¿Qué es el cryptojacking?

Los hackers emplean código de cryptojacking (un tipo de malware) para producir y recopilar criptomonedas valiosas sin incurrir en costos asociados. Esencialmente, engañan a sus víctimas para que gasten sus propios recursos sin obtener ninguna de las recompensas. El cryptojacking es una amenaza creciente dentro del ámbito de la ciberseguridad. Según el Informe de amenazas cibernéticas de Sonicwall 2024, los incidentes de cryptojacking aumentaron en un 659 % en 2023. 

Los recursos para extraer criptomonedas pueden ser costosos. Los ataques de criptojacking exitosos obligan efectivamente a sus víctimas inconscientes a asumir los costes del proceso de minería de criptomonedas, mientras que el criptojacker se queda con los beneficios.

Los ataques de cryptojacking pueden llevarse a cabo a través de la web, a través de scripts de cryptojacking basados en navegador (a menudo incrustados en código JavaScript en una página web), o a través de malware de cryptojacking entregado como aplicaciones o como virus de estilo troyano a través de ingeniería social o ataques de phishing. Las computadoras de escritorio, computadoras portátiles, servidores , teléfonos inteligentes y otros dispositivos móviles infectados con código o software de cryptojacking a menudo sufren un rendimiento drásticamente reducido, lo que resulta en un tiempo de inactividad operativo además de facturas de electricidad más altas.   

El criptojacking es diferente de otros tipos de delitos cibernéticos. Mientras que las amenazas cibernéticas como la exfiltración de datos o los ataques de ransomware generalmente buscan robar o tomar los datos de los usuarios, el código de cryptojacking roba de manera efectiva la energía de procesamiento y la electricidad. El malware de criptominería está diseñado para inyectar en los objetivos un sutil código malicioso diseñado para evadir la detección durante el mayor tiempo posible.   

• Cryptojacking en la práctica: los ataques de cryptojacking, a veces denominados criptominería maliciosa, intentan apoderarse de los dispositivos informáticos o máquinas virtuales (VM) de los usuarios . El cryptojacking funciona filtrando en secreto el poder de procesamiento de víctimas desprevenidas para extraer monedas digitales. Los delincuentes cibernéticos recaudan las ganancias generadas por las criptomonedas, mientras que las víctimas pagan la factura.  

• Impacto del criptojacking: las víctimas del criptojacking sufren un aumento de los costos de electricidad y una disminución del rendimiento del sistema, lo que puede dañar el hardware y provocar un sobrecalentamiento. Los ataques exitosos pueden comprometer la privacidad de datos de una víctima y crear otras amenazas cibernéticas. 

• Vulnerabilidades de cryptojacking: los vectores de ataque incluyen páginas web, navegadores web, extensiones y complementos de navegador, dispositivos de Internet de las cosas (IoT), correo electrónico y otras aplicaciones de tipo mensajería. El malware de minería puede infectar la mayoría de los tipos de sistemas operativos populares . Los hackers incluso se han dirigido a los principales proveedores de software y servicios, como Microsoft y YouTube.     

• Defensa contra el criptojacking: los métodos recomendados para defenderse contra los ataques de criptojacking combinan detección y respuesta de endpoints (EDR), desarme y reconstrucción de contenido (CDR) y soluciones antivirus, administrador de tareas regular y monitoreo del uso de la CPU, auditorías de la cadena de suministro, bloqueadores de anuncios, bloqueo de scripts, capacitación del personal y detección de amenazas en tiempo real.  

La criptomoneda es un tipo de recurso digital que no tiene representación física, pero que puede intercambiarse por bienes y servicios como la moneda fiduciaria tradicional. Una de las principales innovaciones de las criptomonedas es la capacidad de enviar fondos directamente entre partes sin necesidad de intermediarios. Las criptomonedas se crean mediante el uso de tecnología blockchain.

Un blockchain es como un libro de contabilidad virtual que registra todas las transacciones realizadas mediante el uso de un sistema de cadena de bloques específico. Las blockchains de criptomonedas suelen ser de código abierto, lo que permite a cualquiera examinar el código subyacente.

Además de las criptomonedas, los sistemas blockchain también son útiles para otras aplicaciones que necesitan rastrear y validar cualquier tipo de registros. Además, los blockchains privados pueden ser empleados por sistemas que rastrean información confidencial. 

• Blockchain: un blockchain es un libro de contabilidad digital compartido e inmutable que se utiliza para registrar y rastrear las transacciones dentro de una red y proporciona una fuente única de verdad verificada. 

• Criptomoneda: la criptomoneda es un recurso digital generado al descifrar bloques cifrados de código almacenados en un blockchain. Las unidades de criptomoneda a menudo se denominan monedas o tokens, y se utilizan como compensación para los usuarios que intercambian recursos informáticos y energéticos para descifrar monedas y validar transacciones de blockchain.

• Mineros: Los criptomineros (o simplemente mineros) son los usuarios que ejecutan el software de criptominería que genera nuevos tokens y valida las transacciones en la cadena. 

Lo que hace que una blockchain sea tan poderosa es la descentralización. Un blockchain público, como el que utiliza Bitcoin, no se almacena en una sola fuente. En su lugar, el blockchain se duplica en cualquier número de nodos: sistemas informáticos dispares, cada uno de los cuales ejecuta un software de criptominería que monitorea y verifica la validez del blockchain compartido.

Cuando se realiza una transacción a través del blockchain, un determinado umbral de nodos debe validar la transacción antes de que se escriba en el libro mayor general. Este proceso garantiza que cada transacción es legítima y resuelve los problemas comunes de la moneda digital, como el doble gasto o el fraude. Aunque las identidades de los usuarios individuales pueden ser anónimas, todas las transacciones de un blockchain pública son de conocimiento público y están disponibles para cualquiera que tenga acceso.

En el caso de las criptomonedas, el blockchain también almacena algunos tokens o monedas. Estas monedas se cifran en complicados problemas matemáticos llamados bloques hash. Para generar una nueva moneda, los usuarios del sistema blockchain deben dedicar sus recursos informáticos a descifrar cada hash. Este proceso se denomina criptominería y suele requerir enormes cantidades de potencia de procesamiento. Los usuarios que utilizan sus propios recursos para generar nuevas monedas y validar las transacciones de otros usuarios se denominan mineros.

Resolver hashes criptográficos y validar transacciones puede ser costoso, tanto en términos de costos de hardware como de electricidad. Las monedas son un pago para los mineros que pagan el costo del hardware y la energía. Descifrar un bloque hash completo requiere muchos más recursos que validar una transacción. Esto significa que la verificación de transacciones se compensa a una tasa menor, calculada como un porcentaje proporcional del valor de la transacción correlacionado con los recursos necesarios. 

Una operación legítima de minería de criptomonedas puede incurrir en importantes gastos operativos en forma de altos costos de electricidad y hardware costoso. Un ejemplo pueden ser las unidades de procesamiento de gráficos (GPU) diseñadas para mejorar la potencia de procesamiento y la eficiencia más allá de lo que puede ofrecer una unidad central de procesamiento (CPU) estándar. Sin embargo, mientras que algunas criptomonedas como Bitcoin requieren cantidades extremas de energía y potencia informática, otras monedas, como Monero, requieren mucho menos. 

Un criptohacker exitoso podría apoderarse de las CPU (o cualquier tipo de procesador) de muchas víctimas. Pueden robar eficazmente los ciclos de CPU no utilizados y utilizarlos para realizar cálculos de minería de criptomonedas, enviando las monedas ganadas a su propia cartera digital anónima. En conjunto, muchos procesadores más lentos pueden seguir generando una cantidad significativa de criptomonedas. Un criptohacker puede hacerlo de forma directa (infectando el ordenador de un objetivo con malware) o indirectamente (extrayendo los ciclos del procesador mientras un usuario visita un sitio web infectado). 

Hay tres tipos principales de criptojacking que se pueden usar de manera efectiva, ya sea de forma independiente o como un enfoque híbrido. Los tipos más avanzados de código de criptojacking pueden comportarse como un virus gusano, infectando recursos conectados y mutando su propio código para evadir la detección. Estos son los tres tipos de criptojacking:

• Cryptojacking basado en navegador: este tipo de cryptojacking se ejecuta directamente en un navegador sitio web y no requiere que la víctima instale ningún software adicional. Al simplemente navegar por un sitio web inyectado con código criptojacking malicioso, los recursos informáticos de una víctima pueden desviarse a la criptomineria subrepticia. 

• Cryptojacking basado en host: el cryptojacking basado en host se refiere al malware de cryptojacking que se ha descargado en el dispositivo o sistema de un objetivo. Debido a que este tipo de cryptojacking requiere que los usuarios descarguen y almacenen software, puede ser más fácil de detectar. Sin embargo, también puede funcionar las 24 horas del día, lo que genera un mayor consumo de energía y un mayor consumo de recursos. 

• Cryptojacking basado en memoria: el cryptojacking basado en memoria es más difícil de detectar y es más raro que el cryptojacking basado en navegador u host. Este tipo emplea técnicas avanzadas como la inyección de código y la manipulación de la memoria para usar la RAM para la criptominería en tiempo real sin dejar ninguna evidencia. 

Dependiendo del tipo de ataque, la mayoría de los incidentes de criptojacking siguen un proceso similar de cuatro etapas.

La primera fase de un ataque de criptojacking gira en torno a exponer al objetivo a códigos malintencionados. Para que un delincuente cibernético cometa criptojacking, debe encontrar un método para introducir algún tipo de guion de criptojacking en el sistema de la víctima.

Puede parecer un correo electrónico de phishing que engaña a un objetivo para que descargue un programa de minería de criptomonedas, o puede ser tan inocuo como un anuncio con JavaScript en un sitio web acreditado. 

La fase de despliegue comienza una vez que el código malicioso ha entrado en el sistema del objetivo. Durante esta fase, el script de minería de criptomonedas comienza a ejecutarse en segundo plano, llamando la atención lo menos posible. Cuanto más tiempo pase desapercibido un script de criptojacking, más rentable puede ser.

Los "mejores" scripts de criptominería están diseñados para asignar incorrectamente tanta potencia de procesamiento como sea posible sin afectar notablemente el rendimiento del sistema de un objetivo. Aunque el despliegue de un script que consume una potencia informática relativamente baja es lo mejor para los criptomineros porque les ayuda a evitar la detección, los códigos de criptojacking son codiciosos por naturaleza. A menudo acaparan recursos a expensas de un rendimiento más amplio del sistema y mayores gastos de energía. 

Una vez completada la etapa de despliegue, comienza la etapa de minería. Después de un despliegue exitoso, el código de criptojacking comenzará a utilizar los recursos informáticos del objetivo para extraer criptomonedas. Lo hacen resolviendo hashes criptográficos complicados que generan nuevas monedas o verifican transacciones de blockchain para obtener recompensas en criptomonedas. 

Todas estas recompensas se envían a una billetera digital controlada por el criptojacker. Las víctimas del criptojacking no tienen forma de reclamar la criptomoneda generada por los recursos por los que pagan.

Las criptomonedas son más difíciles de rastrear que los tipos tradicionales de activos. Aunque algunas monedas son más anónimas que otras, puede resultar imposible recuperar cualquier moneda extraída mediante criptojacking. Aunque las transacciones realizadas en blockchains públicas son de dominio público, rastrear criptomonedas mal habidas hasta delincuentes cibernéticos identificables es difícil. Y las herramientas financieras descentralizadas (DeFi) pueden dificultar aún más el rastreo de los secuestradores de criptomonedas. Estas herramientas permiten a los poseedores de criptodivisas agrupar recursos criptográficos en herramientas como los fondos comunes de financiación que funcionan como las oportunidades de inversión tradicionales, pagando dividendos sin tener que retirar el capital inicial. Aunque estas herramientas están diseñadas para muchos inversores legítimos y son utilizadas por ellos, los malos actores pueden beneficiarse de la naturaleza descentralizada de las criptomonedas para cubrir sus huellas. 

La infiltración es siempre el primer paso en cualquier ataque de criptojacking. El criptojacking es una forma peligrosa de ciberdelincuencia porque los hackers tienen muchas formas de distribuir el código de criptojacking. Algunas formas en las que un hacker podría infiltrarse en el sistema de una víctima objetivo incluyen:

• Phishing: un correo electrónico de phishing puede contener un enlace que desencadena una descarga de malware. Una víctima puede hacer clic en un enlace para ver lo que parece ser un certificado de regalo digital, pero en realidad contiene malware, instalando sin saberlo un software malicioso de criptominería sin darse cuenta de que ha sido engañado. 

• Sistemas mal configurados: las máquinas virtuales (VM), servidores o contenedores mal configurados que están expuestos públicamente son una invitación abierta para los hackers que buscan obtener acceso remoto no autenticado. Una vez dentro, instalar software de cryptojacking es un trabajo trivial para los delincuentes cibernéticos experimentados. 

• Aplicaciones web comprometidas: acceder a una aplicación web con puertos no seguros, incluso de un proveedor confiable o bien intencionado, puede exponer el sistema de una víctima al código de cryptojacking.

• Extensiones de navegador infectadas: las extensiones de navegador, también conocidas como complementos o complementos, son programas de software relativamente pequeños que se utilizan para mejorar y personalizar la experiencia de navegación web de un usuario. Las extensiones como obstáculos o administradores de contraseñas están disponibles para la mayoría, si no para todos, los navegadores web populares (como Google Chrome, Microsoft Edge, Mozilla Firefox y Apple Safari). Aunque la mayoría de las extensiones son seguras, incluso las más conocidas y utilizadas pueden verse comprometidas con código de criptojacking inyectado por actores maliciosos. Aunque un desarrollador de extensiones con buena reputación tiende a seguir las buenas prácticas de ciberseguridad, en un entorno de ciberamenazas en constante evolución, los piratas informáticos atacan constantemente y ocasionalmente se infiltran incluso en los desarrolladores más confiables. Mediante técnicas como las exploraciones de día cero, los hackers pueden inyectar software de criptojacking en el software de los desarrolladores más fiables. Aún más fácil, los hackers pueden crear sus propias versiones de imitación de extensiones diseñadas para engañar a los usuarios para que descarguen malware en lugar de una extensión útil y bien examinada. 

• JavaScript comprometido: el código escrito en JavaScript es susceptible de criptojacking. Los hackers pueden cargar o infectar una biblioteca JavaScript aparentemente segura, logrando la infiltración cuando una víctima involuntaria descarga código comprometido.    

• Amenazas de usuario interno: las amenazas de usuario interno, como un empleado descontento o mal capacitado o un actor de amenazas con credenciales robadas, también son vectores de ataque comunes para el criptojacking. 

• Ataques basados en la nube: los sistemas de computación en la nube en red aumentan exponencialmente los vectores de ataque para los delincuentes cibernéticos, y el criptojacking no es una excepción. El reciente y continuo auge de las aplicaciones de inteligencia artificial (IA) basadas en la nube, como los modelos de lenguaje de gran tamaño (LLM), crea aún más oportunidades para los ataques de criptojacking que pueden infiltrarse en un solo nodo y propagarse por toda una red.

Para los particulares, ejecutar software de criptominería en segundo plano en computadoras utilizadas para otras tareas no es rentable. Sin embargo, a escala, estas pequeñas ganancias pueden sumar. El criptojacking puede ser rentable cuando los piratas informáticos exitosos pueden infectar muchos sistemas individuales. Sobre todo porque los criptohackers no pagan los costes de hardware o energía. 

En general, dado que la criptominería es un procedimiento que requiere muchos recursos, los criptomineros legítimos casi siempre utilizan hardware dedicado y de primera línea para sus operaciones. Aunque algunos hardware empresariales o incluso de consumo son capaces de criptominar, las mejores prácticas no recomiendan dedicar menos del 90 % de los recursos a las operaciones de minería. 

Aunque los costos asociados a la creación y el funcionamiento de una plataforma dedicada a la criptominería han llevado a los aficionados a minar en su hardware principal, hacerlo rara vez genera rendimientos significativos. Y los beneficios de estas actividades suelen verse profundamente socavados no solo por el costo de la energía adicional consumida al realizar los cálculos mineros intensivos, sino también por el desgaste del costoso hardware. 

Para las empresas y las grandes organizaciones, los costes del criptojacking son aún mayores, incluida la ralentización operativa y las posibles violaciones de la privacidad de datos. Los principales impactos del criptojacking para las empresas incluyen los siguientes.

Los ataques de criptojacking están diseñados para ejecutarse en segundo plano, permaneciendo ocultos y desconocidos durante el mayor tiempo posible. Como tal, los códigos de criptojacking pueden ser difíciles de detectar. Sin embargo, hay algunos signos reveladores de que un sistema podría estar infectado con software malicioso de criptominería:

• Aumento inexplicable del consumo de energía: debido a que el software de criptominería consume mucha energía, los picos repentinos e inexplicables en los gastos de energía pueden indicar una criptominería no autorizada. 

• Sobrecalentamiento del dispositivo: la criptominería hace que el hardware se caliente. Cuando el hardware del sistema se sobrecalienta, o simplemente hace funcionar más los ventiladores y los sistemas de refrigeración, puede ser un síntoma de un ataque de cryptojacking. 

• Ralentizaciones inexplicables: el cryptojacking agota los recursos informáticos, lo que lleva a operaciones generales más lentas. Los sistemas que tienen dificultades para completar las tareas informáticas normales son un signo común de cryptojacking.

• Alto uso de CPU: al investigar un posible ataque de cryptojacking, un indicador es más alto que el uso normal de CPU mientras se ejecutan operaciones que, de otro modo, serían poco exigentes. 

La defensa contra el criptojacking requiere un enfoque holístico que, por suerte, es congruente con muchas otras estrategias de ciberseguridad para la higiene general de la seguridad. Estas son algunas medidas de defensa comunes y efectivas:

• Capacitación rigurosa del personal: como suele ocurrir con cualquier amenaza cibernética, el error humano es el vector de ataque más persistente y potencialmente dañino. La capacitación y la educación en torno a los ataques de phishing, la navegación segura y las prácticas de intercambio de archivos son una primera línea de defensa crítico contra el cryptojacking. 

• Soluciones de ejecución de la detección y respuesta de endpoints (EDR) y CDR: como el criptojacking requiere un sistema infectado para comunicarse con los malos actores, las herramientas antivirus comunes que pueden analizar el software en busca de señales conocidas de ciberdelincuencia pueden ser eficaces contra el criptojacking.

• Deshabilitar JavaScript: debido a que JavaScript es un vector de ataque tan maduro para el cryptojacking, deshabilitar todo JavaScript puede ser una defensa eficaz.