Historia de CoinHive (2017)
CoinHive fue un script lanzado en septiembre de 2017, diseñado originalmente para ofrecer a los propietarios de sitios web una forma de monetizar su tráfico a través de la minería de criptomonedas, específicamente Monero (XMR). La idea era aparentemente simple y novedosa: en lugar de mostrar anuncios, los propietarios de sitios web podían usar CoinHive para aprovechar la potencia de cálculo de los visitantes de sus páginas para minar Monero. Desde una perspectiva legítima, suponía una alternativa a la publicidad tradicional, especialmente para los sitios web que luchaban por mantener sus ingresos.
Sin embargo, no pasó mucho tiempo antes de que CoinHive fuera recogido y explotado por actores maliciosos. Estos aprovechaban el script para insertar código de minería en sitios web sin el conocimiento o consentimiento de los propietarios del sitio y los usuarios. Este fenómeno se denominó "cryptojacking".
Efectos de CoinHive
Uso No Autorizado de los Recursos del Sistema: Lo más inmediato era el uso no autorizado de los recursos de la CPU del visitante del sitio para minar criptomonedas. Esto podía causar que los dispositivos afectados experimentaran una ralentización significativa, sobrecalentamiento y una mayor utilización de la batería, especialmente crítico en dispositivos móviles.
Impacto en el Rendimiento del Sitio Web: Los sitios web infectados con CoinHive tenían un mayor tiempo de carga y, en general, un rendimiento inferior, lo que podía afectar negativamente la experiencia del usuario y, potencialmente, el tráfico del sitio.
Alteraciones en el Comportamiento del Usuario y Retención: Los usuarios que detectaban un rendimiento inusualmente lento podían abandonar los sitios infectados rápidamente y, en algunos casos, nunca regresar. Esto afectaba la retención y podía dañar la reputación del sitio web.
Costo Energético: La minería de criptomonedas consume una cantidad considerable de energía, y la actividad involuntaria realizada por CoinHive en dispositivos de usuarios hacía que estos vieran un aumento en su consumo energético, traducido en una menor duración de la batería en dispositivos portátiles y mayores facturas eléctricas.
Cómo se conseguía infectar a los ordenadores con CoinHive
Infección en Sitios Web: Los hackers identificaban sitios web vulnerables—ya fuera través de plugins desactualizados, inyecciones de SQL, administración de contenido débil, o fallos en scripts de terceros—y embebían el script de CoinHive directamente en el código fuente del sitio web. Cuando los visitantes accedían a estos sitios, el script empezaba a minar Monero utilizando sus recursos de CPU.
Ataques a Gran Escala: En algunos casos, los actores maliciosos comprometían redes publicitarias enteras. Insertaban el script en anuncios que luego se distribuían a través de multitud de sitios web. De este modo, pudieron alcanzar un número mucho mayor de usuarios rápidamente.
Extensiones y Aplicaciones Fraudulentas del Navegador: Algunas extensiones de navegador que parecían útiles o inofensivas contenían el script de CoinHive. Al instalar estas extensiones, los usuarios daban sin saberlo acceso a sus recursos de CPU para la minería.
Correo Electrónico y Phishing: Aunque menos común para CoinHive específicamente, en algunos casos, los actores maliciosos utilizaron campañas de phishing para direccionar a usuarios a sitios especialmente diseñados para contener el script de CoinHive, engañando a los usuarios para que visitaran esas páginas web.
Contramedidas
La reacción a la proliferación de CoinHive fue rápida y contundente por parte de la comunidad de ciberseguridad y grandes empresas tecnológicas. Herramientas de detección de malware y extensiones de navegador como Adblock Plus y NoScript añadieron detección y bloqueo de scripts de minería. También se creó software dedicado, como el CoinBlocker, diseñado específicamente para detectar y bloquear scripts de minería como CoinHive.
Adicionalmente, varios navegadores web implementaron medidas para prevenir la ejecución de dichos scripts sin el conocimiento del usuario. Muchas empresas y organizaciones también establecieron políticas de seguridad más estrictas para evitar la infección de sus sistemas y sitios web.
Para 2019, CoinHive cerró sus operaciones alegando como razones una disminución en la rentabilidad de la minería de Monero y múltiples bloqueos por sistemas de seguridad en internet. Sin embargo, el legado de CoinHive perdura como un claro ejemplo de la evolución del malware y la necesidad constante de nuevas estrategias de defensa cibernética.