sin incurrir en sus propios costes operativos. Con este fin, los sistemas afectados suelen añadirse a redes de bots de minería que actúan como pools de minería ilegal y agrupan la potencia de cálculo.

Formar parte de una red de cryptojacking a gran escala sin querer y sin saberlo es más fácil de lo que crees. Puedes ser atraído por técnicas de scareware y acabas haciendo clic en un enlace que lleva a una página web infectada o descargando una aplicación de terceros de una fuente dudosa. Lo único que puedes notar es un sistema más lento, porque un troyano utilizará las capacidades informáticas de tu PC o dispositivo móvil en segundo plano.

Los usuarios domésticos no son el único objetivo de los cryptojackers: se han producido famosos cryptojacking de grandes marcas y empresas como, por ejemplo, Tesla Motors, donde los empleados utilizaron aplicaciones desprotegidas infectadas con scripts de cryptojacking. Otro caso muy conocido fue el del Wi-Fi proporcionado por las tiendas Starbucks en Buenos Aires, a través del cual se secuestró la potencia de cálculo de los ordenadores portátiles y dispositivos móviles conectados. Otros ejemplos son las páginas web de Cristiano Ronaldo y del zoo de San Diego, que utilizaron sin saberlo el programa de minería Coinhive para minar la potencia de cálculo de los visitantes de la web.

Dependiendo de cómo se utilicen los ordenadores o dispositivos móviles extranjeros para el cryptojacking, se distinguen las siguientes categorías de malware peligroso:

• Cryptojacking a través de troyanos/adware: los sistemas que se infectan con un troyano de cryptojacking a través de páginas web infectadas, archivos, descargas u otros medios, se usan para que la CPU o la GPU estén al servicio de la minería. Como evitan los programas antivirus y el administrador de tareas, suelen pasar desapercibidos durante mucho tiempo.
• Cryptojacking a través de JavaScript/navegadores: en este caso, el código de minería se oculta en scripts, por ejemplo, en forma de fragmentos de código del programa Coinhive, en páginas web y se ejecuta en el navegador. Los visitantes de una página web ponen, sin saberlo, su potencia de cálculo a disposición de la minería, posiblemente incluso después de haber navegado fuera de la página, lo que es posible a través de ventanas emergentes o pestañas ocultas. Dado que los portales de streaming mantienen a sus usuarios en la página durante mucho tiempo, también se ven afectados por los códigos de minería en los reproductores de vídeo o los anuncios de cryptojacking encubiertos.

Parece irónico que el creador del código JavaScript Coinhive, ampliamente utilizado para el cryptojacking, afirme que Coinhive es una alternativa a los clásicos banners publicitarios. Pero la idea detrás de un código como Coinhive no es ilegal. Siempre que no se abuse de él. En principio, un código integrado en las páginas web, a través del cual los visitantes aceptan conscientemente la minería, puede ser una alternativa segura a los anuncios que conducen a webs maliciosas de estafa o phishing o al robo de datos sensibles de los usuarios.

El requisito para ello es que los visitantes de la página accedan a ofrecer una parte de su potencia de cálculo por la visita a la página web, como es el caso de las consultas con cookies. De este modo, los operadores de páginas web se financian incluso sin una alta densidad de publicidad incontrolada. Sin embargo, esto solo podría llevarse a cabo mediante normas independientes y la transparencia de los códigos de cryptomining en los proyectos web. Un ejemplo exitoso del uso legal de Coinhive fue una iniciativa de donación de UNICEF Australia, en la que se generaron donaciones a través de las visitas a la página web.

Si te preguntas si tu dispositivo está afectado por el cryptomining malware, debes prestar atención a la señal más común para detectar el malware: una alta carga inexplicable de la CPU o la GPU. Dado que los cryptojackers están interesados principalmente en la potencia de cálculo, es difícil ocultar el impacto del malware. Para generar grandes beneficios con el cryptojacking, la carga de trabajo debe ser correspondientemente alta. A veces puede alcanzar hasta el 90 o el 100 por ciento.

Un funcionamiento notablemente ruidoso de la ventilación del ordenador o un dispositivo sobrecalentado indican que los procesos se están ejecutando en segundo plano. Así que, a menos que estés ejecutando tareas de cálculo intensivo, tu dispositivo no debería sobrecalentarse. Si lo hace, puede ser indicativo de una posible infiltración de malware. En el peor de los casos, el cryptojacking no detectado puede acortar la vida útil de tu dispositivo debido a la carga permanente.

Los infectados por troyanos de cryptojacking deben proceder como lo harían en caso de cualquier otra intrusión de malware:

Escanea tu dispositivo con un software antimalware fiable para comprobar si el programa malicioso es detectable; elimina el malware. Como los troyanos de cryptojacking pueden desactivar el software antivirus e inactivar el Administrador de Tareas o esconderse en los archivos del sistema de registro, este método no siempre tiene éxito.

Si los programas antimalware no detectan nada, ponte en contacto con un experto en seguridad informática. Puedes ir a lo seguro reiniciando por completo tu dispositivo, por ejemplo, utilizando la opción de recuperación de Windows.

Puedes evitar los troyanos de cryptojacking manteniendo tu sistema al día, instalando actualizaciones, utilizando un programa antivirus fiable y actualizado con regularidad. También puedes observar los comportamientos sospechosos del sistema, por ejemplo, un dispositivo que se calienta, una ventilación ruidosa o una potencia de procesamiento lenta.

Como el cryptojacking no siempre infecta tu sistema, sino que también secuestra las capacidades informáticas a través de los scripts de Java, los anuncios o los streams, se puede evitar la minería ilegal bloqueando los scripts de Java o las listas de filtros de minería. De esta forma se pueden desactivar los scripts de Java en cualquier navegador. Sin embargo, esto puede provocar que algunas funcionalidades de la página web dejen de ser ejecutables. Las extensiones del navegador, como “No Coin” o “MinerBlock” también intentan impedir directamente las actividades de minería en el navegador.

Es más seguro utilizar soluciones de seguridad integral como MyDefender de IONOS o Malwarebytes, que detectan tanto el malware “clásico” como el malware de minería y los combaten.

Dado que el cryptojacking puede dañar el hardware y provocar la pérdida de datos, deberías hacer regularmente copias de seguridad de tus datos utilizando medios externos. MyDefender de IONOS es una opción adecuada que ofrece copias de seguridad automáticas en centros de datos con certificación ISO para una doble protección y múltiples copias de seguridad. Puedes hacer copias de seguridad de datos seleccionados o de sistemas completos.

El malware puede dividirse a grandes rasgos en tres categorías:

• Virus: códigos de programas maliciosos que se multiplican y manipulan y dañan los sistemas.
• Gusanos: una subclase de virus que manipula los sistemas, los daña, abre el acceso a programas maliciosos adicionales, sobrecarga la capacidad de los ordenadores y, a diferencia de los virus, se propaga sin la intervención del usuario, por ejemplo, a través de correos electrónicos y spam en las redes; un ejemplo muy conocido es Emotet.
• Troyanos: códigos de programas maliciosos que no reproducen, sino que manipulan funciones del sistema

Como muestra el cryptojacking, los límites entre los programas maliciosos son borrosos. Por ejemplo, los gusanos informáticos suelen servir para abrir el acceso a troyanos y rootkits maliciosos. Las funciones más comunes del malware son:

• Espionaje y phishing de datos sensibles de usuarios y accesos
• Difundir o descargar más programas maliciosos, por ejemplo, como parte de redes de bots
• Infiltración para realizar ciberataques
• “Piratería” de los sistemas para realizar trabajos específicos
• Sobrecarga de ordenadores y sistemas debido a ataques DDoS y DoS
• El cifrado de datos con fines de extorsión, como es el caso del ransomware