A fondo: Preguntas y respuestas sobre el auge del minado no autorizado de criptomonedas

El ransomware subió enteros en la listas de amenazas informáticas cuando el año pasado se sucedieron uno tras otro los golpes de WannaCry, la infame variante de Petya y Bad Rabbit. Lo que hace años se conocía como “virus de la policía” porque bloqueaba dispositivos haciéndose pasar por este cuerpo de seguridad para reclamar el pago de una multa, comenzó a extenderse y causar inquietud entre usuarios y empresas. Capaz de cifrar datos, un recurso clave para todos, podía poner en jaque a negocios enteros y sacar rédito económico del miedo.

Pero ahora hay otro malware que se postula como la amenaza de moda. Se trata del criptojacking, que es el minado no autorizado, oculto y malicioso de criptomonedas. Un minado que en España ya supera a otras problemáticas como los bots, el spam y el phishing, según Symantec, que viene de publicar una nueva edición de su informe Internet Security Threat. De hecho, un 2,7 % de los ataques de criptojacking tiene lugar en España.

La sensación es que, mientras el mercado del ransomware se abarrota, el del criptojacking se dispara. Para muestra, otro dato: en 2017 creció un 8.500 % la detección de mineros de criptodivisas en dispositivos ajenos, también según Symantec. Esto ocurre en un momento en el que valor de las propias monedas virtuales ha roto su propio techo. También en 2017, el bitcóin superó los 20.000 dólares y desató la locura en torno a él. El McAfee Labs Threats Report: March 2018, que analiza lo ocurrido durante el último trimestre de 2017, recoge precisamente ese auge del valor del bitcóin como causa del propio auge de las actividades delictivas asociadas a criptomonedas que animan las fuentes de ingresos de los ciberdelincuentes.

Lo poco que llevamos de 2018 ha estado marcado igualmente por el lucrativo minado no autorizado de criptomonedas. El Índice Global de Amenazas que Check Point actualiza cada mes revela que el malware de criptojacking fue lo más buscado en enero y en febrero. En febrero, sin ir más lejos, afectaba al 42 % de las organizaciones a nivel mundial.

Otras firmas de seguridad como ESET, Kaspersky Lab y PandaLabs también han ido dando buena cuenta de la evolución del criptojacking durante los últimos meses. Precisamente con esas tres compañías ha hablado Silicon.es para profundizar en la naturaleza de este malware, su proceso de infección, los dispositivos más vulnerables, las monedas que interesan en mayor medida a los ciberdelincuentes y las consecuencias que tiene caer en sus redes.

¿Cómo funciona el malware para la minería de divisas?

Una de las características del malware para minar criptomonedas es que “el proceso de infección puede ser muy variado”, tal y como analiza Luis Corrons, director técnico de PandaLabs. El proceso de infección se puede iniciar por la existencia de “vulnerabilidades” como la de día cero que afectó a Telegram, con “publicidad engañosa” en redes sociales y otras páginas, a través de archivos “adjuntos en correo” electrónico… Josep Albors, responsable de concienciación de ESET España corrobora que “existen varios vectores de ataque utilizados para propagar esta amenaza”, que “van desde la descarga de aplicaciones de minado desde webs o plataformas de publicidad comprometidas hasta la instalación de este software tras acceder al sistema rompiendo las contraseñas por fuerza bruta”.

Aunque “el más común actualmente”, según Albors, “consiste en inyectar un código de minado en páginas web de todo tipo para que, una vez los usuarios las visiten, empiecen a minar de forma automática usando sus propios recursos pero beneficiando a los delincuentes”. El malware permanecería oculto, con los usuarios ajenos a él. Además, le beneficia el hecho de que necesita apenas unas líneas de código para causar el mal.

Vicente Díaz, analista de seguridad de Kaspersky Lab destaca, por su parte, que “en una gran cantidad de casos” la infección “se produce a través de correos con adjuntos maliciosos”. Pero, como “existen distintas campañas” y “cada una de ellas utiliza distintos métodos”, también puede ser que, “al visitar ciertas páginas web” haya “código que se ejecuta localmente en nuestro equipo para minar mediante kits de explotación o a partir de JavaScript”. Al final, “básicamente eso supone la ejecución no autorizada de un programa en nuestro equipo que gastará gran cantidad de recursos para obtener criptomoneda y que irá a parar a la cuenta del atacante”, resume Díaz.

Y es que sea cual sea el canal utilizado, la finalidad que se persigue es la misma. Lo que sucede es que “el malware de minado utiliza nuestra CPU para generar monedas virtuales” sin consentimiento y, “para ello, necesita un uso intensivo del procesador”, tal y como indica Luis Corrons. Esto quiere decir que, “cuantas más máquinas infecte, mayor serán los beneficios obtenidos”. Por lo que estar presente en todos los dispositivos que les sea posible será uno de los objetivos de los ciberdelincuentes que recurren al criptojacking, dando lugar a auténticas botnets.

¿Cuáles son las monedas y los dispositivos afectados?

Así las cosas, ¿qué dispositivos persiguen los cibercriminales? “La mayoría de casos afectan a Windows. No obstante se han detectado casos en muchos dispositivos menos habituales, como servidores en universidades, dispositivos móviles o incluso equipos Mac”, responden desde Kaspersky Lab. En la española Panda también detectan que Windows es donde “mayoritariamente” se concentra el rastro del criptojacking porque “es donde hay más usuarios, pero” este malware se interesa asimismo por “Android y Mac”.

“Además”, añade el director técnico de PandaLabs, Luis Corrons, “últimamente se están popularizando variantes multiplataforma, realizadas en JavaScript, que funcionan en cualquier dispositivo que tenga un navegador”. Es decir, que el minado puede funcionar en un ordenador, en tabletas o directamente en un smartphone sin que el tipo de dispositivo suponga un problema. De hecho, los investigadores de seguridad han descubierto aplicaciones móviles diseñadas específicamente para tareas de minería.

“Actualmente, cualquier dispositivo conectado a internet es un posible objetivo de los delincuentes”, subraya el representante de ESET. “Obviamente, su principal objetivo son los ordenadores por la mayor potencia de la que disponen”, explica Josep Albors, “pero también existen amenazas que infectan smartphones, tablets y otros dispositivos del IoT como SmartTVs, routers, cámaras web y hasta tostadoras conectadas”, que se suman a una larga lista. Aquí también entran los decodificadores, los wearables y los coches conectados. Ni siquiera los centros de datos de las organizaciones están a salvo. Tampoco los sistemas industriales.

¿Y qué monedas se encuentran en el punto de mira? Para Luis Corrons “hay dos que brillan con luz propia”, que son: bitcóin por su popularidad y precio actual, y Monero porque es ideal para ciberdelincuentes por el anonimato que proporciona”, que es “muchísimo mayor que el Bitcoin”. El extendido criptojacker Coinhive, sin ir más lejos, actúa en el ámbito de Monero.

Sobre Monero se refiere asimismo Albors, que dice que es “una de las preferidas por los delincuentes para minar utilizando los recursos de sus víctimas”. Las razones son evidentes. “Sus mejoras con respecto a la privacidad si la comparamos con otras criptodivisas como bitcóin la hacen muy atractiva”, reconoce el responsable de concienciación de ESET España. “Otra moneda utilizada tanto para minar con este tipo de ataques como para realizar pagos en la Deep Web es Litecoin”, apunta.

El analista de Kaspersky Lab, Vicente Díaz, lo tiene igual de claro. “En general la que más se explota mediante estos métodos es Monero, seguramente por ser una de las que tiene más garantías en cuanto al anonimato”, argumenta también en su caso. “No obstante”, matiza, “cualquier moneda puede ser minada siguiendo estos métodos”. Llámese Ripple, Zcash, Fantomcoin… Y así se complica todavía más la cosa. El malware de criptojacking puede utilizar diferentes métodos de infección para colarse en cualquier dispositivo con conexión a internet para minar todo tipo de monedas digitales.

Los números hablan por sí solos del caos causado. En 2017, unos 2,7 millones de usuarios cayeron víctimas de los mineros maliciosos, según Kaspersky Lab. El incremento de su impacto respecto a 2016 fue del 50 %. En fechas más recientes, el pasado mes de febrero, este problema ya significaba cerca de 3 de cada 10 de las detecciones realizadas por ESET en España. Protagonizó el 28,64 %, exactamente.

¿Qué peligros entraña esta amenaza?

Por último, ¿qué estragos puede causar esta ciberamenaza cada vez más utilizada? ¿Por qué es peligrosa? O, para ser claros, ¿es peligrosa? “No es peligrosa en cuanto a datos robados o destrucción de información”, opina Luis Corrons, director técnico de PandaLabs, “pero al hacer un uso intensivo del procesador, incrementa el gasto en la factura de la luz” y “ralentiza nuestros dispositivos”, entre otras consecuencias como el sobrecalentamiento de la batería.

“Se trata de un nuevo abuso no autorizado de nuestros recursos para el lucro de un tercero”, señala el analista de seguridad de Kaspersky Lab, Vicente Díaz. Por tanto, “un programa de minado es extremadamente agresivo en cuanto a consumo de recursos, lo que se traduce en una degradación del rendimiento que puede dejar nuestros equipos inservibles para realizar cualquier otra tarea, lo cual puede ser crítico en servidores que ofrezcan servicios a terceros”, por ejemplo. Para Díaz “también es muy relevante el consumo de energía, que puede dejar KO a dispositivos portátiles rápidamente”, como una posibilidad, “o multiplicar por 10 el consumo eléctrico destinado a nuestros equipos”, como otro efecto que podría darse.

“Aparte de que a nadie le gusta que utilicen sus recursos sin su permiso y que esto limita e incluso impide usar el dispositivo, el desgaste producido por una actividad como la minería puede provocar que el hardware se resienta y se produzcan fallos”, observa Josep Albors, responsable de concienciación de ESET España. Y lo peor viene después. “Estos fallos pueden suponer costosas reparaciones o dejar completamente inservible el dispositivo”, sentencia Albors, “con el consiguiente perjuicio económico que esto supone”.

A nivel de empresa, que los equipos informáticos se ralenticen por el sobreesfuerzo perjudicará a la productividad de los empleados. Que los servidores consuman más, afectará a los costes de alojamiento de quienes pagan por uso en la nube. Y que una página web no funcione como se espera, perjudicará a la experiencia de los clientes y creará una imagen de marca negativa. Además, no se puede descartar el aprovechamiento de una amenaza para lanzar otros ataques. Ni olvidar que del malware nadie se salva. Incluso gigantes como Tesla y Amazon cayeron recientemente. Toda organización puede ser un objetivo valioso para los actores del criptojacking.

Como suele ocurrir en estos casos, se recomienda a los usuarios mantener los dispositivos siempre actualizados, utilizar soluciones antimalware y aplicar el sentido común. Esto es: no pinchar en enlaces o en anuncios sospechosos, ni descargar archivos o aplicaciones de dudosa procedencia. Las empresas, además, deberían recordar que no son inmunes al criptojacking y actuar en consecuencia.