¿Qué es el criptojacking?

Los hackers utilizan código de criptojacking (un tipo de malware) para producir y recopilar criptomonedas valiosas sin incurrir en costes asociados. Básicamente, engañan a sus víctimas para que gasten sus propios recursos sin obtener ninguna de las recompensas. El criptojacking es una amenaza creciente en el panorama de la ciberseguridad. Según el Informe de ciberamenazas de Sonicwall de 2024, los incidentes de criptojacking aumentaron un 659 % en 2023. 

Los recursos para extraer criptomonedas pueden ser costosos. Los ataques de criptojacking exitosos obligan efectivamente a sus víctimas inconscientes a asumir los costes del proceso de minería de criptomonedas, mientras que el criptojacker se queda con los beneficios.

Los ataques de criptojacking pueden llevarse a cabo a través de la web, a través de scripts de criptojacking basados en navegador (a menudo incrustados en código JavaScript en una página web), o a través de malware de criptojacking entregado como aplicaciones o como virus de estilo troyano a través de ataques de ingeniería social o phishing. Los escritorios, ordenadores portátiles, servidores, teléfonos inteligentes y otros dispositivos móviles infectados con código o software de criptojacking suelen sufrir una reducción drástica del rendimiento, lo que resulta en un tiempo de inactividad operativo además de un aumento de las facturas de electricidad.   

El criptojacking es distinto a otros tipos de ciberdelincuencia. Mientras que las ciberamenazas como la exfiltración de datos o los ataques de ransomware normalmente buscan robar o apropiarse de los datos de los usuarios, el código del criptojacking roba efectivamente la potencia de procesamiento y la electricidad. El malware de criptominería está diseñado para inyectar en los objetivos un sutil código malicioso diseñado para evadir la detección durante el mayor tiempo posible.   

• Criptojacking en la práctica: los ataques de criptojacking, a veces denominados cryptomining malicioso, intentan requisar los dispositivos informáticos o las máquinas virtuales (VM) de los usuarios. El criptojacking funciona filtrando en secreto el poder de procesamiento de víctimas desprevenidas para minar monedas digitales. Los ciberdelincuentes recogen los beneficios generados por las criptomonedas, mientras que las víctimas pagan la factura.  

• Impacto del criptojacking: las víctimas del criptojacking sufren un aumento de los costes de electricidad y una disminución del rendimiento del sistema, lo que puede dañar el hardware y provocar un sobrecalentamiento. Los ataques exitosos pueden comprometer la protección de datos de una víctima y crear otras ciberamenazas. 

• Vulnerabilidades de criptojacking: los vectores de ataque incluyen páginas web, navegadores web, extensiones y complementos de navegador, dispositivos de Internet de las cosas (IoT), correo electrónico y otras aplicaciones de tipo mensajería. El malware de minería puede infectar la mayoría de los tipos de sistemas operativos populares. Los hackers incluso han atacado a importantes proveedores de software y servicios, como Microsoft y YouTube.     

• Defensa contra el criptojacking: los métodos recomendados para defenderse contra ataques de criptojacking combinan detección y respuesta de endpoints (EDR), desarme y reconstrucción de contenidos (CDR) y soluciones antivirus, gestión regular de tareas y monitorización del uso de CPU, auditorías de la cadena de suministro, bloqueadores de anuncios, bloqueo de scripts, formación del personal y detección de amenazas en tiempo real.  

La criptomoneda es un tipo de recurso digital que no tiene representación física pero que puede intercambiarse por bienes y servicios como la moneda fiduciaria tradicional. Una de las principales innovaciones de las criptomonedas es la posibilidad de enviar fondos directamente entre las partes sin necesidad de intermediarios. Las criptomonedas se crean utilizando la tecnología blockchain.

Un blockchain es como un libro de contabilidad virtual que registra todas las transacciones realizadas mediante el uso de un sistema de cadena de bloques específico. Los blockchains de criptomonedas suelen ser de código abierto, lo que permite a cualquiera examinar el código subyacente.

Además de las criptomonedas, los sistemas blockchain también son útiles para otras aplicaciones que necesitan rastrear y validar cualquier tipo de registros. Además, los blockchains privados pueden ser empleados por sistemas que rastrean información confidencial. 

• Blockchain: un blockchain es un libro de contabilidad digital compartido e inmutable que se utiliza para registrar y rastrear las transacciones dentro de una red y proporciona una fuente única de verdad verificada. 

• Criptomoneda: la criptomoneda es un recurso digital generado al descifrar bloques cifrados de código almacenados en un blockchain. Las unidades de criptomoneda a menudo se denominan monedas o tokens, y se utilizan como compensación para los usuarios que intercambian recursos informáticos y energéticos para descifrar monedas y validar transacciones de blockchain.

• Mineros: los criptomineros (o simplemente mineros) son los usuarios que ejecutan el software de criptominería que generan nuevos token y validan las transacciones en cadena. 

Lo que hace que una blockchain sea tan poderosa es la descentralización. Un blockchain público, como el que utiliza Bitcoin, no se almacena en una sola fuente. En su lugar, el blockchain se duplica en cualquier número de nodos: sistemas informáticos dispares, cada uno de los cuales ejecuta un software de criptominería que monitoriza y verifica la validez del blockchain compartido.

Cuando se realiza una transacción a través del blockchain, un determinado umbral de nodos debe validar la transacción antes de que se escriba en el libro mayor general. Este proceso garantiza que cada transacción es legítima y resuelve los problemas comunes de la moneda digital, como el doble gasto o el fraude. Aunque las identidades de los usuarios individuales pueden ser anónimas, todas las transacciones de un blockchain pública son de conocimiento público y están disponibles para cualquiera que tenga acceso.

En el caso de las criptomonedas, el blockchain también almacena algunos tokens o monedas. Estas monedas se cifran en complicados problemas matemáticos llamados bloques hash. Para generar una nueva moneda, los usuarios del sistema blockchain deben dedicar sus recursos informáticos a descifrar cada hash. Este proceso se denomina criptominería y suele requerir enormes cantidades de potencia de procesamiento. Los usuarios que utilizan sus propios recursos para generar nuevas monedas y validar las transacciones de otros usuarios se denominan mineros.

Resolver hashes criptográficos y validar transacciones puede ser costoso, tanto en términos de costes de hardware como de electricidad. Las monedas son un pago para los mineros que pagan el coste del hardware y la energía. Descifrar un bloque hash completo requiere muchos más recursos que validar una transacción. Esto significa que la verificación de transacciones se compensa a una tasa menor, calculada como un porcentaje proporcional del valor de la transacción correlacionado con los recursos necesarios. 

Una operación legítima de minería de criptomoneda puede incurrir en importantes gastos operativos en forma de elevados costes de electricidad y hardware caro. Un ejemplo pueden ser las unidades de procesamiento gráfico (GPU) diseñadas para mejorar la potencia de procesamiento y la eficiencia más allá de lo que puede ofrecer una unidad central de procesamiento (CPU) estándar. Sin embargo, mientras que algunas criptodivisas como Bitcoin requieren cantidades extremas de energía y potencia de cálculo, otras monedas, como Monero, requieren mucho menos. 

Un criptohacker exitoso podría apoderarse de las CPU (o cualquier tipo de procesador) de muchas víctimas. Pueden robar eficazmente los ciclos de CPU no utilizados y utilizarlos para realizar cálculos de minería de criptomonedas, enviando las monedas ganadas a su propia cartera digital anónima. En conjunto, muchos procesadores más lentos pueden seguir generando una cantidad significativa de criptomonedas. Un criptohacker puede hacerlo de forma directa (infectando el ordenador de un objetivo con malware) o indirectamente (extrayendo los ciclos del procesador mientras un usuario visita un sitio web infectado). 

Hay tres tipos principales de criptojacking que se pueden usar de manera efectiva, ya sea de forma independiente o como un enfoque híbrido. Los tipos más avanzados de código de criptojacking pueden comportarse como un virus gusano, infectando recursos conectados y mutando su propio código para evadir la detección. Estos son los tres tipos de criptojacking:

• Cryptojacking basado en navegador: este tipo de criptojacking se ejecuta directamente en un navegador web y no requiere que la víctima instale ningún software adicional. Simplemente navegando por un sitio web inyectado con código malicioso de criptojacking, los recursos informáticos de una víctima pueden desviarse hacia la criptominería subrepticia. 

• Criptojacking basado en el host: el criptojacking basado en el host se refiere al malware de criptojacking que se ha descargado en el dispositivo o sistema de un objetivo. Como este tipo de criptojacking requiere que los usuarios descarguen y almacenen el software, puede ser más fácil de detectar. Sin embargo, también puede funcionar las 24 horas del día, lo que genera un mayor consumo de energía y una mayor pérdida de recursos. 

• Cryptojacking basado en memoria: el criptojacking basado en memoria es más difícil de detectar y es más raro que el criptojacking basado en navegador o host. Este tipo utiliza técnicas avanzadas como la inyección de código y la manipulación de la memoria para usar la RAM para la criptominería en tiempo real sin dejar ninguna evidencia. 

Dependiendo del tipo de ataque, la mayoría de los incidentes de criptojacking siguen un proceso similar de cuatro etapas.

La primera fase de un ataque de criptojacking gira en torno a exponer al objetivo a códigos malintencionados. Para que un ciberdelincuente cometa criptojacking, debe encontrar un método para introducir algún tipo de guion de criptojacking en el sistema de la víctima.

Puede parecer un correo electrónico de phishing que engaña a un objetivo para que descargue un programa de minería de criptomonedas, o puede ser tan inocuo como un anuncio con JavaScript en un sitio web acreditado. 

La fase de implementación comienza una vez que el código malicioso ha entrado en el sistema del objetivo. Durante esta fase, el script de minería de criptomonedas comienza a ejecutarse en segundo plano, llamando la atención lo menos posible. Cuanto más tiempo pase desapercibido un script de criptojacking, más rentable puede ser.

Los "mejores" scripts de criptominería están diseñados para asignar incorrectamente tanta potencia de procesamiento como sea posible sin afectar notablemente el rendimiento del sistema de un objetivo. Aunque la implementación de un script que consume una potencia informática relativamente baja es lo mejor para los criptomineros porque les ayuda a evitar la detección, los códigos de criptojacking son codiciosos por naturaleza. A menudo acaparan recursos a expensas de un rendimiento más amplio del sistema y mayores gastos de energía. 

Una vez completada la etapa de implementación, comienza la etapa de minería. Después de una implementación exitosa, el código de criptojacking comenzará a utilizar los recursos informáticos del objetivo para extraer criptomonedas. Lo hacen resolviendo hashes criptográficos complicados que generan nuevas monedas o verifican transacciones de blockchain para obtener recompensas en criptomonedas. 

Todas estas recompensas se envían a una billetera digital controlada por el criptojacker. Las víctimas del criptojacking no tienen forma de reclamar la criptomoneda generada por los recursos por los que pagan.

Las criptomonedas son más difíciles de rastrear que los tipos tradicionales de activos. Aunque algunas monedas son más anónimas que otras, puede resultar imposible recuperar cualquier moneda extraída mediante criptojacking. Aunque las transacciones realizadas en blockchains públicas son de dominio público, rastrear criptomonedas mal habidas hasta ciberdelincuentes identificables es difícil. Y las herramientas financieras descentralizadas (DeFi) pueden dificultar aún más el rastreo de los secuestradores de criptomonedas. Estas herramientas permiten a los poseedores de criptodivisas agrupar recursos criptográficos en herramientas como los fondos comunes de financiación que funcionan como las oportunidades de inversión tradicionales, pagando dividendos sin tener que retirar el capital inicial. Aunque estas herramientas están diseñadas para muchos inversores legítimos y son utilizadas por ellos, los malos actores pueden beneficiarse de la naturaleza descentralizada de las criptomonedas para cubrir sus huellas. 

La infiltración es siempre el primer paso en cualquier ataque de criptojacking. El criptojacking es una forma peligrosa de ciberdelincuencia porque los hackers tienen muchas formas de distribuir el código de criptojacking. Algunas formas en las que un hacker podría infiltrarse en el sistema de una víctima objetivo incluyen:

• Phishing: un correo electrónico de phishing puede contener un enlace que desencadena una descarga de malware. La víctima puede hacer clic en un enlace para ver lo que parece ser un vale de regalo digital, pero en realidad contiene malware, e instala sin saberlo un software malintencionado de minería de criptomonedas sin darse cuenta de que la han engañado. 

• Sistemas mal configurados: las máquinas virtuales (VM), los servidores o los contenedores mal configurados que están expuestos públicamente son una invitación abierta para los piratas informáticos que buscan obtener acceso remoto no autenticado. Una vez dentro, instalar software de criptojacking es un trabajo trivial para los ciberdelincuentes experimentados. 

• Aplicaciones web comprometidas: acceder a una aplicación web con puertos no seguros, incluso desde un proveedor de confianza o bien intencionado, puede exponer el sistema de la víctima al código de criptojacking.

• Extensiones de navegador infectadas: las extensiones de navegador, también conocidas como complementos o complementos, son programas de software relativamente pequeños que se utilizan para mejorar y personalizar la experiencia de navegación web de un usuario. Las extensiones como obstáculos o administradores de contraseñas están disponibles para la mayoría, si no para todos, los navegadores web populares (como Google Chrome, Microsoft Edge, Mozilla Firefox y Apple Safari). Aunque la mayoría de las extensiones son seguras, incluso las más conocidas y utilizadas pueden verse comprometidas con código de criptojacking inyectado por actores maliciosos. Aunque un desarrollador de extensiones con buena reputación tiende a seguir las buenas prácticas de ciberseguridad, en un entorno de ciberamenazas en constante evolución, los piratas informáticos atacan constantemente y ocasionalmente se infiltran incluso en los desarrolladores más confiables. Mediante técnicas como los exploits de día cero, los hackers pueden inyectar software de criptojacking en el software de los desarrolladores más fiables. Aún más fácil, los hackers pueden crear sus propias versiones de imitación de extensiones diseñadas para engañar a los usuarios para que descarguen malware en lugar de una extensión útil y bien examinada. 

• JavaScript comprometido: el código escrito en JavaScript es susceptible al criptojacking. Los hackers pueden subir o infectar una biblioteca de JavaScript aparentemente segura y lograr infiltrarse cuando una víctima involuntaria descarga código comprometido.    

• Amenazas internas: las amenazas internas, como un empleado descontento, con poca formación o un actor de amenazas con credenciales robadas, también son vectores de ataque comunes para el criptojacking. 

• Ataques basados en la nube: los sistemas de cloud computing en nube en red aumentan exponencialmente los vectores de ataque para los ciberdelincuentes, y el criptojacking no es una excepción. El reciente y continuo auge de las aplicaciones de inteligencia artificial (IA) basadas en la nube, como los modelos de lenguaje de gran tamaño (LLM), crea aún más oportunidades para los ataques de criptojacking que pueden infiltrarse en un solo nodo y propagarse por toda una red.

Para los particulares, ejecutar software de criptominería en segundo plano en ordenadores utilizados para otras tareas no es rentable. Sin embargo, a escala, estas pequeñas ganancias pueden sumar. El criptojacking puede ser rentable cuando los piratas informáticos exitosos pueden infectar muchos sistemas individuales. Sobre todo porque los criptohackers no pagan los costes de hardware o energía. 

En general, dado que la criptominería es un procedimiento que requiere muchos recursos, los criptomineros legítimos casi siempre utilizan hardware dedicado y de primera línea para sus operaciones. Aunque algunos hardware empresariales o incluso de consumo son capaces de criptominar, las buenas prácticas no recomiendan dedicar menos del 90 % de los recursos a las operaciones de minería. 

Aunque los costes asociados a la creación y el funcionamiento de una plataforma dedicada a la criptominería han llevado a los aficionados a minar en su hardware principal, hacerlo rara vez genera rendimientos significativos. Y los beneficios de estas actividades suelen verse profundamente socavados no solo por el coste de la energía adicional consumida al realizar los cálculos mineros intensivos, sino también por el desgaste del costoso hardware. 

Para las empresas y las grandes organizaciones, los costes del criptojacking son aún mayores, incluida la ralentización operativa y las posibles violaciones de la protección de datos. Los principales impactos del criptojacking para las empresas incluyen los siguientes.

Los ataques de criptojacking están diseñados para ejecutarse en segundo plano, permaneciendo ocultos y desconocidos durante el mayor tiempo posible. Como tal, los códigos de criptojacking pueden ser difíciles de detectar. Sin embargo, hay algunos signos reveladores de que un sistema podría estar infectado con software malicioso de criptominería:

• Aumento inexplicable del consumo de energía: dado que el software de criptominería consume mucha energía, los picos repentinos e inexplicables en el gasto energético pueden indicar una criptominería no autorizada. 

• Sobrecalentamiento del dispositivo: la criptominería hace que el hardware se caliente. Cuando el hardware del sistema se sobrecalienta, o simplemente hace funcionar más los ventiladores y los sistemas de refrigeración, puede ser un síntoma de un ataque de criptojacking. 

• Ralentizaciones inexplicables: el criptojacking agota los recursos informáticos y hace que las operaciones en general sean más lentas. Los sistemas que tienen dificultades para completar las tareas informáticas normales son una señal común de criptojacking.

• Alto uso de la CPU: al investigar un posible ataque de criptojacking, un indicador es un uso de la CPU superior al normal mientras se ejecutan operaciones que, por lo demás, no requieren mucho esfuerzo. 

La defensa contra el criptojacking requiere un enfoque holístico que, por suerte, es congruente con muchas otras estrategias de ciberseguridad para la higiene general de la seguridad. Estas son algunas medidas de defensa comunes y efectivas:

• Capacitación rigurosa del personal: como suele ocurrir con cualquier ciberamenaza, el error humano es el vector de ataque más persistente y potencialmente dañino. La capacitación y la educación sobre los ataques de phishing, la navegación segura y las prácticas de intercambio de archivos es una primera línea de defensa crítica contra el criptojacking. 

• Soluciones EDR y CDR: como el criptojacking requiere un sistema infectado para comunicarse con los malos actores, las herramientas antivirus comunes que pueden analizar el software en busca de señales conocidas de ciberdelincuencia pueden ser eficaces contra el criptojacking.

• Desactivación de JavaScript: como JavaScript es un vector de ataque tan maduro para el criptojacking, deshabilitar todo JavaScript puede ser una defensa efectiva.