¿Has notado que cuando entras a ciertas páginas, tu computadora o celular se vuelve lento? Quizás hayas sido víctima del “cryptojacking”, un código malicioso que secuestra tu equipo para minar la criptomoneda Monero y que se ha encontrado en las sitios web de la SEP, de la UNAM y de la Liga de Ascenso del futbol mexicano.
La generación maliciosa de criptomonedas a través de los dispositivos de quienes visitan un sitio web –práctica conocida como cryptojacking– afectó las páginas de las ligas profesionales de futbol mexicano, a la Secretaría de Educación Pública (SEP) e incluso a la Universidad Nacional Autónoma de México (UNAM).
La página oficial del plantel número 6 de la Escuela Nacional Preparatoria, perteneciente a la UNAM, tenía el código malicioso CoinHive, reportaron usuarios de Reddit el domingo. Esta infección fue confirmada por la institución, quien luego la eliminó y dijo que se había reportado a la Dirección General de Cómputo y de Tecnologías de Información y Comunicación.
El código minero encontrado en la página oficial de la Escuela Nacional Preparatoria número 6.
Troy Mursch, investigador de seguridad, exhibió el fin de semana a través de su cuenta de Twitter que la página oficial de la Liga de Ascenso de México, patrocinada por Bancomer, tenía un código ofuscado que minaba criptomonedas. “Este caso de #cryptojacking parece ser causado por un contenedor AWS S3 [Amazon Web Services] abierto”, escribió.
La página de la Liga Femenil, también minaba criptomonedas, de acuerdo con urlscan.io.
ACTUALIZACIÓN: La página de la Liga de Ascenso del futbol y la de la Liga Femenil ya no tienen el código malicioso, como puede observarse en este link, validado por Troy Mursch.
#Coinhive found on the website of Mexican professional football league @AscensoMX.
This case of #cryptojacking appears to be caused by an open AWS S3 bucket as the malicious script is injected via http://s3.amazonaws[.]com/lmxwebsite/js/toastr.js pic.twitter.com/Gu7L2xAkRk
— Bad Packets Report (@bad_packets) 25 de febrero de 2018
Minar criptomonedas con esta técnica es relativamente sencillo: alguien que tenga conocimientos de programación y acceso al código de una página en internet, idealmente con un importante tráfico, inserta el script para hacer criptodivisas, y así deja el costo de operación en manos de los visitantes: energía, luz y equipos.
En los casos expuestos este fin, las criptomonedas son generadas al resolver un problema matemático complejo con un código que utiliza el lenguaje de programación Javascript, compatible por la mayoría de los navegadores.
Al ingresar a una página con este tipo de código los visitantes “notarán que su computadora funciona con mucha lentitud y ruidos fuertes mientras que los ventiladores funcionan a gran velocidad. Los dispositivos móviles también se pondrán muy calientes mientras la batería se agota rápidamente”, explicó Troy Mursch a Newsweek Español.
LEE TAMBIÉN: Las empresas mexicanas, el jugoso objetivo de los secuestradores de datos
Por su parte, Michal Salát, director de inteligencia de amenazas de la firma de ciberseguridad Avast, comentó que los equipos especializados para explotar a modo de una granja legal y rápidamente las criptomonedas como Bitcoin “requieren de una gran inversión financiera tanto para la infraestructura como para la electricidad”, por lo que con el “cryptojacking” tratan de eludir estos costos.
Las criptomonedas son divisas virtuales generadas por transacciones codificadas y autentificadas llamadas “blockchain”. Su auge comenzó gracias al Bitcoin, nacido en 2009, que tiene un valor de 10,786 dólares por unidad –aunque alcanzó más de 19,000 dólares–. A diferencia de las monedas físicas como el euro o el dólar, las criptomonedas son anónimas no están controladas por un gobierno o banco central.
Cryptojacking, una amenaza internacional
El investigador británico Scott Helme expuso hace dos semanas que 4,000 sitios web, incluidos los de la agencia británica de protección de datos y privacidad y el del sistema de tribunales federales de Estados Unidos, fueron infectados por hackers que minan criptomonedas a través de un plug-in.
The more I think about this the worse it becomes. Attackers had arbitrary script injection on thousands of sites including many NHS websites here in England. Just stop and think for a few moments about what exactly they could have done with that capability… ?
— Scott Helme (@Scott_Helme) 11 de febrero de 2018
“Si quieres cargar un minador de criptomonedas en 1,000 sitios web, no atacas 1,000 sitios web, atacas el sitio web 1 desde el que todas cargan el contenido”, escribió Helme en su blog.
El creador del plug-in, la firma británica de software TextHelp, dijo que sacó de línea el software afectado luego de que descubriera el “intento de generar criptomonedas de manera ilegal”. “Esto fue un delito y actualmente se está llevando a cabo una investigación exhaustiva”, añadió en un comunicado.
El cryptojacking a través de CoinHive, Cryptoloot y otras ocho herramientas similares afectó al 55% de las organizaciones a nivel mundial en diciembre del 2017, según información de la empresa Check Point. Por su parte, la firma ciberseguridad ESET ubica a la minería a través de un Javascript como la amenaza número uno a nivel mundial.
Sitios en México fueron objetivos desde enero
En enero, los internautas mexicanos Bibiana Ivette López y Luis Carlos Cárdenas identificaron que la página del Registro Nacional de Profesionistas de la Secretaría de Educación Pública (SEP) (www.cedulaprofesional.sep.gob.mx), que administra la información de las cédulas profesionales de los mexicanos, tenía CoinHive en su código, mismo que fue eliminado una vez que se hizo pública la información.
Mira @edb_o esto es lo que decía que están minando COINS en la página de la SEP de cédulas pic.twitter.com/w39e0iTZTu
— Ivette Lupo (@bild12) 15 de enero de 2018
Otros usuarios indicaron en Reddit que las páginas del Municipio de Chalco y de la Secretaría de Medio Ambiente del Estado de México también habían injertado el script.
La SEP confirmó en un comunicado la existencia del minero y dijo que las las divisas se dirigían a un “servidor central desconocido”. Mencionó que se realizó el bloqueo del portal y que se solicitó la intervención de la División de la Policía Científica, de la Policía Federal. La dependencia no accedió a dar más detalles del caso.
Situaciones de cryptojacking como esta, coinciden los especialistas, suceden cuando alguien dentro de la organización añade el código para generar recursos sin avisar a la compañía o cuando algún ciberdelincuente logra traspasar la seguridad de los sitios e inyecta el programa minero.
“En los dos escenarios el gobierno queda mal”, dijo Tomás Álvarez, especialista en criptomonedas y fundador de Mifiel. Para él, este caso pudo involucrar a personal de la institución, algún proveedor del gobierno, un programador omiso o un atacante externo.
Protegerse contra la minería
Dado el florecimiento del cryptojacking, han surgido formas paralelas a los antivirus para evitar el secuestro del procesamiento.
Bloquear todos los complementos Javascript, señalan expertos, puede ser útil. AdBlock, una extensión para navegadores diseñada para bloquear publicidad invasiva, avisa los usuarios de las páginas que intentan minar y ofrece la opción de deshabilitar por completo a CoinHive.
Además, los complementos dedicados al bloqueo de mineros como No Coin o minerBlock actualizan constantemente el listado de amenazas. Opera cuenta con una opción para proteger la navegación de computadoras y dispositivos móviles.
“Sin embargo, ningún método es 100% efectivo en el bloqueo de todos los malware cryptojacking porque aparecen nuevos durante la noche”, comenta el investigador Mursch.
