“No hay que tomarse los mineros web a la ligera” asegura Troy Mursch, investigador de ciberseguridad
Los mineros web cada vez se vuelven más populares. Muchas páginas los usan, incluyendo sitios de gran reputación como The Pirate Bay o Showtime.
Debido a la proliferación de este tipo de mineros y al problema que ha representado su uso, en CriptoNoticias entrevistamos a Troy Mursch, un investigador de seguridad informática que ha trabajado en distintas instituciones, incluyendo la Universidad de Nevada.
Actualmente se ocupa de su propio sitio web, llamado Bad Packets Report, en el que se encarga de investigar y denunciar mineros web y redes de bots tipo Mirai (malware que infecta equipos de Internet de las Cosas y es usado para realizar ataques de DDoS).
A través de este portal Mursch se ha dedicado a denunciar lo que ha llamado criptosecuestro, es decir, el uso de mineros web sin permiso de los usuarios e incluso en algunos casos sin permiso de la página huesped.
Pero aclaremos un poco estos términos. Primero, un minero web es un código que se inserta en las páginas web y utiliza el poder de procesamiento del CPU del usuario que visita la página para ejecutar la minería de criptomonedas, específicamente Monero.
Este fenómeno saltó a la luz pública hace un par de meses cuando el buscador de torrents The Pirate Bay ejecutó Coinhive, el primer instrumento de este tipo. Sin embargo, después de esto han surgido otros mineros y han sido usados en muchas más páginas.
Uno de estos nuevos mineros es Minr, que fue descubierto hace apenas unos días por Mursch. La característica más resaltante de éste es que presenta una opción de “Ofuscación”, que disfraza el código para que sea más difícil detectarlo. En el caso de Coinhive, cualquier persona con pocos conocimientos informáticos podía abrir la sección de herramientas en cualquier página web y teclear ‘Coinhive’ en el buscador para saber si dicho sitio estaba corriendo el minero.
Aunque a primera vista parece un instrumento completamente negativo, preguntamos a Mursch si consideraba que los mineros web eran inherentemente malos: “No. Sin embargo, la pobre implementación de Coinhive y el abuso rampante no ayudó a establecer los mineros web como algo benéfico”, aseguró.
Ciertamente, si un minero web es bien usado podría implementarse como un nuevo modelo de negocios que desplace el sistema de publicidad actual. Al ser preguntado sobre esto, nos dijo lo siguiente:
Seguro, puedo ver algún potencial. Si los usuarios son notificados y entienden lo que está pasando puede ser como cualquier otro método de monetización. Podría incluso ser usado para caridad (donaciones) u otras “buenas” causas.
Troy MurschLos mineros web utilizan el poder de procesamiento del equipo. ¿Esto no ocasionará algún daño, ralentizando o calentando nuestro dispositivo? ¿Cómo nos damos cuenta de que el sitio que visitamos está corriendo un minero web? Mursh aseguró que es muy difícil no percibir los cambios que ocurren en un dispositivo cuando ha sido secuestrado.
Un minero web no regulado puede usar todo el CPU disponible (el 100% total). Esto es definitivamente notorio y perturbador para los usuarios de laptops y computadoras de escritorio. Los usuarios de equipos móviles notarán que sus dispositivos se calientan y su batería se consume rápidamente cuando el criptosecuestro está ocurriendo.
Troy MurschCriptosecuestro, como dijimos, es el uso de estos mineros sin notificar al usuario ni a la página en algunos casos. Debido a que han sido usados de forma negativa y se consideran malwares, los navegadores deberían buscar formas de bloquear estos mineros. Le preguntamos qué tan comprometidos están los principales navegadores del mercado en la prevención del uso no notificado de webminers de acuerdo a su experiencia.
Actualmente la mayoría de los navegadores web no detienen el criptosecuestro en lo absoluto, incluyendo Chrome, Firefox o Microsoft Edge/IE. Aún no he visto ningún compromiso por parte de los desarrolladores de Chrome o Mozilla para lanzamientos futuros. El problema ha sido presentado a los desarrolladores de Google y han habido algunas discusiones sobre cómo detenerlo. Link: https://bugs.chromium.org/p/chromium/issues/detail?id=766068. Desarrolladores de extensiones para los navegadores y compañías audovisuales han llenado el vacío y ofrecido protección contra el criptosecuestro.
Troy MurschTambién le preguntamos por Brave, un navegador que está orientado al bloqueo de publicidad y malwares, pero nos dijo que tampoco era efectivo contra Minr.
Minero web ejecutándose en el navegador Brave.
Como dijimos antes, el criptosecuestro ocupa un tema central en las investigaciones de Mursch. Al preguntarle por qué se enfocaba tanto en los mineros web por encima de otros temas de ciberseguridad nos dijo:
Mi interés comenzó después del incidente del criptosecuestro de Showtime y posteriormente Politifact y otros sitios ampliamente conocidos. No lo considero un tema central sobre otros problemas de ciberseguridad, sin embargo no es un tópico que hay que tomarse a la ligera. El malware Coinhive se ha extendido a través de miles de páginas, ampliamente a través de campañas de criptosecuestro (múltiples sitios enlazados a la cuenta de un usuario [hacker]). Las secuencias de comando de criptosecuestro han proliferado a través de exploits y páginas web poco seguras de la misma forma que cualquier otro malware.
Troy MurschMencionamos que estos mineros usan Monero, lo cual es entendible por las ventajas de privacidad que presentan frente a otras criptomonedas. De cualquier forma, es curioso que no usen otras como Zcash, que también oculta el historial de las direcciones. Sobre esto, Mursch nos dijo que asume que “por la privacidad”, pero que “realmente no ha investigado cuál es la ‘más privada’ o ‘la mejor’”.
Pero aquí surge otra pregunta un poco más personal, ¿qué opina Mursch de Monero? ¿Le parece que la privacidad es un buen atributo o una oportunidad de realizar negocios ilícitos? En su opinión, Monero “es una gran alternativa a bitcoin si no quieres que nadie sepa cómo la usas”, pero le parece que la privacidad “es una espada de doble filo”.
En cuanto a la minería, quisimos saber si a través de esta herramienta se realizaba individualmente o si los mineros web estaban conectados a un pool: “La implementación por defecto de Coinhive usa su pool y toma una comisión del 30%. Un “CoinHive Stratum Mining Proxy” (que usa CoinHive.js) ha sido publicado en GitHub si quieres sacarlos y realizar tu propia implementación”, comentó el investigador. Para ingresar a esta publicación, hay que dirigirse a la siguiente dirección https://github.com/x25/coinhive-stratum-mining-proxy).
Por último, le preguntamos cómo reaccionaría si un sitio que visitara frecuentemente comenzara a usar mineros web y se lo dijeran o lo notara. ¿Dejaría de usar el sitio?
“No, simplemente bloquearía el minado. Si llegara al punto, como vemos con los anti-adblocking [complementos que evitan el bloqueo de publicidad], donde me veo forzado a aceptarlo — entonces quizá no lo volvería a visitar.”
Troy MurschRecientemente también entrevistamos al desarrollador de Minr, quien nos suministró el enlace a su pool, que ofrece una comisión menor a Coinhive.
