Minadores de Criptomonedas, el nuevo riesgo para los sitios web

Para entender las razones por las que los ciberdelincuentes están orientando la mayoría de sus ataques a la práctica de infectar sitios web con minadores de criptomodenas (Monero principalmente), es necesario tener claro qué es un minador y cuál es el beneficio que les entrega.

El concepto de minero nace tras la implementación del paper de Bitcoin que escribió Satoshi Nakamoto, donde se establece que los nodos deben tener una recompensa por realizar las pruebas de trabajo, que garantizan que las transacciones de la criptomoneda no se registren varias veces en la cadena de bloques.

En la práctica, cada nodo en la red crea un bloque donde se registran las transacciones del sistema, una vez se cumplen las características que exige el sistema en cuanto al bloque, se inicia una disputa matemática para determinar cuál nodo registra su bloque en la cadena de bloques, la cual será distribuida a toda la red.

Debido a que la conexión de los nodos para realizar este trabajo es voluntaria, en su paper Satoshi estableció que, para garantizar la honestidad de los nodos, es necesario compensarlos económicamente, por poner a disposición del sistema la CPU o la GPU, para realizar esa disputa matemática.

Es así que cada nodo de la red distribuida, que al proponer su bloque como candidato para la disputa matemática se denomina minero, por una asociación de la extracción de oro en la que se soportaba la economía tradicional, donde a los que extraían el oro de las minas se les daba una recompensa por su trabajo al mejorar la reserva del país o de las empresas mineras.

Pero, ¿cual es el riesgo?

Los ciberdelincuentes buscan monetizas las acciones delictivas de la manera más rápida posible, por lo que la minería de criptomonedas es un mecanismo idóneo para este objetivo. Desde el año 2009 con el lanzamiento del Bitcoin se han desarrollado varias técnicas delictivas para conectar equipos a la red distribuida sin autorización de los propietarios y poder tener mayor capacidad de procesamiento para ganar los desafíos matemáticos y cobrar las recompensas al sistema.

Hacia el año 2013, nace la criptomoneda, denominada Monero, la cual abrió la posibilidad de minar utilizando la capacidad de procesamiento de los computadores. Esto rápidamente fue aprovechado por los entusiastas para crear programas que toman secciones de la CPU para ejecutar los cálculos matemáticos a través de su uso.

Programas desarrollados principalmente en JavaScript, son los usados para que la CPU realice procesos sin la intervención directa del usuario en la ejecución de una acción, en contraparte se integran estos programas a los sitios web, convirtiendo cada visita a la página en una CPU disponible para minar a favor del administrador del sitio o de la empresa.

Dicha capacidad es la que los delincuentes han aprovechado, implementando técnicas antiguas para insertar estos programas en sitios web, sin autorización del dueño de la página y haciendo que cada visita sea un procesador disponible para monetizar su delito directamente. Sin duda, la característica de poder monetizar directamente el ataque es un atractivo que ha hecho de este el mecanismo de ataque con mayor crecimiento de los últimos meses.

Los incidentes más sonados de este ataque se generan tras el robo de Coinhive, que es un desarrollo que permite de forma simple crear plugins para los sitios web para minar Monero, donde fueron usados miles de sitio web hechos con Wordpress como minadores usando un desarrollo oficial de este manejador de sitios web. https://wordpress.org/plugins/wp-monero-miner-using-coin-hive/

Google también se ha visto afectada con este ataque, donde sus servicios de Double Click y YouTube han sido usados para minar Monero aprovechando los anuncios publicitarios que se integran en estos servicios y que son hechos por terceros utilizando JavaScript.

¿Qué puedo hacer como usuario?

Se debe tener claro que estos programas no requieren una acción voluntaria por parte del usuario, simplemente al acceder a un sitio web que contenga estos JavaScript convierten los dispositivos en minadores, ejecutando los procesos sin que el usuario los identifique. Por lo tanto, se requiere que el control se realice directamente en los navegadores.

Es por esto que los principales navegadores han puesto a disposición de sus usuarios desarrollos, denominados extensiones, que se encargan de anunciarle al usuario que el sitio web al que está accediendo contiene un JavaScript que está intentando realizar acciones de minería en la máquina. Estas extensiones se deben buscar en las aplicaciones de cada navegador como NoCoin o como NoMiner.

La lucha ante esta amenaza ya es a nivel empresarial y como se explica detalladamente en el artículo de Elevenpaths, se está desarrollando una guerra abierta desde muchos frentes para controlar esta amenaza que puede generar incidentes no solo cibernéticos sino sociales por el alto consumo eléctrico que se genera cuando las maquinas ejecutan los procesos de minado.

Diego Samuel Espitia Montenegro
Chief Security Ambassador de Colombia
ElevenPaths
@dsespitia