Desde inicios del año pasado, Internet ha estado plagada de múltiples denuncias de mineros web descubiertos minando criptomonedas en los dispositivos de los usuarios sin su consentimiento. Sin embargo, para muchos aún no queda claro cómo funcionan estos tan nombrados mineros y cuál es la polémica detrás de su uso.
¿Qué es un minero web y qué no lo es?
Un minero web (webminer) es un código que se ejecuta en un sitio de Internet específico y aprovecha el poder de procesamiento del equipo de los usuarios que lo visitan para minar criptomonedas. Esto lo hace utilizando el lenguaje JavaScript en aquellos navegadores que lo tienen activado de manera predeterminada; característica que resulta común en la mayoría de los exploradores que se utilizan en la actualidad.
Es importante que no se confunda un minero web con la minería de criptomonedas en la nube (Cloud Mining), un servicio que ofrecen compañías o mineros con alto poder de procesamiento para alquilarlo a usuarios que pagan un contrato y obtienen una ganancia determinada por su afiliación. La diferencia entre un minero web y un servicio de minería en la nube radica en que el primero no provee de ganancias al usuario que visita la página web que lo posee y generalmente el usuario no se entera de que hay un minero alojado en su navegador. El funcionamiento de ambas modalidades para minar es completamente distinto.
Otro mecanismo de minería de criptomonedas que debe ser diferenciado de los mineros web es la utilidad de código abierto XMRig que, según un estudio reciente, ha afectado a unos 15 millones de personas en todo el mundo. Este es un software malicioso que se instala en un equipo y mina siempre que el afectado tenga acceso a Internet. Sin embargo, las medidas de seguridad desarrolladas en todo el mundo hacen que la infección de los equipos sea ínfima, en comparación con la cantidad de visitas que puede conseguir un sitio web.
Por esta razón, los mineros web están tomando una alta popularidad. Hasta ahora, uno de los servicios más populares de minería web es el de CoinHive, que ha estado en las noticias en múltiples ocasiones, siendo encontrado en páginas tan populares como Movistar España, donde se descubrió minando criptomonedas en el mes de diciembre. CoinHive es una secuencia de comandos que se instala -la mayor parte del tiempo- a voluntad de un cliente dueño de un sitio web y se encarga de minar la criptomoneda Monero en el equipo (ya sea en teléfonos, tablets, laptops o PC). Coinhive también cuenta con un servicio de resolución de Captcha y acortamiento de anuncios.
La polémica en torno al uso de CoinHive comenzó en el mes de septiembre del 2017, cuando el sitio de intercambio de archivos The Pirate Bay decidió incorporar el código a su página web para usar el poder de procesamiento de los visitantes sin previo aviso. Otros mineros web son Minr y Crypto-Loot.
Hay que mencionar que la minería de criptomonedas se realiza mediante la resolución de problemas matemáticos muy complejos. Criptomonedas como bitcoin tienen problemas muy difíciles, por lo que requieren de software especializado y capacidad de procesamiento muy alta. Por esta razón, los mineros como XMRig y CoinHive eligen aquellas criptomonedas cuya dificultad permite ser resuelta con equipos de características estandarizadas. En este sentido, la elección más común para la minería web es Monero y su algoritmo CryptoNight.
Pero la minería de criptomonedas desde un dispositivo ajeno no es algo, en realidad, tan nuevo. En el año 2013 un grupo de estudiantes del MIT recibió una citación judicial de la Fiscalía de Nueva Jersey. Fueron citados por desarrollar un código de minería de bitcoin para páginas web llamado Tidbit, que utilizaba el poder de procesamiento de los visitantes.
¿Por qué se habla de cryptojacking (cripto-secuestro) y no de “minero alojado”?
El principal inconveniente que se presenta a la hora de hablar de CoinHive radica en el consentimiento. En la página principal del servicio puede leerse cómo este es una alternativa a la publicidad, al monetizar los sitios web sin necesidad de mostrar anuncios. Sin embargo, algunos clientes de CoinHive han hecho caso omiso a la recomendación que hacen los proveedores del servicio y han instalado el minero en sus páginas sin que el usuario lo sepa, lo que constituye una violación a la privacidad de cada uno. De igual manera, algunas páginas han reportado que no estaban al tanto de que estaban siendo utilizadas para minar, por lo que la distribución de una parte de los mineros web podría estar en manos de hackers, como el que en el mes de octubre violó la seguridad del mismo sitio web de CoinHive y puso a los mineros web a trabajar para él.
Se ha reportado también que la ejecución del código minero en un sitio web puede ser derivada de anuncios publicitarios de terceros. Un estudio reciente ha demostrado que una de las principales maneras en que los mineros web son distribuidos es mediante malvertising, un método en el que el script malicioso permanece oculto en anuncios publicitarios de terceros hasta que un usuario con software vulnerable visita una página infectada.
Los principales objetivos para estas prácticas son plataformas de juegos y de vídeo, donde los usuarios permanecen mucho más tiempo navegando. De hecho, algunos mineros han sido detectados en anuncios publicitarios en páginas web que no estaban enteradas de poseerlos, como YouTube en el mes de enero. Otra investigación, esta vez de Network Security Research Lab, arrojó que al menos 629 sitios web pornográficos tenían un minero alojado.
Generalmente se utiliza la expresión “Cryptojacking” para referirse al minado de criptomonedas, ya que el significado despectivo de esta palabra derivada del idioma inglés hace referencia al acto de tomar posesión de un equipo sin el consentimiento de un usuario. Tan solo en el mes de septiembre, Kaspersky Labs reportó que más de 1.6 millones de dispositivos estaban infectados con códigos mineros.
Dependiendo del dispositivo donde se aloje, el minero de criptomonedas puede dañar el dispositivo, aunque algunas veces los usuarios no se percatan de que el minero se está ejecutando. En aquellos dispositivos en los cuales el minero es más invasivo se ha registrado que puede utilizar, como mínimo, un 50% del poder total de procesamiento de una máquina, por lo que uno de los primeros síntomas de que hay un minero alojado es que el equipo comienza a bajar su rendimiento, incluso si no hay muchos programas en ejecución.
En una entrevista para CriptoNoticias, el investigador de seguridad informática y creador de Bad Packets Report, Troy Mursch, explicó que “un minero web no regulado puede usar todo el CPU disponible (el 100% total). Esto es definitivamente notorio y perturbador para los usuarios de laptops y computadoras de escritorio. Los usuarios de equipos móviles notarán que sus dispositivos se calientan y su batería se consume rápidamente cuando el criptosecuestro está ocurriendo”.
En los dispositivos móviles, el consumo de energía y calentamiento podría afectar verdaderamente el equipo, llegando incluso a quemar componentes internos importantes y dejarlo por completo inservible.
¿Cómo puedo proteger mi dispositivo?
Es posible que se piense que con tan sólo cerrar el explorador web puede acabar con el secuestro del equipo. No obstante, es preciso señalar que en el mes de diciembre fue descubierto un minero que podía seguir ejecutándose aún con el navegador cerrado, por medio de una ventana oculta en el escritorio justo debajo de la barra de tareas.
Afortunadamente, hay múltiples formas de evitar que nuestros equipos sean utilizados con estos fines. En primer lugar, es muy importante mantener todos los navegadores actualizados, ya que algunos, como Opera, han integrado extensiones que bloquean la presencia de los mineros web en los equipos, incluyendo los dispositivos móviles.
Los antivirus que integran herramientas anti-malware y anti-spyware son muy útiles en el reforzamiento de la seguridad del equipo y algunos de ellos se consiguen de manera gratuita. Con la popularización de los mineros web, surgieron múltiples extensiones de navegador que detectan y bloquean la utilización de los mineros: una de las más populares es conocida como No Coin. También puedes utilizar bloqueadores de anuncios como AdBlock, que evitan la reproducción del malvertising.
Puedes optar, de igual forma, por utilizar la exploración manual de los sitios para ver si se encuentran minando criptomonedas o no, con la utilidad “¿quién está minando?”, donde podrás ingresar manualmente la dirección de un sitio web específico para saber si tiene un código de minería incrustado. Si no deseas hacerlo manualmente, también cuentas con un test que te permite saber si una de las páginas que estás visitando tiene algún minero web activado.
¿Puede esta tecnología ser aprovechada por todos?
Como hemos mencionado, el principal inconveniente que subyace tras la utilización de los mineros web es que los dispositivos no deberían ser utilizados para obtener ganancias sin que su propietario lo sepa. Ante la proliferación de denuncias, CoinHive anunció que desarrollaría un minero que primero solicitaría el consentimiento del usuario antes de comenzar a minar, llamado AuthedMine.
En este sentido, los mineros web podrían ser una muy buena alternativa a los anuncios publicitarios, que pueden infectar los equipos con software malicioso que, entre otras cosas, podría robar la información de los usuarios en una práctica que subasta los datos de navegación, así como la información personal y de seguridad de las víctimas en tiempo real.
Se ha demostrado, asimismo, que los mineros web también pueden servir para causas benéficas, ya que el año pasado fue lanzada una iniciativa que permitía destinar las ganancias obtenidas con los mineros web para cambiarlos a la moneda local y con ello liberar esclavos modernos en Pakistán. Por la misma época fue anunciado un programa que permitía emplear el poder de procesamiento de los usuarios para pagar las fianzas de personas que cometían delitos menores y no poseían los recursos necesarios para salir de la cárcel. En este sentido, no podría afirmarse que los mineros web son absolutamente malos, ya que pueden ser empleados para fines nobles o prácticos, siempre y cuando el usuario sea notificado previamente.