Es necesario detectar el parásito silencioso del cryptojacking para evitar las infecciones
La ilusión de la estabilidad de las criptomonedas se rompió en pedazos en mayo, cuando el Proyecto Terra (un intento de crear una moneda estable respaldada por un valor fijo) cayó en picada y en menos de una semana pasó de valer 50 millones de dólares a tener un valor casi nulo. Lo anterior fue una consecuencia de los criptointercambios entre Terra y Luna (una moneda alternativa), lo que llevó a un aumento brusco en la oferta. El rápido intercambio entre esas dos monedas inhibió el mecanismo de equilibrio e hizo que ambas cayeran. Las caídas recientes han resaltado la total volatilidad de las criptomonedas, que a veces tienen valores astronómicos y otras se derrumban sin valor.
Pero ¿por qué son tan vulnerables? Las criptomonedas, al contrario que las monedas nacionales, carecen de reconocimiento global y no están respaldadas por un valor real, lo que significa que se basan en una renovación continuada de la criptoinversión. Debido a esa volatilidad, los delincuentes buscan formas de conseguir dinero sin arriesgarse, lo que lleva al nacimiento de la criptominería y el cryptojacking.
La criptominería es una de las formas legítimas de conseguir criptomonedas, pero para conseguir beneficios hace falta tener paciencia (y una gran cantidad de recursos), ya que se tarda alrededor de 10 minutos para procesar un solo bloque de la moneda. Para conseguir mucho dinero, los «mineros» deben completar el procesamiento de datos más deprisa que sus competidores, y para eso necesitan grandes cantidades de energía, computadoras con una gran potencia y varios servidores. Con la presión por ser eficaces en la carrera por la minería ha surgido un tipo de minero que, a diferencia de las personas que se dedican a minar criptomonedas utilizando sus propios servidores y suministro de energía, actúa de mala fe y utiliza servidores ajenos, sin el consentimiento de sus propietarios. A esa práctica se le llama cryptojacking.
De qué se alimenta el parásito
Cuando el dispositivo de un usuario sufre un ataque de cryptojacking el código malicioso se comporta como un parásito que vive de la energía del dispositivo anfitrión. Como sucede con muchos parásitos, es difícil detectarlo, ya que el dispositivo infectado apenas muestra síntomas; como mucho, un pequeño retardo en la velocidad de procesamiento. Al instalar determinados tipos de malware, los cryptojackers son capaces de asumir el control de miles o millones de dispositivos sin el consentimiento de sus usuarios.
En muchos casos, esos ataques pasan desapercibidos, a menos que los encargados de la seguridad tomen precauciones adicionales y revisen sistemáticamente los logs de las CPU para comprobar que están protegidas en los niveles adecuados. Afortunadamente, en un entorno empresarial, los ingenieros de fiabilidad del sitio (SER), quienes monitorean la infraestructura de computación, probablemente se darán cuenta de que el agotamiento de la CPU se debe a un ataque de cryptojacking, y escalarán el problema al equipo de seguridad.
Cómo entra el parásito
Un atacante puede infectar los endpoints de un equipo con un malware de cryptojacking mediante un correo de phishing o un anuncio pop-up que, al pulsar en ellos, introducen un script de minería en el dispositivo. También la nube es un objetivo muy buscado, debido a su elasticidad, lo que significa que, cuando se quedan sin capacidad de CPU, la instancia del virus puede seguir expandiéndose. Por tanto, una vez que el delincuente «secuestra» un equipo es posible que nada impida que acceda a otros datos con el propósito de extorsionar.
Según la forma en que consigan el acceso inicial y el tipo de endpoint al que accedan, los hackers pueden acceder al contenido total del endpoint y, en el peor escenario, tener acceso a una red corporativa en la que pueden infiltrarse más profundamente. Las consecuencias pueden ser nefastas, no sólo para un usuario concreto, sino para toda una empresa, sus empleados, clientes, socios y proveedores, ya que todos pueden quedar expuestos a la actividad de los criminales cibernéticos. De ahí que la detección es clave para evitar o cortar los ataques de cryptojacking.
Aunque el cryptojacking supone una gran amenaza para las personas y los negocios o empresas, su peligro a nivel institucional puede ser incluso mayor. El aumento de los ataques de cryptojacking de los últimos años afectó de forma desproporcionada a las instituciones educativas de todo el mundo, y muchas fueron víctimas de esos ataques. Los recientes hallazgos sobre amenazas indican que el cryptojacking subió un 68 % desde 2018 hasta 2021, y que el mayor aumento de los ataques en una misma región se produjo en Europa, con un 60 %.
Instituciones como escuelas y hospitales se convirtieron en los principales objetivos de los delincuentes, ya que esas organizaciones dependen de servidores que a su vez permiten a los hackers acceder a una red con gran número de servidores conectados. Cuando un atacante se introduce en la red de una institución, el malware se extiende por ella, se alimenta del servidor, analiza sus datos y evoluciona de forma sistemática para ser más inteligente. Por ejemplo, los botnets como Sysrv-k buscan claves SSH, por lo que, cuando las amenazas de cryptojacking evolucionan, pueden buscar métodos para extenderse lateralmente y encontrar más endpoints de computadoras en los cuales instalarse y minar criptomonedas.
De esa forma, un intruso hostil podría controlar toda una red y tener la capacidad de robar datos, filtrar información confidencial o inactivar totalmente la red sin que nadie lo atrape. En el caso de las universidades, que también cuentan con instalaciones de investigación, es posible que los delincuentes consigan acceder fácilmente a propiedad intelectual protegida e incluso a información de interés nacional.
La línea de defensa cibernética
Afortunadamente, existe un remedio. Asegurar los firewalls puede proteger las redes y sus dispositivos frente a esos parásitos del cryptojacking para proporcionar una capa defensiva perimetral que los detenga en la puerta. Los firewalls pueden detectar ataques potenciales de malware al analizar las variantes existentes y los ingredientes de su firma, así como al detener cualquier elemento relacionado con ellos. Muchas capas están involucradas en la protección general de los endpoints contra esos tipos de ataques. Puede haber capas de seguridad de correo electrónico para evitar que se asuma el control a través del phishing. Otras capas pueden incorporar una línea de defensa inicial para detectar al parásito de cryptojacking y después, si es necesario, utilizar una segunda capa que ejecute un análisis de comportamiento para buscar cualquier malware que se haya colado en el sistema. Seguidamente, el malware se puede poner en cuarentena para, a continuación, proceder a su inactivación. La segunda capa defensiva utiliza técnicas avanzadas de sandboxing y tecnología de inspección de memoria profunda en tiempo real (RTDMI) para ejecutar diagnósticos profundos, con el fin de detectar y minimizar el peligro del malware. La combinación de esas dos capas defensivas permite a las organizaciones detectar y frustrar intentos de cryptojacking potencialmente dañinos.
Afrontar la amenaza silenciosa
Aunque es difícil de localizar, el cryptojacking se puede prevenir si se toman las medidas de seguridad adecuadas. La solución (emplear una defensa multicapa con RTDMI) es clara, y es imprescindible que las organizaciones tomen las precauciones necesarias para protegerse adecuadamente. Prevenir el cryptojacking hace que las personas, empresas y organizaciones críticas estén seguras y protegidas de filtraciones, y que conserven el control de sus propias redes. En esta era de la dependencia tecnológica, es indispensable proteger los servidores para garantizar que los usuarios y las instituciones sigan teniendo el control de sus redes.