viernes, 17 agosto 2018
ZONA PREMIUM
Opinión

¿Qué es el ‘cryptojacking’ y por qué debe preocuparse la empresa española?

14 de junio de 2018. 09:12h Iván Mateos Pascual

Las malas artes del engaño nos llevan acompañando, por desgracia, desde la misma aparición del comercio en nuestra sociedad. Tretas llevadas a cabo por timadores, ladrones e individuos cuyas técnicas para conseguir lucrarse a costa de los demás no han dejado de evolucionar. Y en este caso, Internet tampoco se libra de todo ello.

Revisando brevemente las metodologías más conocidas, rápidamente podemos observar prácticas como la publicidad engañosa (spam), la suplantación y el robo de identidades (phishing) e incluso el secuestro de datos (ransomware), como formas de conseguir ingresos ilícitamente aprovechando la red. Todos ellos, sin duda, son métodos muy rentables aún hoy en día. Sin embargo, la tecnología avanza y, siguiendo la filosofía romántica de combinar lo moderno con lo tradicional, los “cibermalos” han encontrado una nueva y revolucionaria forma de utilizar a los usuarios en su propio beneficio: los trabajos forzados, más conocido como “cryptojacking”, una nueva fórmula para convertir a usuarios en esclavos mineros. De este modo, los atacantes obtienen de los usuarios y de forma sencilla una fuente de energía productora a coste cero.

Para comprender mejor el significado de esta nueva palabra, y sin perdernos en conceptos como criptografía, blockchain y los entresijos y diferencias los diferentes tipos de criptomonedas existentes, imaginemos que se trataran de una especie de vales de compra de un centro comercial. Con dichos vales, podríamos comprar artículos y servicios en ese mismo centro o incluso podríamos canjearlos por dinero real u otros vales, cambiándolos o vendiéndolos. Si nos fijamos en cómo son estos vales, lo más normal es que tengan forma de tarjeta regalo y venga impreso un número de serie que los hace únicos frente al resto. Dicho número de serie es lo que se necesita para poder utilizar esa tarjeta, y lo bueno es que todas las tarjetas ya están ahí como si de metales preciosos se tratara, por lo que solamente hay que encontrarlas.

Ahora debemos pensar como si fuéramos los malos. Desde este punto de vista, tenemos varias opciones: robar a otros estas tarjetas, buscar bajo las piedras los números de serie de tarjetas que aún no se hayan usado convirtiéndonos en criptomineros o, mejor aún, poner a otros a buscar sin que esos usuarios sean conscientes.

En informática, al concepto de secuestrar un recurso (ya sea una página, la sesión del navegador u otro elemento) con el fin de modificar su comportamiento ajeno a la voluntad del propietario, se le denomina “hijacking”. En este caso, como lo que se busca es un criptominero involuntario, a esta técnica se le ha llamado “cryptojacking”. Otorgando una definición más precisa, el cryptojacking es la técnica de utilizar un servicio o una máquina ajena (en concreto su capacidad de procesado) para practicar la minería de criptomonedas.

Entre las técnicas y formas más habituales en las que puede hacer minería sin que el usuario se dé cuenta, encontramos:

· Inyección de código JavaScript, en un servidor o sitio web, de modo que se ejecuta cada vez que alguien visite el sitio.

· Situándose entre el usuario y el punto de salida a Internet, por ejemplo, en un punto WiFi de invitados y actuando como intermediario (proxy), aprovechando las conexiones hacia los diferentes sitios web para inyectar código de minado.

· A través de un archivo malicioso, con capacidad de propagación y que se oculta en el sistema como si de un malware tradicional se tratara, por ejemplo, WannaMine.

Mientras tanto, desde el punto de vista de las consecuencias, se observan dos principalmente, una ética y otra a nivel práctico.

Desde el punto de vista ético, estaremos siendo mineros para otro, y sin haberlo decidido por nosotros mismos. Al igual que sucede cuando pagamos un rescate en casos de ransomware, estaremos generando benéficos a un tercero, y por tanto financiando, a personas o entidades de dudosa reputación cuyas prácticas y fines se consideran dentro del cibercrimen. Además, si en tu empresa no está permitido el minado de criptomonedas mediante el uso de los recursos corporativos, estarás incumpliendo la política de seguridad de tu empresa.

Por otro lado, a nivel práctico lo que habitualmente ocurrirá es que se disparará el uso de CPU y/o GPU (procesador de las tarjetas gráficas). Lo que se traducirá en el famoso “pc lento” y en un desgaste prematuro del tiempo de vida de los componentes de tu equipo. Debido a esto, también aumentará el consumo eléctrico de tu pc y por tanto tu factura de la luz. Aumentará también el número de conexiones hacia Internet, por lo que la navegación se volverá más lenta.

Por último, y no menos importante, estaría el coste reputacional. Tan pronto los usuarios descubran que un sitio web ha sido vulnerado, las siguientes preguntas serán: ¿Y que más hicieron los atacantes? ¿Está solucionado ya? ¿Cuánto tiempo ha pasado hasta ser solucionado? Todo ello sin contar el coste de oportunidad que supondrá tener un servicio web caído hasta solucionar el problema.

Para protegernos de este nuevo tipo de ciberamenaza se han desarrollado soluciones de seguridad “next-gen” con varias capas de protección, tanto a nivel perimetral como en el puesto final, frente a las diferentes fases que sigue un ataque o intento de cryptojacking.

Estas capas de seguridad las componen: el filtrado web, gracias al control de reputación en la navegación y a la supervisión del código JavaScript ejecutado, con él evitaremos las conexiones tanto directas como indirectas contra los sitios web que ofrecen este tipo de servicios a nuestros “amables” atacantes (ej. coinhive.com). Otra capa sería la de HIPS (Host Intrusion Prevention System) que se encarga del control de conexiones hacia/desde servidores maliciosos. Una tercera y cuarta capas de protección, tanto en PCs de usuario como servidores y móviles, serían el control de aplicaciones y los motores antimalware que permiten bloquear y limitar las aplicaciones en ejecución e impedir la ejecución del malware de cryptominado gracias al escaneo en tiempo real y a la inteligencia en detección del denominado Deep Learning.

Además, en el caso de variantes cómo WanaMine, donde la infección no estaba en un sitio web sino a través de una variante con capacidad de auto propagarse (gusano) como ocurría en el famoso Wananacry, no solo vamos a bloquear la ejecución sino también su propagación gracias a la protección de una capa Anti-Exploit.

Por todo ello, se hace actualmente imprescindible ponerse en manos de profesionales del sector que cuenten con los últimos enfoques y desarrollos en ciberseguridad y sean capaces de ofrecer la mejor de las asesorías y soluciones adaptadas a cada una de las necesidades propias de cada empresa y negocio a fin de proteger y preservar la integridad de la organización.