1.

Introducción:

Los black-hat hackers, llevan muchísimos años haciendo de las suyas, sus
formas de ataque han ido evolucionando a la par con el crecimiento del
ciberespacio. La cantidad de daños que han causado, al igual que las pérdidas
económicas detrás de sus actividades, quizás sean incontables.

Luego de la aparición de bitcoin, así como de otras criptomonedas y su

incremento de precio en el mercado con el tiempo, los hackers no se podían
quedar atrás sin obtener un poco de ese provecho mediante tácticas engañosas,
ahorrándose además, todos los problemas de consumo eléctrico relativos a
la actividad de la minería y riesgos asociados al mercado, como su alto nivel de
volatilidad.

Precisamente, el cryptojacking es la nueva forma utilizada por los hackers para

obtener provecho en el mundo de las criptomonedas, su uso es posible a través
de distintos métodos y las consecuencias pueden ser variadas, siendo el
computador el principal afectado en su proceso.

2. Criptomonedas
Las criptomonedas son un tipo de dinero digital que existe solo en el mundo
digital, sin una forma física. Se crearon como una alternativa al dinero tradicional
y se hicieron populares por su diseño avanzado, su potencial de crecimiento y
su anonimato. Una de las primeras formas de criptomoneda, y de más éxito, el
bitcoin, surgió en 2009. En diciembre de 2017, el valor de un solo bitcoin alcanzó
su máximo histórico, casi 20 000 USD, después cayó por debajo de los 10 000
USD. El éxito del bitcoin inspiró la creación de otras criptomonedas que operan
más o menos de la misma manera. Antes de que haya pasado una década desde
su invención, personas de todo el mundo utilizan criptomonedas para comprar y
vender cosas o hacer inversiones.

La palabra “criptomoneda” viene de la combinación de otros dos términos,

“criptografía” y “moneda”. Se define como dinero electrónico basado en los
principios del cifrado matemático complejo. Todas las criptomonedas existen
como unidades monetarias descentralizadas y cifradas que pueden transferirse
libremente entre los participantes de la red. Dicho de otra manera, una
criptomoneda es electricidad convertida en líneas de código que tienen un valor
monetario.

Las unidades de criptomoneda (llamadas “coins”) no son más que entradas en

una base de datos. Para realizar una transacción que modifica la base de datos,
tienen que cumplirse ciertas condiciones. Piense en cómo hace el seguimiento
de los movimientos de su cuenta bancaria. Cada vez que autoriza transferencias,
retiradas de efectivo o depósitos, la base de datos del banco se actualiza con las
nuevas transacciones. Las criptomonedas funcionan de forma similar, pero con
una base de datos descentralizada.

A diferencia de las monedas tradicionales, las criptomonedas como el bitcoin no

están respaldadas por un gobierno o un banco específicos. Ningún gobierno o
regulador central supervisa la criptomoneda. Está descentralizada y se gestiona
en múltiples bases de datos duplicadas simultáneamente en una red de millones
de ordenadores que no pertenecen a ninguna persona u organización. Es más,
la base de datos de criptomoneda funciona como un libro de contabilidad digital.
Utiliza el cifrado para controlar la creación de nuevas monedas y comprobar la
transferencia de fondos. Durante todo el proceso, la criptomoneda y sus
propietarios permanecen en total anonimato.

La naturaleza anónima y descentralizada de las criptomonedas implica que

ningún organismo regulador decide qué cantidad de moneda debe ponerse en
circulación. Por el contrario, la manera en que la mayoría de las criptomonedas
entra en circulación es un proceso denominado “minería”. Sin entrar en detalles,
el proceso de minería consiste básicamente en convertir los recursos
informáticos en coins de criptomoneda. Al principio, cualquiera que tuviera un
ordenador podía extraer criptomonedas, pero esto se convirtió rápidamente en
una carrera armamentística. Actualmente, la mayoría de los programas de
minería utiliza ordenadores potentes y configurados ad hoc que extraen
criptomonedas a todas horas. La gente empezó enseguida a buscar nuevas
maneras de extraer criptomonedas y surgió el cryptojacking. En lugar de pagar
un ordenador caro dedicado a la minería, los hackers empezaron a infectar
ordenadores normales y a utilizarlos como una red a su antojo.
3. Utilización de las criptomonedas
Los propietarios de criptomonedas las guardan en “carteras” virtuales, que están
cifradas de forma segura con claves privadas. En una transacción, la
transferencia de fondos entre los propietarios de sendas carteras digitales
requiere que se introduzca un registro del intercambio en el libro de contabilidad
digital público descentralizado. Los datos acerca del último bitcoin u otras
transacciones de criptomoneda se recopilan en ordenadores especiales cada 10
minutos y se convierten en un rompecabezas matemático. Allí, la transacción
convertida en rompecabezas espera la confirmación,

que tiene lugar cuando los miembros de otra categoría de participantes,

denominados mineros, resuelven independientemente los complejos
rompecabezas matemáticos que demuestran la legitimidad de la transacción. A
continuación, se completa la transacción transfiriendo el dinero de la cartera del
propietario a otra cartera. Normalmente, un arsenal de programas de minería
trabaja sin descanso en la resolución del rompecabezas en una carrera por ser
el primero en encontrar la resolución que autentica la transacción.

El programa de minería que resuelve primero el problema cifrado recibe una

recompensa, que suele ser cierta cantidad de nueva criptomoneda. Este método
se concibió especialmente como incentivo para quienes sacrifican el tiempo y la
capacidad informática de sus ordenadores a fin de mantener la red y crear
nuevos coins. Debido a que la complejidad de los cálculos para resolver el
rompecabezas ha aumentado constantemente a lo largo del tiempo (en particular
los del bitcoin), los mineros se dieron cuenta de que incluso los PC más punteros
con un procesador potente no podían extraer coins de forma suficientemente
rentable para cubrir los costes.

Entonces, se intensificó la búsqueda añadiendo a los programas de minería

sofisticadas tarjetas de procesamiento de vídeo, a veces varias, para manejar
los onerosos cálculos. Finalmente, los mineros que querían seguir siendo
competitivos aumentaron su negocio creando granjas enormes de ordenadores
con hardware especializado en la minería de criptomonedas a escala comercial.
Esta es la situación actual: quienes se dedican en serio a la minería de
criptomonedas invierten mucho dinero en competir con otros programas de
minería a fin de resolver los primeros el rompecabezas y reclamar su
recompensa.

Adaptarse a este esfuerzo enorme es una carrera armamentística muy costosa,

que requiere una gran potencia de procesamiento y mucha energía eléctrica para
aumentar las oportunidades de rentabilidad de la minería. Por ejemplo, antes de
que China cerrara las granjas de criptomoneda del país, algunas facturas
eléctricas mensuales alcanzaban los 80 000 USD.

4. Cryptojacking

Cryptojacking se define como el uso no autorizado por parte de un individuo u

organización, de ordenadores de escritorio, portátiles, smartphones y
dispositivos IoT de otros usuarios para minar criptomonedas. Esto se consigue
aprovechándose del poder de computacional o hash power que tengan estos
equipos para resolver problemas matemáticos con el fin de obtener
recompensas en criptomonedas en diferentes cadenas de bloques.

En otras palabras, se utilizan los recursos de diferentes dispositivos electrónicos

sin autorización para minar criptomonedas que pueden ser minadas usando el
poder de la CPU de los dispositivos afectados. Cabe señalar, como veremos más
adelante, que el cryptojacking no es practicado sólo por los hackers.

Esta técnica resulta generalmente imperceptible porque se lleva a cabo en

segundo plano, mientras el usuario le da un uso regular a sus dispositivos. El
único detalle, es que muy probablemente experimente ralentización en la
ejecución de las tareas que se encuentre realizando, además de un mayor
consumo energético que se refleja en poca duración de la batería en el caso de
ordenadores portátiles, tablets y smartphones.

5. Aumento del Cryptojacking

Nadie sabe con certeza cuánta criptomoneda se extrae mediante el cryptojacking,
pero no hay duda de que la práctica es rampante. Cryptojacking basado en
navegador está creciendo rápidamente. En noviembre pasado, Adguard reportó
una tasa de crecimiento del 31 por ciento para el cryptojacking en el
navegador. Su investigación encontró 33,000 sitios web que ejecutan scripts de
minería criptográfica. Adguard estimó que esos sitios tenían mil millones de
visitantes mensuales combinados.

Casi el 95% de los sitios web que encontramos ejecutan el script CoinHive, la
solución de cryptojacking más popular. Media docena de otras redes mineras
surgieron en octubre y noviembre, algunas de ellas simples clones de
CoinHive. Estimamos la ganancia conjunta en más de US $ 150,000 por mes. En
el caso de CoinHive, el 70% de esta suma se destina al propietario del sitio web
y el 30% a la red minera.

La minería en el navegador aún está lejos de convertirse en una alternativa legal

y ética a la publicidad como fuente de ingresos para los sitios web. CoinHive
ahora ofrece una herramienta llamada AuthedMine . Comienza la minería solo si
un usuario da su consentimiento explícito. Sin embargo, encontramos solo 413
sitios que lo utilizan en nuestra muestra: apenas un 1,25% de todo el grupo de
minería.
6. Funcionamiento del Cryptojacking

Inicialmente, el cryptojacking se efectuaba únicamente con la instalación de un

software malicioso que ejecutaba software minero. Posteriormente fueron
surgiendo algunos métodos más sofisticados que facilitan el proceso de minería
como los mineros escritos en javascript, que pueden ser cargados desde una
página web y ejecutados a través del navegador. Un ejemplo de este tipo de
software es Coinhive, un javascript minero que puede ser instalado en cualquier
sitio web en cuestión de minutos.

Una vez el software minero es ejecutado en el dispositivo de la víctima, requiere

de conexión a Internet para iniciar el proceso de minería. El software se
conectará Cabe señalar que las criptomonedas principalmente minadas a través
del cryptojacking son Monero y Zcash por la condición de anonimato que las
caracteriza. Aún así, otras monedas que pueden ser minadas a través de CPU,
como Bytecoin, también son alternativas.

Las formas más comunes en las que se lleva a cabo el cryptojacking son:

 Distribución de malware que instala software minero en sistemas

operativos móviles y de escritorio, así como en dispositivos IoT. La
distribución de este tipo de malware sigue el mismo esquema de
cualquier software malicioso: a través de software pirata, redes WiFi
públicas, aplicando técnicas de phishing.
 Sitios web que utilizan software minero de forma deliberada. Tal cual,
el cryptojacking no es solo una técnica implementada por los hackers,
sitios como ThePirateBay, Politifact, Showtime y Salon, también
ejecutan software minero. Algunos notifican al usuario, otros no.
 Hackers que irrumpen en sitios web con gran tráfico para instalar
software minero.
Estos dos últimos métodos son los más utilizados, particularmente por el alcance
que se puede tener al utilizar el poder de procesamiento de miles de usuarios y
por qué resulta técnicamente indetectable.

Sitios web como Salon, ofrecen a sus usuarios que no quieran ver publicidad, la
posibilidad de utilizar su “poder de computo no utilizado“. Este por supuesto, se
utilizará para minar una criptomoneda como Monero. En el caso de Salon, los
usuarios son advertidos y se les explica que la práctica es implementada como
alternativa para rentabilizar. Esto por desgracia no ocurre en la mayoría de los
casos, donde administradores web implementan software minero sin notificar al
usuario.

Por otro lado, los hackers que irrumpen en sitios para implantar mineros web,
tienen en la mira los sitios con grandes volúmenes de tráfico. Entre los sitios web
comúnmente atacados por los hackers se encuentran, paginas gubernamentales
sin protección, sitios de noticias, compañías que ofrecen servicios en línea e
incluso compañías con una cantidad considerable de equipos que estén en
constante trabajo y se mantengan en línea.

Recientemente se ha reportado también, que varias instalaciones del CMS

WordPressse han visto comprometidas con software minero. Es probable que
hackers hayan encontrado una vulnerabilidad en el mismo, o bien, utilizado un
plugin o tema pirata para ocultar el software malicioso.

7. Consecuencias del cryptojacking

A pesar de lo que hacen otros tipos de malwares, el software minero utilizado en

el cryptojacking no compromete los datos del usuario. Este afecta, eso sí, la
capacidad de procesamiento del CPU, lo que podría verse reflejado en un menor
rendimiento del equipo. El uso del procesador puede pasar de 20% a más del
90% cuando se ingresa a una web con software minero. Además, y como ya
mencionamos, la autonomía de la batería se verá reducida significativamente por
el mayor uso de la CPU.

En cuanto a aquellas organizaciones que sean infectadas con software minero,

se verán afectados en un mayor grado en vista del gasto en el que deberán
incurrir en tiempo de asistencia técnica. Los analistas en seguridad informática
deberán identificar el origen del problema de rendimiento y verificar el sistema
en busca de las brechas de seguridad. Por otro lado, la imagen pública de la
empresa también puede verse afectada.

8. Detectar el cryptojacking

Detectar esta práctica controversial puede resultar algo complicado debido a la

naturaleza silenciosa de su funcionamiento. El desconocimiento de los usuarios
sobre esta práctica hace también que este pase desapercibido y solo quede
evidenciado con el bajo rendimiento que pueden presentar los dispositivos
afectados.

El uso de herramientas antimalware y antivirus, por otro lado, ofrecen poca

protección frente al software minero que es ejecutado desde el navegador. Esto
se debe a que las herramientas de seguridad utilizan algoritmos de detección
basadas en firmas de software que se instala en el sistema operativo.

Una de las formas en la que podemos detectar o deducir que se está ejecutando
un script de minería, es mediante los avisos de bajo rendimiento que pueden
aparecer en el sistema operativo que estemos ejecutando, eso encenderá las
alarmas para realizar una búsqueda minuciosa. El software de ‘Monitor del
Sistema‘ que todo sistema operativo moderno incluye hoy en día, puede darnos
una pauta más precisa sobre el consumo de recursos en nuestro ordenador,
sobre todo de la CPU.

Otra manera de sospechar de que estamos ejecutando un software de minería

es debido al sobrecalentamiento del ordenador, reflejado en un aumento en la
velocidad de los disipadores de calor. Generalmente el aumento de velocidad es
debido a calentamiento del procesador y es sensado por un termistor que
determinara la velocidad dependiendo de la temperatura del procesador.

En el caso de redes corporativas es más fácil detectar este tipo de ataques por
el monitoreo constante al que están sometidas. Sin embargo, no todas las
organizaciones cuentan con el tipo de herramientas y capacidades para analizar
información que los guíe a detectar con precisión el ataque.

Una herramienta en particular de la cual nos podemos valer para comprobar si

una página web está minando a través de nuestro equipo, es Whoismining. Al
introducir un sitio web, Whoismining buscará en esos sitios la presencia de un
software minero, como el javascript de Coinhive.

9. Protección contra el cryptojacking

Existen algunas formas de protegerse contra este tipo de ataques que están al
alcance de cualquier usuario y se emplean de forma sencilla, algunos de estas
prácticas son:

 Utilizar extensiones que bloquean software de minería como No Coin

(Google Chrome/Mozilla Firefox) o MinerBlock (Google
Chrome/Mozilla Firefox).
 Considerar el uso de un navegador como Opera, que ofrece protección
nativa contra mineros web tanto en dispositivos móviles (con Opera
Mini) y plataformas de escritorio (Windows, macOS y Linux).
 Actualizar regularmente las extensiones de los navegadores o eliminar
aquellas que no sean de constante uso, puesto que una vez infectado
a través de una extensión, cerrar el navegador no detendrá el ataque.
 Actualizar nuestro navegador, solución antimalware/antivirus y sistema
operativo a la última versión. Si bien estos tres deben ser nuestra
prioridad, no hay que dejar de actualizar el resto de nuestro software,
 ya que como pudimos ver recientemente, los hackers están
utilizando vulnerabilidades en otros programas como Word, para el
cryptojacking.

Como añadido, también podemos hacer uso de Cryptojackingtest para

determinar si nuestro navegador se encuentra protegido contra el software de
minería. Sólo hay que ingresar al sitio, y el mismo nos dirá si estamos o no
vulnerables.

10. Aplicación Desarrollada

Se realizará una simulación de cyberjacking introduciendo una herramienta de

minado en un sitio web utilizando la herramienta CoinHive el cual será
necesario cargar una página web desde un navegador.

Existen diferentes herramientas para introducir códigos de minado dentro de un

sitio. La más conocida es CoinHive, que usa JavaScript, pero también está
Crypto-Loot, JSEcoin, Coin Have, PPoi entre otras.

¿Cómo funciona CoinHive?

Coinhive proporciona a los propietarios y operadores de sitios web un código

JavaScript que pueden insertar en su sitio. Este código utiliza de forma
encubierta la capacidad de procesamiento del ordenador de quien visita el sitio
web para extraer la criptomoneda Monero (XMR).

Este minador de criptomonedas permite una situación de ganar-ganar,

pues Coinhive se queda con una parte de la cantidad extraída y el propietario del
sitio web se queda con el resto. En la mayoría de los casos, los internautas no
se dan cuenta de que el procesador de su dispositivo está siendo usado sin su
conocimiento.

CoinHive ahora ofrece una herramienta llamada AuthedMine . Comienza la

minería solo si un usuario da su consentimiento explícito.
Funcionamiento del aplicativo

Se desarrolla una página el cual cargara el código javascript del Coinhive

11. Conclusiones

La práctica del cryptojacking está bien establecida, nadie puede determinar a

ciencia cierta qué cantidad de criptomonedas se han minado a través de este
método. Los hackers están diversificando las técnicas utilizadas para diseminar
software minero tanto en webs como en sistemas operativos. Es razón por la que
empresas en seguridad informática estiman que estas prácticas aumentarán
considerablemente para este 2018.

Por otro lado, aunque no se determina completamente su ilegalidad, esta

práctica controvertida omite, en la mayoría de los casos, el consentimiento del
usuario para el uso de sus equipos. Incluso grandes empresas en línea están
utilizando el método para generar ingresos alternativos para sus negocios,
aunque estas suelen notificar a sus visitantes que implementarán software
minero; el problema radica en aquellas webs que no lo hacen.
Como en todo lo relacionado a temas de seguridad informática, la educación y
el sentido común son claves para evitar convertirnos en víctimas de estas
prácticas como el cryptojacking.