¿Tu ordenador va lento? Puede haber sido secuestrado: cómo saberlo (y solucionarlo)
La imparable revalorización de Bitcoin y otras criptodivisas ha hecho que los ciberdelincuentes se interesen por tu ordenador.
A pesar de tratarse del método más mediático a día de hoy, no todos los secuestros de ordenadores y móviles consisten en el bloqueo del dispositivo o de determinados archivos infectados para pedir un rescate a cambio de su liberación. En definitiva, no todos los secuestros digitales son cosa del ‘ransomware’ y, de hecho, hay mucho mundo más allá de WannaCry y compañía.
No obstante, hay algo que sí tienen en común los diversos tipos de secuestros: si en el ‘ransomware’ el rescate se suele pedir en forma de alguna criptodivisa, el ‘cryptojacking’ no hace otra cosa que apoderarse de parte de los recursos de procesamiento de tu ordenador para minar una de estas monedas virtuales.
Qué es el minado (y por qué lo practicas sin saberlo)
Vayamos por partes. Para empezar, a día de hoy hay dos formas –lícitas- de hacerse con 'bitcoins' o cualquier otro tipo de criptodivisa: o bien comprándolas, o bien minándolas. El minado de monedas digitales consiste en poner a disposición del sistema la capacidad de procesamiento de nuestro equipo para que se realicen los complejos cálculos que requieren las transacciones de Bitcoin y compañía. Como recompensa, todos aquellos que ceden parte de la potencia de su ordenador para tal menester reciben parte de un botín: una porción de la cantidad de criptomonedas que se generan, según el caso, cada equis tiempo o cada vez que se alcanza cierto hito.
Sin embargo, ambas opciones conllevan algún que otro inconveniente. Por una parte, pagar por una criptomoneda hoy en día es caro y, como inversión, puede salirte aún más caro: el Bitcoin no hace más que aumentar su valor (solo en el último mes, el precio del Bitcoin ha subido 10.000 dólares, unos 8.700 euros al cambio actual) y, ante semejantes expectativas, el resto de divisas digitales también se están revalorizando a un ritmo de vértigo. En otras palabras: pagar por una criptomoneda no está al alcance de todos los bolsillos y, por si fuera poco, en cualquier momento su valor puede desplomarse.
Pero, por otro lado, minar tampoco es una opción rentable. Especialmente, en el caso de Bitcoin. El minado de la criptomoneda creada por Nakamoto hace tiempo que se alejó de los ordenadores convencionales y, de hecho, hace años que se realiza en una suerte de granjas en las que se reúnen filas y filas de procesadores que trabajan exclusivamente al servicio de Bitcoin. Una de estas naves puede llegar a consumir, mensualmente, más de 30.000 euros de luz. Con el resto de criptodivisas sucede algo similar (también hay granjas de minado de Ethereum, por ejemplo), aunque a menor escala. Y ahí es donde entra en juego tu ordenador.
Si un ordenador convencional es a todas luces insuficiente para minar una cantidad aceptable de criptodivisas –sea cual sea- y ya ni las más potentes tarjetas gráficas sirven para que un equipo nos dé dinero a cambio de capacidad de procesamiento. Hay quienes optan por crear redes de ordenadores ajenos con los que minar 'bitcoins', 'ethers', 'moneros' o lo que se tercie.
Pueden hacerlo de diversas formas, como ahora veremos, pero el resultado es el mismo: los ciberdelincuentes infectan tu ordenador y los de otros muchos internautas para utilizar su potencia minando alguna criptodivisa. Todo ello, claro está, sin tu consentimiento (y, probablemente, sin que llegues a saberlo).
Mientras hay quienes plantean que este sistema podría ser –con autorización de los usuarios- una forma de monetizar el contenido en internet, otros han decidido pasar a la acción directamente. Es lo que sucedió en el que hasta ahora ha sido el caso más sonado de ‘cryptojacking’: el popular portal de ‘torrents’ The Pirate Bay ha sido cazado en hasta dos ocasiones insertando una herramienta en el código de su web que hacía que los ordenadores de sus visitantes se pusieran a minar Monero.
Además, no han tardado en salirle imitadores. Recientemente, ha sido destapada una polémica similar que protagonizan cuatro de las principales plataformas de vídeo en ‘streaming’: Openload, Streamango, Rapidvideo y OnlineVideoConverter (que suman casi 1.000 millones de usuarios mensuales en total) recurrían a la misma herramienta que The Pirate Bay, CoinHive, para poner los ordenadores de sus usuarios a minar Monero. Por su parte, las páginas españolas de ‘torrents’ MejorTorrent, NewPCT1 y DDMix también han sido pilladas con las manos en la masa.
Obviamente, esta jugada no les sale ‘gratis’ a los usuarios. Si bien no tienen por qué enterarse de que una web está recurriendo a su procesador para minar una criptomoneda, lo cierto es que una consecuencia lógica es la ralentización del equipo, como veremos a continuación. En cualquier caso, y más allá del efecto contagio que se haya producido en los últimos meses tras la fugaz estrategia de The Pirate Bay, lo cierto es que los responsables no siempre son los propietarios de una web.
Un ‘banner’ es más que suficiente para hacer que la CPU se dedique a minar.
En otras ocasiones se riza el rizo y es un ciberdelincuente el que infecta una web para que los ordenadores de sus parroquianos cedan su potencia directamente a su monedero, tal y como sucedió en el caso de la web de la cadena británica Showtime. En ese escenario, ni el propietario de la web ni sus habituales visitantes saben lo que está pasando. Un ‘banner’ es más que suficiente para hacer que la CPU se dedique a minar.
No obstante, el peligro del ‘cryptojacking’ no solo se encuentra en las páginas que aprovechan la capacidad de procesamiento de sus víctimas. De hecho, otra versión de este ataque se basa en algo más tradicional: los ciberdelincuentes infectan con un ‘malware’ ordenadores para generar esa red zombi que trabaje para ellos minando criptodivisas.
Siguiendo esta estrategia, un grupo de ciberdelincuentes obtuvo al menos 60.000 dólares en Monero (más de 50.000 euros al cambio actual) después de aprovechar una vulnerabilidad de Windows para distribuir un troyano que minaba esa criptodivisa que promete aún más anonimato que Bitcoin. Esa misma estrategia fue la utilizada por los creadores de Adylkuzz, un virus desarrollado para minar bitcoines en ordenadores ajenos.
Todo ello, sin olvidar ese otro dispositivo que nos acompaña a todas partes: si es posible que un usuario mine alguna que otra criptomoneda con la limitada potencia de su ‘smartphone’, qué duda cabe que el móvil también se ha convertido en un objetivo de los ciberdelincuentes amigos de minar con dispositivos ajenos. En este sentido, el sistema más habitual es incluir en una aplicación maliciosa el código de CoinHive (o cualquiera de sus clones).
Cómo descubrirlo (y ponerle remedio)
Una vez que sabemos a qué nos enfrentamos (y cuáles son sus posibles vías de acceso a nuestro ordenador) llega la hora de la verdad. ¿Está nuestro equipo minando alguna criptomoneda para algún ciberdelincuente que se aprovecha de su potencia? La principal pista te la dará el propio ordenador: si de un día para otro percibes que va más lento de lo habitual, ha llegado el momento de sospechar.
De hecho, dar el primer paso para comprobar si alguien ha convertido nuestro ordenador en un zombi minero es realmente sencillo. Basta con pulsar la archiconocida combinación de teclas ‘Alt+Ctrl+Supr’ para acceder al menú que nos lleve hasta el Administrador de tareas.
Una vez en él, habrá que observar tanto qué procesos hay activos como el porcentaje de recursos del procesador está utilizando. Por su parte, los usuarios de Mac tendrán que recurrir al Monitor de Actividad: accediendo desde el Launchpad a la carpeta Otros llegaremos a la aplicación Monitor de actividad. Llévalo hasta el dock y podrás acceder a él de forma sencilla siempre que quieras comprobar cuáles son los datos de consumo de tu Mac.
A partir de ahí, en primer lugar, conviene observar cuántos recursos está consumiendo el navegador. Para que el dato sea más fiable, lo ideal es ir probando distintas páginas de las que visitemos habitualmente por separado. ¿El ‘banner’ de una web es el que hace las veces de parásito? ¿Quizás es el código de un reproductor de vídeo el que incluye el dichoso CoinHive? Sea como sea, sabremos cuándo hemos dado con la tecla correcta al ver que el rendimiento del CPU correspondiente al navegador sube sin motivo aparente, pudiendo llegar hasta el 100 %.
En caso de que encontremos al responsable de nuestro involuntario minado en el navegador, tenemos varias opciones al alcance de la mano para resolver el entuerto. Por extraño que parezca, una de ellas pasa por instalar una de esas herramientas que permiten bloquear anuncios durante nuestra navegación por internet. La más famosa (y polémica) de ellas, AdBlock, incluye desde hace unos meses la posibilidad de bloquear el código de CoinHive.
Por si aún no cuentas con esta nueva característica en el bloqueador, accede a Opciones para ir hasta el menú ‘Añadir tus filtros’ e inserta esto en el cuadro de texto (sin comillas): “||coin-hive.com/lib/coinhive.min.js”. Otras herramientas similares, como AdGuard, también bloquean el ‘software’ de minado malintencionado de forma automática.
No obstante, si desconfías del bloqueador de anuncios por excelencia, o simplemente no estás seguro de que AdBlock vaya a actualizarse con la suficiente rapidez como para bloquear los sucesores de CoinHive que vayan surgiendo, hay otras alternativas en forma de extensión. La más popular es No Coin (disponible tanto para Chrome como para Firefox), una herramienta de código abierto que, por lo tanto, puede ser actualizada por la propia comunidad de desarrolladores y que ya asegura bloquear distintos ‘malware’ relacionados con el minado.
En cualquier caso, la lista de extensiones para evitar que nuestro navegador se convierta en un miembro de una red zombi de minado es larga: minerBlock para Chrome, CoinBlock para Firefox o el programa Anti-WebMiner evitarán que pulular por la Red se convierta en un dolor de cabeza. Al menos, mientras esperamos a que los propios navegadores incluyan de forma nativa bloqueadores como el que estaría preparando ya Google para Chrome.
Pero no hay que olvidar que había otra posible vía de ataque por parte de los ciberdelincuentes. Volvamos al Administrador de tareas. Si no es el navegador el que está consumiendo un mayor porcentaje de recursos de nuestro ordenador, puede que un ‘malware’ se haya instalado en el equipo y que esté minando alguna criptodivisa como si no hubiera un mañana.
¿Cómo saberlo? En primer lugar, conviene observar la lista de procesos en el Administrador de tareas. A ser posible, lo ideal es hacerlo sin tener ninguna aplicación abierta. ¿Hay algún proceso que tú no has iniciado y que está consumiendo muchos recursos de tu CPU sin que tengas nada activo? Probablemente, podemos cantar bingo.
Para confirmar las sospechas y solucionar el problema, ya son varias las herramientas que podemos instalar en el ordenador con la intención de hallar ese minero infiltrado. Malwarebytes Anti-Malware los identifica y permite eliminarlos, al igual de RogueKiller Antimalware. Sin embargo, la mejor opción pasa probablemente por Dr. Web Cureit!, una herramienta que también identifica y elimina el ‘malware’ pero sin necesidad de instalar ningún ‘software’. Cualquiera de estas herramientas analizarán y escanearán el equipo en busca de intrusos y, si hay alguien minando criptomonedas sin nuestro permiso, lo sabremos (y podremos eliminar el virus en cuestión).
Por inocuo que pueda parecer (habrá quien piense que, si solo se usa la potencia de nuestra CPU y no nos espía ni bloquea nuestros archivos, es un mal menor), lo cierto es que el hecho de que alguien aproveche la capacidad de procesamiento de nuestro ordenador para minar criptodivisas nos puede traer problemas a la larga.
Más allá de que pueda llegar a bloquearse el equipo por exceso de trabajo, ese mismo rendimiento elevado forzará el ‘hardware’: se calentará más, los ventiladores tendrán que trabajar constantemente y no habrá descanso para unas piezas que, en definitiva, darán su vida trabajando para generar dinero virtual para un ciberdelincuente. Mejor evitar un secuestro así, ¿no crees?
A pesar de tratarse del método más mediático a día de hoy, no todos los secuestros de ordenadores y móviles consisten en el bloqueo del dispositivo o de determinados archivos infectados para pedir un rescate a cambio de su liberación. En definitiva, no todos los secuestros digitales son cosa del ‘ransomware’ y, de hecho, hay mucho mundo más allá de WannaCry y compañía.