¿Conoces Coinhive? Debería, porque este pequeño código Javascript, que sólo tiene unas diez líneas de longitud, se ha convertido en muy poco tiempo en una de las principales amenazas en el radar de los editores de antivirus. Completamente desconocido hasta hace seis meses, el servicio Coinhive le permite extraer moneros, una alternativa de criptomonesa a Bitcoin, directamente en un navegador. Basta con integrarlo en una página web y saltar, tan pronto como un usuario se conecta a él, el código toma de los recursos de su máquina para realizar el famoso cálculo de pruebas criptográficas dentro de un grupo minero que incluye a todos los demás usuarios del script.

Leer sobre: Cómo bloquear a los criptógrafos

El equipo de Coinhive, que recupera el 30% de cada monero creado, presenta su servicio como una solución de financiación alternativa a la publicidad. El primero en probarlo de esta manera fue The Pirate Bay, el famoso sitio de hacking. Eso fue en septiembre pasado. Desde entonces, el crecimiento ha sido asombroso. Según publicwwww.com, el guión se encuentra actualmente en casi 30.000 sitios web. Sólo en diciembre pasado, el software de Symantec detectó más de 8 millones de veces la ejecución de un script de minería en los sitios de sus clientes, muchos de los cuales estaban ubicados en navegadores. La minería online representaba así «el 24% de los ataques web bloqueados», señala el editor. Por su parte, Check Point estimó en noviembre que Coinhive ya ocupaba el sexto lugar en la lista de los programas maliciosos más utilizados.

Si los proveedores de antivirus comparan Coinhive con el malware, es porque el script está siendo cada vez más integrado ilegalmente por hackers. Hay muchos ejemplos de sitios pirateados. Los Angeles Times, Blackberry, Politifact y Showtime fueron las víctimas. En diciembre, un punto de acceso Wi-Fi de Starbucks integró el script en todas las páginas visitadas por los clientes. En enero, Coinhive se encontró en anuncios rotos en YouTube. En febrero, más de 4200 sitios fueron infectados en pocas horas por Coinhive, a través de una biblioteca de accesibilidad (Browsealoud). En resumen, es la fiebre del oro, aunque no sepamos qué parte de los sitios donde el script se ha integrado voluntariamente o no.

Esta no es la primera vez que los hackers infectan ordenadores para instalar software de minería. Bitcoin había causado este tipo de malevolencia, pero sólo durante sus primeros años de existencia. Rápidamente, la potencia de computación requerida para la explotación minera se ha vuelto demasiado alta para que la piratería informática en los ordenadores tradicionales valga la pena. Pero con Monero y Coinhive, el fenómeno no sólo reaparece, sino que adquiere una nueva dimensión. Varios factores explican esto.

Un algoritmo «CPU friendly

En primer lugar, Coinhive es fácil de desplegar: basta con insertarlo en una página web. Además, la piratería informática en un servidor web no es necesariamente más difícil que en el ordenador de un particular (que los hackers siguen atacando con troyanos). Hay muchos sitios que están mal configurados y por lo tanto representan un objetivo fácil. Por supuesto, por lo general no se trata de sitios que tengan una gran audiencia, pero no importa: los piratas están disparando contra todo y esperamos que los pequeños arroyos se conviertan en grandes ríos.

Otra ventaja: la minería monero es más accesible criptográficamente que bitcoin. CryptoNight, el algoritmo hash utilizado para verificar transacciones, requiere más memoria que el SHA-256 que se utiliza para Bitcoin. Esto tiene el efecto de dar a las CPUs y GPUs una ventaja sobre las tarjetas de circuito impreso dedicadas (ASICs). En el caso de Bitcoin, estos últimos han acabado monopolizando la actividad minera, que se convierte, por tanto, en un asunto de especialistas. Como resultado, la minería de bitcoin se basa ahora en un puñado de grandes granjas de cálculo ubicadas en China.

Crecimiento también impulsado por la red oscura

Finalmente, no debemos olvidar la influencia de la red oscura. Como Europol señaló en su último informe anual, las tiendas de metro están adoptando cada vez más el monero como medio de pago debido a su seguridad. La característica principal de esta criptomonesa es que hace que las transacciones sean anónimas, lo que no es el caso de Bitcoin. Pero esta característica podría retroceder como un soufflé. Los investigadores acaban de encontrar una brecha tecnológica que permitiría que las transacciones se desclasificaran, al menos en parte. Si se confirma esta vulnerabilidad, los kingpins oscuros de la web probablemente migrarán a otra moneda, como zCash.

Mientras tanto, los creadores de Coinhive pueden seguir surfeando la ola y llenarse los bolsillos. Hasta ahora, estos misteriosos desarrolladores siempre han permanecido en las sombras. Una investigación del periodista Brian Krebs los obligó a salir del bosque. El autor del guión es un desarrollador alemán, Dominic Szablewski. «A mediados del año pasado, tuve la idea de implementar un software de minería en WebAssembly[un lenguaje de programación de bajo nivel para la web, nota del editor]. Era sólo un experimento, para ver si funcionaba (…) Lancé Coinhive unos meses después y rápidamente me di cuenta de que no podía hacerlo solo. Así que busqué a alguien que pudiera hacerse cargo de la antorcha. Encontré una compañía que estaba interesada en este nuevo negocio. Ella se ha hecho cargo de Coinhive y ahora está preparando una gran revisión», explica en su blog.

Líderes bastante discretos

La empresa en cuestión se llama Badges2Go UG. Con sede en Kaiserslautern, Alemania, está dirigida por Sylvia Klein, una empresaria especialmente interesada en el sector de las cadenas de bloques. Su nombre está ahora en el sitio web de Coinhive. Antes de la investigación de Brian Krebs, no se mencionó ningún contacto. Preguntada por la periodista estadounidense, explica que su empresa es una incubadora de proyectos de «aplicaciones web y móviles». También indicó que el servicio Coinhive pronto se «profesionalizaría», sin dar más explicaciones. Intentamos contactar a la Sra. Klein, pero no recibimos respuesta.

Esta cautela de gestión no es muy sorprendente porque, desde un punto de vista ético, el funcionamiento de Coinhive no está muy claro. Ciertamente, el equipo de Coinhive no es responsable de todos estos actos de hacking y no puede desactivar el script si ha sido instalado fraudulentamente. Sin embargo, hay que señalar que todavía se beneficia enormemente de este fenómeno ilegal, gracias a su margen del 30%. Esto se llama nadar en aguas turbias. Será interesante ver si esta «profesionalización» pondrá fin a este lejano oeste.