El cryptojackingtambién conocido como piratería criptográficaes una forma de ataque cibernético insidiosa y cada vez más extendida. Consiste en ciberdelincuentes à explotar en secreto los recursos informáticos (procesador CPU, tarjeta gráfica GPURAM, ancho de banda y, en consecuencia, potencia eléctrica) de las víctimas, sin su consentimiento o conocimientopara generar criptomonedas (como Bitcoin, Monero, Ethereum y otras monedas digitales).
A diferencia de otros ciberataques más directos y visibles, como el ransomwareEl criptojacking se distingue por sigilo. El objetivo de los hackers no es paralizar el sistema de la víctima, sino monetizar discretamente utilizando su potencia de cálculo para minar criptomonedas. Esta actividad ilegal permite a los atacantes generar ingresos potencialmente significativos sin tener que soportar los importantes costes asociados a la minería legítima (compra de hardware especializado, alto consumo de energía, etc.).
📓 Características del criptojacking
- Sigilo y discreción: criptojacking está diseñado para operar en fondoMinimizan los signos visibles de la infección para evitar ser detectados el mayor tiempo posible. Los hackers buscan maximizar la duración de la infección para maximizar sus beneficios.
- Amplia gama de objetivos : ningún sistema conectado está a salvo. Los objetivos potenciales son muy variados e incluyen :
- Particulares : ordenadores personales, teléfonos inteligentes y tabletas.
- Empresas de todos los tamaños: puestos de trabajo de los empleados, servidores de la empresa, infraestructuras informáticas.
- Proveedores de servicios en la nube : servidores en nube, instancias virtuales (debido a la potencia de cálculo concentrada y a menudo poco segura).
- Objetos conectados (IoT) : cámaras de vigilancia, routers, dispositivos de domótica (a menudo olvidados en términos de seguridad).
- Infraestructuras críticas : los sistemas de control industrial, las redes de energía y, potencialmente, los sistemas sanitarios (aunque son objetivos menos frecuentes, el riesgo existe).
- Rentabilidad para los atacantes, bajo riesgo : el criptojacking se percibe como una actividad ciberdelictiva riesgo relativamente bajo para los atacantes, ya que es menos visible que otros tipos de ataque y puede generar ingresos pasivos continuos mientras la infección permanezca sin ser detectada. El coste de lanzar una campaña de cryptojacking también es relativamente bajo.
🦟 Vectores de infección
- Scripts web (Drive-by Mining) : código JavaScript malicioso inyectado en sitios web comprometidosplataformas de publicidad en línea, o directamente en publicidad maliciosa. Cuando un usuario visita el sitio o el anuncio aparece en su navegador, el script se ejecuta y comienza a minar criptomonedas. directamente a través del navegador web de la víctimasin instalar ningún programa. Coinhive es el ejemplo emblemático de esta técnica.
- Malware (software malicioso) : software de cryptojacking más persistente y sofisticado, difundido por métodos tradicionales :
- Phishing y ingeniería social : correos electrónicos fraudulentos que animan a las víctimas a descargar archivos adjuntos infectados o a hacer clic en enlaces maliciosos.
- Archivos adjuntos dañados : documentos trampa, imágenes o archivos ejecutables.
- Aplicaciones pirateadas o comprometidas : software descargado ilegalmente o versiones modificadas de aplicaciones legítimas que contienen un menor oculto.
- Vulnerabilidades software : explotar agujeros de seguridad en sistemas operativos o aplicaciones que no han sido actualizados (servidores sin parches, software obsoleto).
- Entornos en contenedores (Docker/Kubernetes) : configuraciones inseguras de contenedores Docker u orquestadores Kubernetes en entornos de nube. Las imágenes maliciosas en contenedores pueden distribuirse en registros públicos como Docker Hub, o las configuraciones vulnerables pueden permitir la intrusión e instalación de mineros en contenedores.
- Extensiones maliciosas del navegador : extensiones que parecen legítimas, pero contienen un minero de criptomonedas oculto y se activan sin el conocimiento del usuario.
Cómo funciona el criptojacking
Cómo funciona el criptojacking
- Infección :
- Ejecución del script o malware : el script web JavaScript se activa cuando se visita una página comprometida. El malware se ejecuta tras su descarga e instalación (a menudo de forma encubierta). Algunos ejemplos de malware cryptojacking conocido son CoinMiner, PowerGhost, XMRig y Lemon_Duck.
- Explotación de vulnerabilidades : Los atacantes pueden explorar la red en busca de servidores o sistemas con vulnerabilidades conocidas no parcheadas (falta de parches seguridad) os puertos expuestos (servicios no protegidos accesibles desde Internet) para instalar un menor.
- Minería clandestina :
- Uso intensivo de recursos : Una vez instalado, el minero utiliza la potencia de cálculo de la CPU (procesador) y/o GPU (tarjeta gráfica) de la víctima para resolver complejos algoritmos de prueba de trabajo, necesarios para validar transacciones y crear nuevos bloques en la cadena de bloques de la criptomoneda en cuestión.
- Criptomonedas anónimas favorecidas : Las criptodivisas que se minan suelen ser las que ofrecen un mejor anonimato y una trazabilidad más difícil, como Monero (XMR), pero otras como Zcash o Ethereum Classic también pueden ser objetivo.
- Transferencia de beneficios a la cartera del atacante : las criptomonedas generadas se envían automáticamente al monedero digital controlado por el ciberdelincuente.
- Persistencia y huida :
-
- Ocultar procesos : les mineurs tentent de se dissimuler pour ne pas être détectés par l’utilisateur ou les outils de sécurité. Ils peuvent utiliser des techniques de rootkit pour masquer leurs processus en cours d’exécution.
- Desactivación de los dispositivos de seguridad : Algunos programas maliciosos de cryptojacking pueden intentar desactivar o eludir las herramientas de seguridad presentes en el sistema de la víctima (antivirus, etc.), cortafuegosetc.).
- Propagación lateral : En las redes corporativas, los mineros pueden intentar propagarse lateralmente a otras máquinas vulnerables, aumentando así la potencia de cálculo total disponible para los atacantes.
💥 Consecuencias del criptojacking
- Ralentización e inestabilidad del sistema :
- Sobrecalentamiento de los aparatos : El uso intensivo de la CPU/GPU genera un calor excesivo, que puede dañar los componentes a largo plazo y provocar fallos.
- Latencia y lentitud : las aplicaciones y el sistema operativo se vuelven lentos y no responden, lo que dificulta el uso del dispositivo.
- Bloqueos y choques : En casos extremos, el sistema puede volverse inestable y bloquearse.
- Aumento de los costes energéticos :
- Facturas de electricidad más elevadas : El consumo de energía se dispara como consecuencia de la constante actividad minera, lo que repercute significativamente en facturas de electricidadespecialmente en entornos profesionales (centros de datos, empresas).
- Impacto medioambiental : El criptojacking contribuye a aumentar la huella de carbono debido al consumo innecesario de energía.
- Desgaste prematuro del material :
- Reducción de la vida útil de los componentes : El sobrecalentamiento y el uso intensivo de la CPU/GPU aceleran el desgaste de los componentes electrónicos, lo que reduce su vida útil y puede requerir una sustitución más frecuente del hardware.
- Posibles riesgos jurídicos :
-
- Responsabilidad penal indirecta : aunque la víctima haya sido pirateada, la dirección IP de su conexión a Internet puede estar asociada a una actividad ilegal (minería de criptomonedas), lo que podría plantear problemas legales, especialmente en caso de investigación
👉 Ejemplos famosos
- Coinhive (2017-2019): El script Coinhive JavaScript se ha hecho tristemente famoso. Estaba incrustado en sitios web legítimos (a veces sin el conocimiento de sus propietarios) o pirateados. Cuando un visitante abría la página, el script minaba Monero a través de su navegador. Aunque Coinhive se presentaba como una solución alternativa de monetización para sitios web, su uso se generalizó en un contexto de cryptojacking.
- Smominru : a red de bots (red de máquinas zombis) que infectó más de 500.000 máquinas Windows en todo el mundo, principalmente servidores, para minar criptomonedas.
- Ataques a través de Docker Hub : En la plataforma de intercambio de imágenes Docker Hub se publicaron imágenes maliciosas en contenedores que contenían menores de edad, atrapando a desarrolladores y empresas que las utilizaron sin comprobarlo.
- Cryptojacking en servidores Microsoft Exchange : Se han aprovechado las vulnerabilidades de los servidores Microsoft Exchange para instalar mineros en miles de servidores de todo el mundo.
🔎 Detección y protección
| Método de detección/protección | Acciones concretas |
|---|---|
| Control del rendimiento | Compruebe regularmente la utilización de la CPU/GPU a través de la Gestor de tareas (Windows), Monitor de actividad (macOS), o herramientas de línea de comandos como top o htop (Linux/macOS). El uso anormalmente alto y constante de la CPU/GPU en ausencia de actividad normal del usuario debería levantar una bandera roja. |
| Bloqueadores de scripts web | Instalación de extensiones de navegador como NoCoin, MinerBlock, Block Site o AntiMiner. Bloquean la ejecución de scripts de minería web conocidos. Configure los navegadores para bloquear scripts JavaScript por defecto (con cuidado, ya que esto puede afectar al funcionamiento de determinados sitios web legítimos). |
| Soluciones de seguridad avanzadas | Utilizando antivirus y soluciones EDR (Punto final Detección y Respuesta) que incluyen la detección de procesos de minería y comportamientos sospechosos asociados al criptojacking. Soluciones como CrowdStrike, SentinelOne, Bitdefender GravityZone o Kaspersky Endpoint Security pueden ofrecer una protección eficaz. |
| Gestión rigurosa de los parches | Aplicar sistemáticamente las actualizaciones de seguridad (parches) para sistemas operativos, aplicaciones, navegadores web y software de servidor. Mantener un supervisión de vulnerabilidades y corregir rápidamente las vulnerabilidades conocidas. |
| Auditoría y seguridad de la red | Analizar el tráfico de red identificar flujos de datos sospechosos a pozos mineros conocidos. Monitor Puertos TCP utilizados frecuentemente por menores (por ejemplo, 3333, 4444, 3334, 7777, 8080). Configure cortafuegos y detección de intrusos (IDS/IPS). |
| Sensibilización y formación | Formación de los usuarios los riesgos del cryptojacking, los métodos de infección (phishing, sitios web comprometidos) y las buenas prácticas de seguridad (no hacer clic en enlaces sospechosos, mantener el software actualizado, etc.). |
| Seguridad de los entornos en nube | Configurar correctamente los entornos en nube (Docker, Kubernetes, instancias virtuales) aplicando buenas prácticas de seguridad (gestión de accesoseguridad de las imágenes en contenedores, configuración de la red, etc.). |
Tendencias 📈
- Evolución hacia la minería de borde y el IoT : Los ciberdelincuentes recurren cada vez más a la explotación de dispositivos IoT (cámaras de vigilancia conectadas, routers domésticos, objetos inteligentes). Estos dispositivos son a menudo inseguros y numerosos, lo que ofrece un enorme potencial para la potencia de cálculo distribuida, aunque cada dispositivo individual puede no ser muy potente. Es lo que se conoce como Edge Mining.
- Criptojacking como servicio (CaaS) : En la dark web se ofrecen servicios llave en mano para lanzar campañas de cryptojacking, lo que facilita a los ciberdelincuentes menos técnicos el acceso a esta actividad.
- Convergencia con el ransomware y la extorsión : Hay un convergencia de amenazas. Los ataques híbridos combinan codificación (ransomware) y minería forzada (cryptojacking). Los atacantes pueden cifrar datos para pedir un rescate, pero también instalar un minero en paralelo para maximizar sus beneficios. En algunos casos, el cryptojacking se utiliza como método de extorsión: los atacantes amenazan con revelar la infección y causar daños si la víctima no paga.
