Ir a contenido

DESCUBIERTO EN EL REINO UNIDO

Piratas del minado de criptomonedas infectan miles de webs

Los delincuentes usan un fallo en un software que lee webs para producir moneros', un rival de bitcoin

El malware Coinhive supone el 4% de infecciones de equipos en España y afecta también a los móviles

Carmen Jané

Logo de bitcoin en una tienda de Tokio (Japón).

Logo de bitcoin en una tienda de Tokio (Japón). / REUTERS / KIM KYUNG-HOON

Más de 4.000 webs de habla inglesa, muchas de ellas de organismos públicos, han resultado afectadas este fin de semana por un ataque informático destinado a generar moneros, una criptomoneda similar al bitcoin. La criptomoneda necesita ser validada por cientos de usuarios que, como premio, reciben una nueva unidad (que es “descubierta”, no creada) cada cierto tiempo según unos algoritmos que hacen el proceso cada vez más difícil. Por eso, el minado, que es como se conoce este proceso, requiere cada vez más potencia de cálculo (se suelen usar tarjetas gráficas) y costoso. Ahora, una banda de delincuentes ha descubierto el modo de utilizar máquinas ajenas para distribuir estos procesos a través de un 'malware' llamado Coinhive que se distribuye desde webs infectadas y del que también ha habido casos en España.

El mecanismo de infiltración utilizado en esta ocasión parece una extensión ('plugin') para webs que permite que la página sea accesible para los ciegos y discapacitados visuales a través de la lectura del texto. El 'plugin', llamado Browsealoud, traduce el texto a voz gracias a varias librerías de software que han sido alteradas por los delincuentes. El software podría haber hecho que miles de ordenadores particulares hayan minado para la red criminal sin saberlo. La cifra que han dado los investigadores es de 4.000 webs, que son las que tienen instalado el 'plugin'.

Ayuntamientos y organismos públicos

La alerta ha saltado este fin de semana en el Reino Unido gracias a un investigador de seguridad llamado Scott Helme y los investigadores han optado, en principio, por desactivar el 'plugin', desconectar máquinas y borrar 'malware'. Entre las páginas afectadas figuran varias de la Administración británica, como la del organismo de protección de los consumidores ICO, el ayuntamiento de Manchester, el de Dublín, la web del Shakespeare Globe, varios hospitales y también la de la City University of New York (EEUU) y el ayuntamiento de Malmö (Suecia).

El responsable es un 'malware' llamado Coinhive, que fue descubierto el pasado septiembre y que ha ido difundiéndose desde entonces. El hecho de que haya contaminado un 'plugin' tan popular como el Browsealoud le ha permitido una difusión extrema. "Coinhive se ha usado sin que lo supieran ni los propietarios de la web ni los visitantes de las páginas. Técnicamente es un código Javascript (como los formularios o los servidores de anuncios) que se activa cuando entra alguien pero la buena noticia es que no llega a infectar el ordenador del internauta. Con cerrar el navegador se deja de minar", señala Eusebio Nieva, director técnico de CheckPoint en España. 

Todo va más lento

Si no tiene un antivirus, el usuario notará la infección del 'malware' cuando el ordenador comience a ir más lento al visitar una página, porque Coinhive llega a consumir hasta el 65% del uso del procesador. Mientras, alguien se lleva a su cuenta las criptomonedas que puedan generarse con tanto uso de muchas máquinas.  "Si el atacante es listo, como puede regular el consumo del procesador, lo pondrá bajito para que no se note mucho", explica Alberto Ruiz Rodas, analista de Sophos, que advierte también que el 'malware' puede afectar a los móviles, calentando en exceso el dispositivo y disminuyéndole la batería de forma muy rápida. "La ganancia para el delincuente es clara: como usa lo de los demás, cualquier cosa que saque, eso que gana", añade.

El 4% de las infecciones en España

En España, según los informes de CheckPoint sobre los últimos siete días, Coinhive ha supuesto durante el 2017 (aunque solo ha actuado durante el último trimestre) el 4% de los ataques de 'malware', un porcentaje mucho más alto que el de vecinos como Francia, Italia o Reino Unido, que estaban en el 1% antes de este último ataque. El 'malware' Coinhive, según la misma empresa, está afectando el 4% de las empresas del mundo, con puntas como EEUU, donde llega al 22%, y Brasil, donde supone el 18%. En España fue encontrado en la web de Movistar.es el pasado diciembre y en la de una revista del corazón, según confirman las compañías de seguridad. En el caso de Telefónica, la compañía lo atribuyó a un error interno en una versión de prueba.

Para darle la mejor experiencia posible estamos cambiando nuestro sistema de comentarios, que pasa a ser Disqus, que gestiona 50 millones de comentarios en medios de todo el mundo todos los meses. Nos disculpamos si estos primeros días hay algún proceso extra de 'login' o el servicio no funciona al 100%.