Para entender las razones por las que los ciberdelincuentes están orientando la mayoría de sus ataques a la práctica de infectar sitios web con minadores de criptomonedas (Monero principalmente) y entender el riesgo de seguridad, es necesario tener claro qué es un minador y cuál es el beneficio que les entrega.

¿Qué es un minador o minero?

El concepto de minero nace tras la implementación del paper de Bitcoin que escribió Satochi Nakamoto, donde se establece que los nodos deben tener una recompensa por realizar las pruebas de trabajo, que garantizan que las transacciones de la criptomoneda no se registren varias veces en la cadena de bloques o blockchain.

En la práctica, cada nodo en la red crea un bloque donde se registran las transacciones del sistema. Una vez se cumplen las características que exige el sistema en cuanto al bloque, se inicia una disputa matemática para determinar cuál nodo registra su bloque en la cadena de bloques, la cual será distribuida a toda la red.

Debido a que la conexión de los nodos para realizar este trabajo es voluntaria, Satochi establece que, para garantizar la honestidad de los nodos, es necesario compensarlos económicamente, por poner a disposición del sistema la CPU (Unidad Central de Procesamiento) o la GPU (Unidad de Procesamiento Gráfico), para realizar esa disputa matemática.

Es así que cada nodo de la red distribuida, que al proponer su bloque como candidato para la disputa matemática, se denomina minero. Por una asociación de la extracción de oro en la que se soportaba la economía tradicional, donde a los que extraían el oro de las minas se les daba una recompensa por su trabajo al mejorar la reserva del país o de las empresas mineras.

Pero, ¿cuál es el riesgo?

Los ciberdelincuentes buscan monetizar las acciones delictivas de la manera más rápida posible, por lo que la minería de criptomonedas es un mecanismo idóneo para este objetivo. Desde el año 2009 con el lanzamiento del Bitcoin, se han desarrollado varias técnicas delictivas para conectar equipos a la red distribuida, sin autorización de los propietarios y tener mayor capacidad de procesamiento para ganar los desafíos matemáticos y cobrar las recompensas al sistema.

Hacia el año 2013, nace la criptomoneda, denominada Monero, la cual abrió la posibilidad de minar utilizando la capacidad de procesamiento de los computadores. Esto rápidamente fue aprovechado por los entusiastas para crear programas que toman secciones de la CPU para ejecutar los cálculos matemáticos a través de su uso.

Minadores de Criptomonedas, Riesgo de seguridad

Los programas desarrollados principalmente en JavaScript, son los usados para que la CPU realice procesos sin la intervención directa del usuario en la ejecución de una acción. En contraparte se integran estos programas a los sitios web, convirtiendo cada visita a la página en una CPU disponible para minar a favor del administrador del sitio o de la empresa.

Dicha capacidad es la que los delincuentes aprovechan para implementar técnicas antiguas que buscan insertar estos programas en sitios web, sin autorización del dueño de la página y haciendo que cada visita sea un procesador disponible para monetizar su delito directamente. Sin duda, la característica de poder monetizar directamente el ataque es un atractivo que lo hace el mecanismo de ataque con mayor crecimiento de los últimos meses.

Los incidentes más sonados de este ataque se generan tras el robo de Coinhive, que es un desarrollo que permite de forma simple crear plugins (aplicación que se relaciona con otra para agregarle una función nueva y generalmente muy específica) para los sitios web y minar Monero, donde fueron usados miles de sitio web hechos con WordPress como minadores usando un desarrollo oficial de este manejador de sitios web. https://wordpress.org/plugins/wp-monero-miner-using-coin-hive/

Google también se ha visto afectada con este tipo de ataques, donde sus servicios de Double Click y YouTube han sido usados para minar Monero, aprovechando los anuncios publicitarios que se integran en estos servicios y que son hechos por terceros utilizando JavaScript.