Imagen creada con IA
A nivel internacional, la responsabilidad no solo se aplica al factor humano, también se han establecido normas jurídicas que obligan a las instituciones que manejan datos personales a proteger la infraestructura y los datos como punto de partida para garantizar que no se produzcan filtraciones. Esto ha provocado que a muchas organizaciones se les impute negligencia en la protección de datos por la exfiltración de estos.
A esto se puede añadir, si no se actúa con diligencia para frenar el minado de criptomonedas la existencia de cargos por blanqueo de capitales, si las criptomonedas generadas se vinculan a redes de crimen organizado. Todo esto sin contar el daño reputacional que puede implicar para la organización el estar comprometida en la criptominería.
Pero el problema tiene otras aristas más complejas porque esta práctica exacerba riesgos que pueden incidir por la contaminación en la cadena de suministro de software, por el uso de repositorios de código abierto y bibliotecas de terceros donde se inyecta código malicioso. También se puede producir el compromiso de infraestructuras que se consideran críticas para la gestión institucional y el movimiento lateral del minero para comprometer nuevos equipos, si la red institucional posee una segmentación insuficiente.
Una amenaza importante está en la persistencia de estos ataques de ahí la importancia de conocer el «modus operandi» para apreciar cuan sofisticada es esta amenaza.
Uno mecanismo muy socorrido es el de los scripts en navegador. Esta técnica, popularizada por servicios como CoinHive, inactivo en la actualidad, inyecta código JavaScript en sitios web legítimos de forma que quien ingresa el sitio web comprometido, cualquier visitante ejecutará el minero en su navegador. Si bien el minero no afecta el disco duro del usuario, consume sus recursos y puede causar inestabilidad en dispositivos móviles. En las organizaciones, implica la vulneración de sus servidores web e indica fallos en la gestión de parches o contraseñas débiles, en especial en CMS como WordPress o Joomla.
Los mineros modernos a menudo operan directamente en la memoria RAM sin escribir archivos en el disco. Esto hace que sean extremadamente difíciles de detectar por los antivirus tradicionales basados en firmas de archivo. Este tipo de actividad maliciosa requiere soluciones de seguridad avanzadas del tipo Endpoint Detection and Response, que analizan el comportamiento de todo el sistema.
Otro mecanismo es la explotación de las vulnerabilidades del tipo «Zero-Day» o «N-Day». Esto muestra que los ataques de esta índole no buscan la complejidad sino la efectividad. Por ello, el hecho de que un minero logre infectar un sistema indica que la institución tiene limitaciones en la gestión de vulnerabilidades y parches. Este tipo de falla haría factibles un ataque de de tipo ransomware. En fin, en la criptominería, si hay minado, hay una vulnerabilidad crítica sin parchear.
Ante estas realidades las organizaciones establecen políticas de uso aceptable y gobernanza donde la criptomineria no tiene cabida, ya que para que se produzca un minado seguro debe hacerse desde redes segregadas, lo que implica un gasto de recursos que no es aceptable salvo que la inversión se justifique por un proceso de investigación legítima en blockchain.
Bajo estas condiciones las organizaciones establecen un endurecimiento de sus sistemas a partir de deshabilitar puertos innecesarios, eliminar herramientas remotas de administración y sobre todo el mantenimiento de la confianza cero, que permite que a partir de la segmentación de la red no sean accesibles los servidores de la institución, que se conjuga con el principio de mínimo privilegio que impedirá a instalación no autorizada de software por los usuarios en las estaciones de trabajo y que sustenta los escenarios aprobados para las PC en la red institucional.
De todo lo expuesto se deduce que la práctica de la criptominería en las instituciones es un delito que deja huellas y victimiza al sistema informático porque representa una amenaza compleja que golpea los tres pilares fundamentales de la seguridad de la información.
Se compromete la disponibilidad al degradar el rendimiento, acortar la vida útil del hardware y consumir recursos energéticos críticos, la integridad y la confidencialidad, porque la presencia de un software minero suele indicar brechas de seguridad profundas, puertas traseras activas y vulnerabilidades en la gestión de parches que exponen datos sensibles a la exfiltración.
Es imperativo comprender que la respuesta ante esta amenaza no puede ser puramente reactiva o técnica, sino que requiere una aproximación que combine tecnología avanzada de detección, políticas de gobernanza estrictas y una cultura de ciberseguridad robusta como escudo ante un enemigo silencioso que actúa de forma encubierta como los griegos que atacaron Troya agazapados en el caballo de madera, Por ende, ignorar o subestimar su impacto es dejar las puertas abiertas a amenazas mucho más letales como el ransomware o el espionaje de diversa índole.