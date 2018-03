¿Has notado que cuando entras a ciertas páginas, tu computadora o celular se vuelve lento? Quizás hayas sido víctima del “cryptojacking”, un código malicioso que secuestra tu equipo para minar la criptomoneda Monero y que se ha encontrado en las sitios web de la SEP, de la UNAM y de la Liga de Ascenso del futbol mexicano.

La generación maliciosa de criptomonedas a través de los dispositivos de quienes visitan un sitio web –práctica conocida como cryptojacking– afectó las páginas de las ligas profesionales de futbol mexicano, a la Secretaría de Educación Pública (SEP) e incluso a la Universidad Nacional Autónoma de México (UNAM).

La página oficial del plantel número 6 de la Escuela Nacional Preparatoria, perteneciente a la UNAM, tenía el código malicioso CoinHive, reportaron usuarios de Reddit el domingo. Esta infección fue confirmada por la institución, quien luego la eliminó y dijo que se había reportado a la Dirección General de Cómputo y de Tecnologías de Información y Comunicación.

Troy Mursch, investigador de seguridad, exhibió el fin de semana a través de su cuenta de Twitter que la página oficial de la Liga de Ascenso de México, patrocinada por Bancomer, tenía un código ofuscado que minaba criptomonedas. “Este caso de #cryptojacking parece ser causado por un contenedor AWS S3 [Amazon Web Services] abierto”, escribió.

La página de la Liga Femenil, también minaba criptomonedas, de acuerdo con urlscan.io.

ACTUALIZACIÓN: La página de la Liga de Ascenso del futbol y la de la Liga Femenil ya no tienen el código malicioso, como puede observarse en este link, validado por Troy Mursch.

This case of #cryptojacking appears to be caused by an open AWS S3 bucket as the malicious script is injected via http://s3.amazonaws[.]com/lmxwebsite/js/toastr.js pic.twitter.com/Gu7L2xAkRk

Minar criptomonedas con esta técnica es relativamente sencillo: alguien que tenga conocimientos de programación y acceso al código de una página en internet, idealmente con un importante tráfico, inserta el script para hacer criptodivisas, y así deja el costo de operación en manos de los visitantes: energía, luz y equipos.

En los casos expuestos este fin, las criptomonedas son generadas al resolver un problema matemático complejo con un código que utiliza el lenguaje de programación Javascript, compatible por la mayoría de los navegadores.

Al ingresar a una página con este tipo de código los visitantes “notarán que su computadora funciona con mucha lentitud y ruidos fuertes mientras que los ventiladores funcionan a gran velocidad. Los dispositivos móviles también se pondrán muy calientes mientras la batería se agota rápidamente”, explicó Troy Mursch a Newsweek Español.

LEE TAMBIÉN: Las empresas mexicanas, el jugoso objetivo de los secuestradores de datos

Por su parte, Michal Salát, director de inteligencia de amenazas de la firma de ciberseguridad Avast, comentó que los equipos especializados para explotar a modo de una granja legal y rápidamente las criptomonedas como Bitcoin “requieren de una gran inversión financiera tanto para la infraestructura como para la electricidad”, por lo que con el “cryptojacking” tratan de eludir estos costos.

Las criptomonedas son divisas virtuales generadas por transacciones codificadas y autentificadas llamadas “blockchain”. Su auge comenzó gracias al Bitcoin, nacido en 2009, que tiene un valor de 10,786 dólares por unidad –aunque alcanzó más de 19,000 dólares–. A diferencia de las monedas físicas como el euro o el dólar, las criptomonedas son anónimas no están controladas por un gobierno o banco central.

El investigador británico Scott Helme expuso hace dos semanas que 4,000 sitios web, incluidos los de la agencia británica de protección de datos y privacidad y el del sistema de tribunales federales de Estados Unidos, fueron infectados por hackers que minan criptomonedas a través de un plug-in.

The more I think about this the worse it becomes. Attackers had arbitrary script injection on thousands of sites including many NHS websites here in England. Just stop and think for a few moments about what exactly they could have done with that capability… 😱

— Scott Helme (@Scott_Helme) 11 de febrero de 2018