Desde finales del 2017, diversos analistas de ciberseguridad han advertido sobre el aumento de sitios web que contienen código JavaScript cuyo propósito es usar la capacidad de procesamiento de los visitantes para minar criptomoneda, dada la fiebre generalizada causada por el aumento en el precio de Bitcoin y divisas afines, e incluso a pesar de la depreciación a principios de 2018. ¿A qué se debe este fenómeno? ¿Por qué las criptomonedas han causado semejante furor? ¿Cómo funcionan y por qué los cibercriminales se han volcado hacia esta estrategia para obtener ganancias?
Las monedas virtuales son un sistema descentralizado para el intercambio de valores, esto significa que es posible realizar transacciones directamente con otra persona que acepte este tipo de moneda sin necesidad de un banco. Las personas pueden comprar pizzas (como sucedía cuando apareció por primera vez este sistema) o cualquier otro bien con la moneda virtual.
Este sistema es una especie de libro contable distribuido en una red en el que se lleva el registro de las transacciones realizadas, compartiendo la información de cada transacción entre todas las partes de dicha red. Esta tecnología permite que las transacciones sean transparentes y que sea difícil de alterar el contenido.
Bitcoin fue creada en 2009 por el misterioso alias de Satoshi Nakamoto, que a la fecha sigue siendo desconocido, con la intención de contar con una tecnología que llevara el registro de cómo se gasta cada unidad de moneda y prevenir cambios no autorizados. Un año después, el comercio con Bitcoin comenzó, lo cual otorgó cierto valor a la moneda virtual. Debido a este valor, los ciberdelincuentes idearon la manera de robar bitcoins, hasta que consumaron el primer gran robo de criptomonedas en 2014, cuando fueron extraídos 850,000 bitcoins de la casa de cambio Mt. Gox (Marr, 2017).
La criptomoneda ha sido utilizada en el mercado negro de la deep web, debido a que es un sistema público pero anónimo y facilitaba transacciones de bienes legales e ilegales. Pronto los ataques de ransomware exigieron a los usuarios el pago en bitcoins a cambio de las llaves de cifrado. En mayo de 2017, el los responsables detrás de WannaCry exigían entre $300 y $600 dólares en esta divisa virtual, dependiendo del tiempo de respuesta del afectado. Por estos motivos, algunos relacionaron la moneda con actividades delictivas.
Un Bitcoin en 2010 valía $0.39 centavos de dólar y permaneció con una cotización menor a los diez dólares hasta la segunda mitad del 2012. El valor de la moneda no despegó sino hasta finales del 2013, cuando aumentó un 700%, de $150 dólares a más de mil (Jacobs, 2018), supuestamente con la ayuda de dos bots llamados Markus y Willy, que inflaron el precio de la moneda virtual en transacciones realizadas en la plataforma Mt. Gox. Pero la fiebre del oro virtual se diseminó hasta 2017, cuando el valor del Bitcoin aumentó exponencialmente de mil dólares en enero hasta cerca de $19,000 dólares en diciembre, lo cual llamó la atención de inversionistas que deseaban multiplicar su dinero en un plazo muy corto, aunque las criptomonedas no fueron pensadas como un instrumento de inversión, sino de intercambio.
Con el aumento en la demanda de criptomonedas aumentó su precio. Esto llevó a un escalamiento en la minería, el proceso mediante el cual un nodo o computadora que ejecuta el software de minado de la criptomoneda resuelve problemas matemáticos para crear unidades de dicha moneda.
¿Qué es la minería de criptomoneda?
La tecnología de cadena de bloques o blockchain consiste en un ledger o libro contable que lleva registro de las transacciones que se realizan, conocidas como bloques (de ahí el nombre). Cada vez que se realiza una transacción, se distribuye la información a cada una de las computadoras que pertenecen a la red.
Los cambios en el libro contable son cifrados y se notifica a todos los miembros que se ha llevado a cabo la transferencia de una persona a otra para que el propietario de las monedas no las vuelva a usar. De esta manera, nadie puede engañar a todos los nodos, porque la capacidad de procesamiento para hacerlo tendría que superar la capacidad de cómputo de toda la red, algo que solo podría lograr una computadora cuántica (Emerging Technology, 2017). En teoría, es probable que alguien que poseyera 51% de cómputo de la red podría “engañar” a los nodos y beneficiarse.
Los nodos mineros agrupan transacciones en bloques y los añaden a la cadena resolviendo un rompecabezas matemático complejo que es parte del programa de la moneda que atienden, e incluyen la respuesta en el bloque. Este problema consiste en encontrar un número (Number Used Once, mejor conocido como nonce, en el caso de Bitcoin es un número entero entre 0 y 4,294,967,296) que, combinado con la información en el bloque y transmitido a través de una función hash, produce un resultado (Acheson, 2018b; Vaidya, 2017).
Para encontrar el nonce, los nodos adivinan al azar el número, puesto que la función hash impide que se pueda predecir. Así, los mineros aplican el hash a la combinación que han adivinado y a la información en el bloque. Puede haber diferentes nonces que producen el resultado final. El primer minero que dé con el resultado avisa a todos los nodos de la red, detienen la búsqueda y pasan a otro bloque. El nodo ganador se queda con una pequeña fracción de la moneda recién creada, conocida como gas.
Para Bitcoin, además de la recompensa por resolver el rompecabezas, el minero ganador recibe el total de las comisiones generadas por cada transacción realizada durante el bloque que el minero resuelve.
Existen granjas o pools dedicadas a la minería, en las que se dispone de una gran cantidad de nodos formados por procesadores o tarjetas gráficas de video que son muy potentes, gracias a la exigencia de los gammers que necesitan procesar información rápidamente para evitar la lentitud en su sesión de World of Warcraft (o cualquier juego de su preferencia).
La demanda de las tarjetas gráficas para minar criptomoneda ha llevado a la escasez, así que quienes tenían pensado comprar una nueva para su centro de juego debían esperar algún tiempo a que fueran resurtidas a las tiendas. El aumento del uso de estas tarjetas para minar criptomonedas y la falta de disponibilidad de estos dispositivos provocó que compañías como Nvidia y AMD decidieran fabricar modelos de GPU (Graphics Processing Unit) específicamente diseñadas para la minería (PortalTIC, 2017).
Como consecuencia del alto precio de las tarjetas y los GPU, el minado de Bitcoin dejó de ser rentable. Además, el costo del consumo de energía es muy alto. A principios de 2018, la compañía de energía HS Orka, en Islandia, advirtió que la minería de Bitcoin en el país podría superar el consumo de todas las casas en la isla, y que de seguir aumentando era probable que no tuvieran suficiente energía para alimentar la minería (Baraniuk, 2018). La población de este país es de 340,000 personas, nada comparado con los 1,379 millones en China, donde se encuentra el 70% de la minería de Bitcoin y por ende las granjas más grandes del mundo, alimentadas por energía barata proveniente del uso de combustibles fósiles y de plantas hidroeléctricas (Willie Tan, 2017).
Cryptojacking
En 2014 comenzaron a surgir herramientas para minar Bitcoin dentro de un navegador web para que el visitante dedicara parte de su capacidad de cómputo a resolver el rompecabezas matemático de la minería, pero hacia finales de ese año la técnica dejó de ser usada. Sin embargo en 2017, con la aparición de otras criptomonedas como Monero, Zcash y Ethereum, era posible minar con el equipo casero de un visitante promedio (Pearson, 2017a).
En este ambiente apareció Coinhive, que en septiembre de 2017 lanzó un servicio que permitía minar la criptomoneda Monero. Coinhive es una biblioteca de JavaScript que puede ser añadida a un sitio web con el propósito de no tener que rentar una bodega industrial, ni comprar GPU, ni gastar en energía eléctrica del propio bolsillo para minar. Otras bibliotecas de script realizan la misma función, como JSEcoin y Crypto-Loot.
La idea, si se deja a un lado la malicia, es una estrategia legítima que permitiría sostener un sitio web sin la necesidad de vender espacios publicitarios, una práctica que ayudaría a organizaciones no gubernamentales, instituciones educativas y de otro tipo a no comprometer sus contenidos a la complacencia de un anunciante. Podría otorgar incluso mayor independencia para realizar proyectos que en principio parecerían poco redituables, siempre y cuando los propietarios de estos sitios solicitaran permiso a los visitantes para utilizar su capacidad de cómputo. A principios de 2018, la revista digital salon.com comenzó a pedir a los lectores ayudarlos a minar con su capacidad de procesamiento y así no depender de los anunciantes (Brodkin, 2018; Pearson, 2018).
Sin embargo, esta buena idea pronto fue aprovechada por ciberatacantes que comenzaron a inyectar el JavaScript de minado en sitios de todo tipo. Desde el 2017 se detectó que distintos sitios, como The Pirate Bay, aprovechaban la capacidad de cómputo de sus visitantes para su beneficio, sin que se solicitara permiso a los usuarios.
Pero los delincuentes no se conformaron con usar sus propios sitios para este propósito, sino que comenzaron a inyectar el script en sitios populares para aprovechar el tráfico de internautas. Diversos sitios como Showtime también llegaron a ser atacados con inyección de este código e incluso se detectó que los usuarios de algunas cafeterías de la cadena Starbucks minaban criptomonedas con solo conectarse a la red WiFi gratuita (Pearson, 2017c).
En 2018, Checkpoint advirtió que la amenaza más común en línea era Coinhive, y que los criminales comenzaban a usar este método para obtener ganancias, sobre todo en países en los que el ransomware no tenía mucho éxito debido a que los usuarios no pagaban los rescates (Howell, 2018). Más aún, a principios de febrero, se detectó que más de 4,000 sitios gubernamentales y de organizaciones independientes contenían este tipo de código, incluyendo la página de consulta de cédulas profesionales de la Secretaría de Educación Pública en México (Zorz, 2018; Martínez, 2018). Incluso se encontró script minero en publicidad de Youtube, distribuida por medio de Google Ads (Murphy, 2018).
¿En qué me afecta?
El problema de esta práctica es que el código JavaScript “secuestra” gran parte de la capacidad de cómputo de los usuarios, aprovechando al máximo su procesamiento y consumiendo hasta el máximo de energía que puede utilizar la CPU. Un usuario casero podría creer que no corre más peligro que gastar más en energía eléctrica y ver disminuida la velocidad de su computadora, pero a gran escala podría ser un problema, por ejemplo, cuando la minería afecta a sistemas corporativos. A finales de enero, investigadores de Crowdstrike advirtieron que algunas compañías habían sido afectadas al grado de no poder operar por días e incluso semanas (Zorz, 2018).
También se ha visto que algunos sistemas de control industrial han sido afectados por esta práctica, lo cual representa una amenaza para sistemas críticos, cuya interrupción podrían afectar a la población en general (Zorz, 2018). Este tipo de afectaciones requieren de gran cantidad de procesamiento y ancho de banda de la red, lo cual es una amenaza a la estabilidad y la disponibilidad de los procesos físicos de un operador de infraestructura física, como aseguró Yehonatan Kfir, responsable técnico de sistemas de la compañía de ciberseguridad industrial Radiflow.
Los ciberdelincuentes encuentran una fuente de ingresos más lucrativa en el cryptojacking en comparación con el ransomware, puesto que en la mayoría de las ocasiones los usuarios no saben que están minando criptomoneda, y es más sencillo que robar monederos de Monero, Zcash o Ethereum. La compañía Cisco Talos estimó que una botnet formada por millones de sistemas infectados podrían generar, en teoría, más de cien millones de dólares al año (Muncaster, 2018).
Según Kaspersky Lab, para finales de 2017 se encontraron 2.7 millones de usuarios afectados por mineros maliciosos, esto es 1.5 veces más que en 2016 (Ivanov y Lopatin, 2018).
Figura 1. Número de usuarios de Kaspersky Lab atacados por mineros maliciosos en 2017
Al mismo tiempo que el ransomware disminuye, la minería maliciosa parece tener un auge. Cada semana se reporta una nueva estrategia que permite a ciberdelincuentes maximizar sus ganancias. Por ejemplo, la minería no autorizada echa mano de la ingeniería social para engañar a los usuarios para que instalen alguna aplicación potencialmente indeseada (potentially unwanted application, PUA) que habilita la minería.
Otras técnicas utilizan la capacidad de cómputo de servidores poderosos en grandes compañías, como en el caso de Wannamine, que se dispersa en redes usando el exploit EternalBlue, con lo que los ciberdelincuentes generaron hasta dos millones de dólares (ídem). También se han detectado ataques dirigidos en los que se usan una PUA que contiene un instalador de minería por medio de una aplicación legítima, la cual, además, evita que el usuario pueda terminar el proceso.
En fin, los ciberdelincuentes han intentado diversas estrategias para generar ganancias con el mínimo de esfuerzo. Han infectado grandes servidores para minar millones de dólares con malware sofisticado que evita la detección y la desinstalación, han afectado a dispositivos móviles al grado de dejarlos inservibles, y han modificado páginas populares de todo tipo para aprovechar el tráfico en esos sitios. Ante este panorama, es necesario saber cómo enfrentar la amenaza.
¿Cómo protegerse contra el cryptojacking?
Un escenario de este tipo nos llevaría a pensar que es fácil terminar en algún sitio que mina criptomoneda sin darnos cuenta. Por ello compartimos algunos consejos para saber si tu computadora o dispositivo móvil están siendo aprovechados por un tercero malicioso.
En primer lugar, puedes sospechar que estás infectado con algún minero si notas una ralentización de tu dispositivo. Los códigos de minería consumen muchos recursos del sistema y pueden incluso disminuir la vida útil de tu computadora o teléfono móvil.
Si notas que la computadora es más lenta de lo común, puedes utilizar el monitor de actividad o monitor de recursos de tu sistema operativo para saber qué programa ocupa demasiada capacidad de procesamiento. Si notas que alguna aplicación gasta muchos recursos del sistema, puedes sospechar de ella. Si no conoces todos los procesos, puedes investigar la función de aquellos que consideres sospechosos.
Es difícil establecer un “comportamiento normal” de un CPU, debido a que cada computadora es dedicada a distintas tareas, pero si cierras todas las aplicaciones y notas que aún se consumen más de 20% de recursos del sistema, puedes sospechar de un minero. Si notas en el monitor de actividad o administrador de tareas que al visitar una página se consumen demasiados recursos, cierra la página en la que te encuentras y verifica si todo regresa a la normalidad.
En el peor de los casos, podrías notar que la actividad de alguna aplicación sigue siendo alto aún después de haber cerrado tu navegador. Si es así, cabe la posibilidad de que hayas sido afectado por algún malware persistente. Si detectas que una aplicación utiliza grandes recursos, termina su ejecución directamente en el monitor de actividad o elimínala con ayuda de una solución antivirus.
Si la actividad de minado ocurre en tu navegador, existe otros métodos de mitigación. En Firefox es posible instalar alguna extensión que bloquee sitios con código JavaScript para minado, como NoScript, el cual también está disponible para la versión Android, además de que protege la navegación en Microsoft Edge, Tor y Safari para dispositivos de escritorio. Otra extensión que puedes instalar en Firefox con funciones similares es Mining Blocker.
Una opción más es usar la versión 50 del navegador Opera, que contiene un bloqueador de minería llamada NoCoin por defecto. También puedes bloquear JavaScript en un sitio que sabes que está minando, configurando los controles de privacidad y contenido en tu navegador.
Para hacer frente a esta epidemia, distintas compañías han tomado cartas en el asunto. Google ha planeado realizar cambios en su navegador Chrome que limitan la disponibilidad de poder de cómputo para ciertos tipos de JavaScript en segundo plano, conocidos como service workers (Cimpanu, 2018), una estrategia pensada antes de la epidemia de cryptojacking, pero que resulta útil en este caso.
Si accedes a una página y quieres saber si se dedica al minado, puedes usar la herramienta whoismining.com para descubrirlo y después bloquear manualmente la URL, ya sea en el blocker de tu preferencia o directamente en el servidor DNS. También existe un bloqueador de script en GithHub llamado NoCoin (Pearson, 2017a).
Es importante que no bajes la guardia al navegar casualmente por la web, ya que podrías encontrar vínculos que te dirigen a sitios maliciosos para minar criptomoneda. Para ello es necesario mantener una actitud crítica y así no exponerte a los mineros o a cualquier otra amenaza.
Algunas soluciones antivirus ya ofrecen servicios para protegerte, así que toma en cuenta esta amenaza cuando evalúes si el producto que eliges es lo que necesitas.
Referencias
Acheson, N. (2018) How Bitcoin Mining Works. Coindesk. Recuperado el 22 de febrero de 2018, de https://www.coindesk.com/information/how-bitcoin-mining-works/
Ahceson, N. (2018) What Can You Buy with Bitcoin? Coindesk. Recuperado el 22 de febrero de 2018, de https://www.coindesk.com/information/what-can-you-buy-with-bitcoins/
Baraniuk, C. (2018) Bitcoin energy use in Iceland set to overtake homes, says local firm. BBC News. Recuperado el 22 de febrero de 2018, de http://www.bbc.com/news/technology-43030677
Brodkin, J. (2018) Salon to ad blockers: Can we use your browser to mine cryptocurrency? Ars technica. Recuperado el 23 de febrero de 2018, de https://arstechnica.com/information-technology/2018/02/salon-to-ad-blockers-can-we-use-your-browser-to-mine-cryptocurrency/
Cimpanu, C. (2018) Tweak to Chrome Performance Will Indirectly Stifle Cryptojacking Scripts. Recuperado el 23 de febrero de 2018, de https://www.bleepingcomputer.com/news/security/tweak-to-chrome-performance-will-indirectly-stifle-cryptojacking-scripts/
Emerging Technology. (2017) Quantum Computers Pose Imminent Threat to Bitcoin Security. MIT Technology Review. Recuperado el 22 de febrero de 2018, de https://www.technologyreview.com/s/609408/quantum-computers-pose-imminent-threat-to-bitcoin-security/
Estebeth, E. (2017) 2018: The Year Central Banks Begin Buying Cryptocurrency. Coindesk. Recuperado el 22 de febrero de 2018, de https://www.coindesk.com/2018-year-central-banks-begin-buying-cryptocurrency/
Howell, P. (2018) Coinhive cryptojacker is currently the most prevalent malware online. Cyberscoop. Recuperado el 23 de febrero de 2018, de https://www.cyberscoop.com/coinhive-cryptojacking-cryptocurrency-check-point/
Ivanov, A; Lopatin, E. (2018). Mining is the new black. SecureList. Recueprado el 7 de marzo de 2018, de https://securelist.com/mining-is-the-new-black/84232/
Jacobs, S. (2018) A single trader could have caused the price of bitcoin to rise over 700% in 2013. Business Insider. Recuperado el 22 de febrero de 2018, de http://www.businessinsider.com/one-or-two-traders-may-have-caused-the-price-of-bitcoin-to-rise-700-2018-1
Marr, B. (2017) A Short History Of Bitcoin And Crypto Currency Everyone Should Read. Forbes. Recuperado el 22 de febrero de 2018, de https://www.forbes.com/sites/bernardmarr/2017/12/06/a-short-history-of-bitcoin-and-crypto-currency-everyone-should-read/#1febe4d13f27
Martínez, L. (2018) La SEP confirma infiltración para minar criptomonedas en sitio web. El Economista. Recuperado el 23 de febrero de 2018, de https://www.eleconomista.com.mx/tecnologia/La-SEP-confirma-infiltracion-para-minar-criptomonedas-en-sitio-web-20180116-0109.html
Muncaster, P. (2018) Cisco: Crypto-Mining Botnets Could Make $100m Annually. Infosecurity. Recuperado el 23 de febrero de 2018, de https://www.infosecurity-magazine.com/news/cisco-cryptomining-botnets-100m/
Murphy, M. (2018) YouTube shuts down hidden cryptojacking adverts. Telegraph. Recuperado el 23 de febrero de 2018, de http://www.telegraph.co.uk/technology/2018/01/29/youtube-shuts-hidden-crypto-jacking-adverts/
O´Neil, P. (2018) Coinhive cryptojacker is currently the most prevalent malware online. CyberScoop. Recuperado el 13 de febrero de 2017, de https://www.cyberscoop.com/coinhive-cryptojacking-cryptocurrency-check-point/
Pearson, J. (2017)a Symantec: A Cryptocurrency Mining Malware 'Arms Race' Is Looming. Motherboard. Recuperado el 23 de febrero de 2018, de https://motherboard.vice.com/en_us/article/a3ngyz/symantec-a-cryptocurrency-mining-malware-arms-race-is-looming
Pearson, J. (2017)b Mining Cryptocurrency to Pay for Journalism Is Not the Worst Idea I've Ever Heard. Motherboard. Recuperado el 23 de febrero de 2018, de https://motherboard.vice.com/en_us/article/3k7avk/mining-cryptocurrency-to-pay-for-journalism-salon-coinhive-monero-not-the-worst-idea
Pearson, J. (2017)c Starbucks Wi-Fi Hijacked People's Laptops to Mine Cryptocurrency. Motherboard. Recuperado el 23 de febrero de 2018, de https://motherboard.vice.com/en_us/article/gyd5xq/starbucks-wi-fi-hijacked-peoples-laptops-to-mine-cryptocurrency-coinhive
Portaltic. (2017) ¿Qué es la minería de criptomonedas? La moneda digital dispara los precios de las tarjetas gráficas. Portaltic. Recuperado el 22 de febrero de 2018, de http://www.europapress.es/portaltic/sector/noticia-mineria-criptomonedas-moneda-digital-dispara-precios-tarjetas-graficas-20170816085943.html
Tan, W. (2017) Brief Overview of China’s Cryptocurrency Mining: Capital, Costs, Earnings. Cointelegraph. Recuperado el 23 de febrero de 2018, de https://cointelegraph.com/news/brief-overview-of-chinas-cryptocurrency-mining-capital-costs-earnings
Vaidya, K. (2017) Decoding the enigma of Bitcoin Mining — Part I : Mechanism. Medium. Recuperado el 22 de febrero de 2018, de https://medium.com/all-things-ledger/decoding-the-enigma-of-bitcoin-mining-f8b2697bc4e2
Zorz, Z. (2017) Third party trackers on web shops can identify users behind Bitcoin transactions. Help Net Security Recuperado el 22 de febrero de 2018, de https://www.helpnetsecurity.com/2017/08/21/identify-users-behind-bitcoin-transactions/
Zorz, Z. (2018) Thousands of government, orgs’ websites found serving crypto mining script. Help Net Security. Recuperado el 23 de febrero de 2018, de https://www.helpnetsecurity.com/2018/02/12/websites-found-serving-crypto-mining-script/?platform=hootsuite
