Los servicios de streaming de series, pelĂculas y contenido original han surgido con el internet y rápidamente han desplazado a la televisiĂłn, o al menos su uso convencional. Entre las cosas que más le agradan a los usuarios es la ausencia de pausas o molesta publicidad mientras están viendo su producciĂłn favorita. La industria ha crecido enormemente y ya protagonizan las entregas de premios de la industria, asĂ como tambiĂ©n tienen un fuerte flanco de aplicaciones mĂłviles e instalables en todo tipo de dispositivos.
Por tal razĂłn, es un sector industrial fuertemente asediado por los hackers, no solamente para piratear sus contenidos, sino para aprovecharse de la enorme masa de usuarios, su informaciĂłn y equipos.
A uno de estos grandes canales de televisiĂłn por suscripciĂłn de Estados Unidos, Showtime, perteneciente a la cadena CBS, se le detectĂł la inclusiĂłn de un cĂłdigo malicioso muy inusual. El JavaScript detectado durante este fin de semana forzaba a los navegadores web de los equipos a minar criptomonedas.
Los navegadores de internet nativos de cada dispositivo eran obligados por los portales Showtime.com y su filial ShowtimeAnytime.com a calcular algoritmos de minado de Monero, una criptomoneda conocida por enfocarse en la privacidad absoluta de las transacciones y que al momento posee un valor cercano a los $95.
Los portales tenĂan instalados un marco de trabajo conocido como Coinhive, un plug-in añadible a plataformas como WordPress que le permite a los dueños de la página web obtener algo de dinero de cada visitante sin tener que colocar publicidad en su sitio, por medio de la novedosa minerĂa de Monero por medio de JavaScript. Los usuarios prestarĂan cerca de 60% de capacidad de procesamiento mientras visitasen el sitio, para asĂ realizar los cálculos concernientes a esta labor de validaciĂłn de transacciones de la blockchain de Monero.
La tesis manejada hasta ahora no se basa en que CBS habrĂa añadido el cĂłdigo por sĂ misma pues ya sus servicios de streaming son cobrados adecuadamente a sus clientes; sino que probablemente un pirata cibernĂ©tico logrĂł insertar el cĂłdigo durante corto tiempo para asĂ obtener alguna ganancia. El cĂłdigo JavaScript apareciĂł a principios del fin de semana entre unas inserciones HTML de la compañĂa de analĂticas web New Relic y desapareciĂł para el dĂa lunes. Tampoco resulta probable que esta empresa hubiera insertado el cĂłdigo intencionadamente.
Un internauta conocido como «El Reg» fue el encargado de tomar una captura de pantalla donde puede apreciarse el código insertado antes que fuera eliminado.
Mientras que Showtime se abstuvo de dar comentarios, New Relic afirmĂł que no tenĂa nada que ver con el cĂłdigo de minerĂa en cuestiĂłn:
Nos tomamos la seguridad de nuestro navegador bien en serio y tenemos mĂşltiples controles para detectar modificaciones maliciosas o no autorizadas en su cĂłdigo a lo largo de diferentes puntos de desarrollo y ejecuciĂłn. Revisando nuestros productos y cĂłdigos, los comentarios HTML mostrados en la captura de pantalla referente a New Relic no han sido insertados por agentes de nuestra compañĂas. Pareciera haber sido añadido en el sitio web por sus desarrolladores.
Andrew Schmitt,
Representante de medios
Coinhive tampoco se responsabilizĂł por lo sucedido y alegĂł resguardo de la privacidad del usuario acerca del propĂłsito que este le pudiera estar dando al cĂłdigo descubierto. Sin embargo, sĂ pudieron asegurar que la cuenta de email utilizada no pertenecĂa de manera oficial a CBS. A su vez, se confirma el propĂłsito de CoinHive, una compañĂa que sĂ se encuentra prestando este servicio de minerĂa de Monero vĂa sitios web.
Coinhive, minerĂa a cambio de eliminar publicidad
SegĂşn describe Coinhive sus servicios, su tarea consiste precisamente en minar Monero con poder del usuario:
Coinhive ofrece un minero JavaScript para la blockchain de Monero que se puede insertar en el sitio web. Tus usuarios correrán un minero desde su navegador directamente y minarán XMR para ti a cambio de tener una experiencia libre de publicidad, o cualquier incentivo que desees ofrecer.
Andrew Schmitt,
Representante de medios
En la secciĂłn que responde por quĂ© Monero es la criptomoneda elegida, se asegura que «Para minar Monero, debemos calcular hashes con un algoritmo llamado Cryptonight. Este algoritmo es pesado computacionalmente y sobre todo lento, pero fue diseñado para ejecutarse correctamente en un CPU», para agregar que mientras con un procesador Intel i7, que es uno de los más potentes del mercado. se puede minar 90 hashes/s, con un minero nativo se pueden minar 140 h/s, por lo que la brecha no es tan alta. En una prueba realizada por un especialista este asegurĂł que luego de minarse 1000 sesiones durante 24 horas se podrĂan generar 0.70 dĂłlares o 0.01157 XMR.
CoinHive estuvo en el centro de atenciĂłn durante la semana pasada pues la página de torrents The Pirate Bay informĂł haber empleado este cĂłdigo JavaScript de minerĂa para hacer pruebas de rentabilidad que le permitieran eliminar la publicidad de su sitio. Luego de quejas debido al empleo excesivo de CPU, el sitio asegurĂł que harĂan más liviano el algoritmo para reducir el consumo de procesamiento, para despuĂ©s anunciar que descartarĂan la medida.
El programa permite además minar a través de acortadores de URL y mecanismos de CAPTCHA, pero la ventaja de la herramienta se basa en que utilizan poder de procesamiento y electricidad de sus usuarios , lo que sin duda ha causado altercados entre los visitantes de los sitios web. Pero no todos los costos los corre el usuario, ya que a cambio se elimina la publicidad que entorpece la lectura de un sitio y vulnera la privacidad del usuario.
AĂşn asĂ, CoinHive se ve en la necesidad de mejorar sus mecanismos de autorizaciĂłn y permisologĂa y no tender a ser una herramienta en beneficio de hackers, dado que su potencial como servicio podrĂa ser bastante alto y atractivo para nuevos mercados de internet.
Y al parecer la web del equipo Barcelona tambiĂ©n estuvo minando Monero por algunos dĂas con este tipo de cĂłdigo.
5
3.5
Caray todos minando a mis espaldas y yo sin saber.