Criptomineria como amenaza. Imagen creada con IA
La práctica del minado de criptomonedas se ha convertido en uno de los factores que genera mayor cantidad de amenazas a las instituciones y personas naturales a nivel internacional no solo por las implicaciones de seguridad derivadas de esta práctica, con independencia de si está autorizada o se realiza de forma maliciosa sustentada en ataques, dentro de entornos informáticos institucionales.
Para que se comprenda mejor la afirmación anterior es necesario examinar las consecuencias directas de este tipo de acciones sobre la infraestructura física y lógica, así como los riesgos indirectos que comprometen la confidencialidad, integridad y disponibilidad de los datos, para ello, se requiere de una visión desde un enfoque técnico y de gestión de riesgos, para demostrar cómo la criptominería actúa como un vector de amenaza multifacético que puede desestabilizar la ciberseguridad organizacional.
La explosión de las criptomonedas en la última década, ha transformado el panorama financiero global, pero también el ciberespacio. Lo que inició como un experimento criptográfico con el bitcoin ha evolucionado a un ecosistema complejo donde la «minería», como proceso de validación de transacciones mediante la resolución de problemas criptográficos a cambio de una recompensa monetaria, se ha convertido en una actividad industrial y económica, pero además en una herramienta dentro del arsenal de los ciberdelincuentes.
En el contexto institucional, en especial en el sector educacional, donde no sobran los recursos para invertir en ciberseguridad, la presencia de actividades de criptominería plantea un dilema de seguridad crítico. No se puede ver solo como una afectación a los recursos computacionales o de electricidad; más si se ejecuta sin autorización (cryptojacking), sino que además, introduce vulnerabilidades estructurales, enmascara amenazas severas y, al sangrar la potencia de computo, compromete la estabilidad operativa de los sistemas de información.
Es importante demostrar cómo una práctica, que teóricamente es inofensiva como la resolución de hashes, puede convertirse en el punto de quiebre de la seguridad informática de una institución. Para ello, es necesario explorar las consecuencias, entre las que destacan, el desgaste hardware y el consumo energético y los riesgos indirectos y sistémicos que a menudo pasan desapercibidos para muchos hasta que es demasiado tarde.
Para comprender el impacto en la seguridad, es necesario definir brevemente el mecanismo operativo de la criptominería y su inserción en un entorno institucional.
La minería de criptomonedas, se basa fundamentalmente en mecanismos de “prueba de trabajo” que exige una capacidad de procesamiento masiva. En un entorno doméstico, esto se realiza con hardware especializado o tarjetas gráficas potentes. Sin embargo, en un entorno institucional, el atractivo para los actores de amenaza radica en la capacidad de procesamiento agregado: clústeres de servidores, laboratorios informáticos con muchos ordenadores, y sistemas de alta disponibilidad que ofrecen una potencia de cálculo que un individuo particular no podría costear.
La amenaza se materializa en dos vertientes principales, la primera es la amenaza interna (insider threat) cuando el personal instala software de minería en los equipos de la institución para su beneficio personal, aprovechando la electricidad y el hardware de la organización. Mientras que la segunda es el llamado cryptojacking, que es una amenaza externa, resultante de ataques que comprometen la seguridad del perímetro para instalar mineros, utilizando para ello, generalmente códigos maliciosos o se infectan sitios web institucionales con scripts de minería en el navegador.
Ambos escenarios constituyen una violación de las políticas de seguridad de las instituciones, aunque difieren por lo sofisticado del vector de ataque y las repercusiones sobre la integridad del sistema.
Las consecuencias de este tipo de práctica son inmediatas y gravitan sobre la infraestructura, aunque se subestiman porque como se refiere a menudo «sólo usan la CPU», pero causan un daño que es tangible y costoso.
El propósito fundamental de un minero es maximizar el uso de los recursos de cálculo para resolver algoritmos criptográficos. En un sistema institucional, los servidores están dimensionados para soportar cargas de trabajo específicas: bases de datos, portales web, sistemas gestores de aprendizaje, entre otros. La práctica de la criptominería agota los recursos y degrada el rendimiento con respecto a lo planificado para ese hardware .
Si la minería se ejecuta en segundo plano, compite por ciclos de reloj y memoria con los procesos legítimos. Esto lo que no resulta en una simple ralentización ya que puede causar interrupciones críticas en tiempo real. Por ejemplo, en una institución, los sistemas de gestión de estudiantes o de investigación podrían tornarse inoperables en momentos cruciales.
Desde la óptica de la disponibilidad, la criptominería representa de facto un ataque de denegación de servicio (DoS), aunque no sea su objetivo, pero la degradación del rendimiento puede enmascarar fallos de hardware o errores de software, dificultando el diagnóstico por parte de los especialistas.
La criptominería opera al 100% de la capacidad de procesamiento de forma sostenida. Esta carga continua tiene efectos de deterioro acelerado en el hardware y costos ocultos que se materializan en el estrés térmico que degradan más rápido los capacitores y transistores que no pueden ser evacuadas por los sistemas de refrigeración de los centros de datos institucionales. Esto se revierte en acortamiento de los ciclos de vida que llevan a la reposición anticipada y gastos en inversiones para mejorar los servicios. A estos argumentos debe añadirse el costo energético por la mayor explotación del hardware y las mayores exigencias a los equipos de climatización.
Para maximizar la eficiencia, los mineros avanzados realizan modificaciones a bajo nivel en el hardware, como el aumento de la frecuencia de reloj y la modificación del BIOS o firmware de las tarjetas gráficas y placas madre de los ordenadores. Es vital tomar en cuenta que un BIOS modificado puede abrir puertas traseras a nivel de hardware que persisten incluso después de formatear el disco duro e instalar un sistema operativo limpio. La recuperación de un sistema comprometido a nivel de firmware es compleja, costosa y a menudo requiere intervención física especializada, lo cual excede las capacidades de los especialistas a nivel de las instituciones.
Existen consecuencias indirectas que afectan la confidencialidad y la integridad. Esto eleva el nivel de la criptominería a amenaza de seguridad grave. Muy rara vez el software de minería llega solo y en el caso del cryptojacking, la infección suele producirse por programas malignos diseñados para la propagación, logrando de esta manera afectar una gran cantidad de equipos de una red institucional y para esto el atacante necesita privilegios administrativos y para obtenerlos, utiliza exploits, troyanos de acceso remoto (RATs) o ataques de fuerza bruta.
Una vez controlado un sistema para instalar el minero, este último será solo un síntoma, el problema es la brecha de seguridad que se ha generado, porque a menudo dejan puertas traseras (backdoors) para mantener el acceso, incluso si el minero es detectado y eliminado. Esta persistencia permite utilizar el sistema en el futuro para otros fines maliciosos entre los que destacan el ransomware, la exfiltración de datos sensibles o simplemente utilizar el sistema como parte de una red zombie para ataques de denegación de servicios distribuidos contra terceros.
Por tanto, la detección de criptominería en una red institucional debe tratarse como una brecha de seguridad total que requiere una investigación forense profunda para asegurar que no se hayan dejado artefactos maliciosos adicionales y no como un incidente común que exceda las políticas de uso de las TIC de la organización por los efectos que posee que van mucho más allá de lo que se puede observar a nivel de la superficie.
Los software de criptominería, en especial las variantes maliciosas, se diseñan para la evasión de los mecanismo de detección de los sistemas. Esto supone un desafío a las herramientas de seguridad institucionales como cortafuegos, antivirus, sistemas de detección y prevención de intrusiones, entre otros.
Esto se puede afirmar porque los criptomineros utilizan técnicas de empaquetado y cifrado para evitar ser detectados por las firmas antivirus tradicionales mediante técnicas de ofuscación. Además, con frecuencia suelen esconderse en tareas programadas del sistema operativo o se disfrazan de procesos legítimos del sistema y para enviar los hashes resueltos al servidor de criptominera, utilizan una comunicación encubierta a través de programas maliciosos que utilizan puertos no estándar, tunelización DNS o los protocolos SSL/TLS para evitar la inspección del cortafuegos. Todo esto resquebraja la seguridad perimetral de la red dado el hecho de que los atacantes se ven obligados a encontrar brechas que pueden ser explotadas luego por otros intrusos.
A esto se debe sumar el hecho de que para “minar” la persona incrementa las amenazas porque para actuar necesita desactivar temporalmente los controles de seguridad en las estaciones de trabajo: antivirus, cortafuegos locales, herramientas de monitoreo, etc.
Cuando esta práctica se realiza en una red institucional, si se toman en cuenta los elementos expuestos antes se produce una exposición voluntaria a amenazas externas. Un equipo sin protección activa en una red constituye un vector de propagación ideal para gusanos informáticos. La motivación del lucro personal, provoca que se ignoren deliberadamente las políticas de seguridad, creando una cultura de negligencia que permea la organización. Si los propios usuarios consideran que las normas de ciberseguridad son obstáculos superables para sus fines, la cultura de seguridad institucional se colapsa. El fin justifica los medios.
Continuará…