400 webs del Gobierno y de universidades de Estados Unidos han minado criptomonedas sin que nadie se entere

^Maxpixel

Ya hace meses, avisábamos de que es posible que algunas páginas webs estén usando tu ordenador para minar criptomonedas sin tu consentimiento. Por un lado está el minado con conocimiento del propietario del sitio, quien busca explotar las visitas a su web, algo que no sabemos si estaba pasando en enero en la página web del gobierno mexicano, cuando Luis Carlos Cárdenas, un desarrollador web que buscaba información personal en en la página de la  Secretaría de Educación Pública (SEP) del país latinoamericano, dijo haberse topado en este portal con un código insertado correspondiente a Coinhive, un script que aprovecha el procesamiento de las computadoras de quienes visitan el sitio para hacer buscar la criptomoneda Monero. 

Y otro tipo de delito es el criptojacking, que utiliza un malware que roba parte de los recursos de procesamiento de dispositivos de terceros para que otra persona (cuya identidad se desconoce) genere ingresos. Decenas de sitios han sido afectados, incluyendo Politifact, CBS Showtime, las transmisiones en vivo de la UFC e incluso sitios web oficiales como los de los gobiernos de Moldavia y Bangladesh. Entre octubre y noviembre de 2017, la cantidad de dispositivos móviles que encontraron al menos una secuencia de comandos de criptografía aumentó en un 287%, según un análisis de la empresa de seguridad móvil Wandera. 

Ahora, el investigador de seguridad informática Troy Mursch, ha publicado un nuevo informe donde detalla cómo Coinhive se ha infiltrando en 392 sitios, la mayoría alojados en Amazon, que pertenecen al gobierno o a alguna universidad dentro de Estados Unidos: el Zoológico de San Diego, la Comisión para la Igualdad de Oportunidades en el Empleo de los Estados Unidos (EEOC), la Universidad de Alepo, el Programa de Ciencias Oceánicas y Atmosféricas de la UCLA, el de la Junta Nacional de Relaciones Laborales y hasta el sitio web de Lenovo. Mursch cree que la instalación de Coinhive fue a través de una versión obsoleta del gestor de contenidos Drupal.

#Coinhive found on the website of the San Diego Zoo (@sandiegozoo) in the latest high-profile case of #cryptojacking. pic.twitter.com/B3rd2Q5uVA

— Bad Packets Report (@bad_packets) 4 de mayo de 2018

Como se trata de la criptodivisa Monero, centrada en la privacidad y la nueva favorita de los cibercriminales, ha sido imposible determinar cuánto tiempo llevan minando, ya que los atacantes han cubierto muy bien sus huellas. De hecho, los métodos han ido cambiando con el tiempo, para no llamar la atención. Según Mursch, en algunos de los casos, el código malicioso estaba en la biblioteca de JavaScript "/misc/jquery.once.js?v=1.2", pero en otros se usaba un método completamente distinto.

Todos los sitios dirigen al usuario al mismo dominio usando la misma clave de Coinhive, lo que significa que se trata de la misma persona o grupo de personas. El investigador ha informado de que los casi 400 sitios infectados ya han sido notificados y espera que el problema se resuelva en los próximos días.

Beatriz de Vera

Esta noticia ha sido publicada originalmente en N+1, tecnología que suma. 

Sobre N+1: Es la primera revista online de divulgación científica y tecnológica que permite la reproducción total o parcial de sus contenidos por medios de comunicación, bloggers e influencers, realizando la mención del texto y el enlace a la web: “Esta noticia ha sido publicada originalmente en la revista N+1, tecnología que suma: www.nmas1.org”.