Dos investigadores españoles han analizado, por primera vez, la red internacional que infecta ordenadores de terceros y roba su potencia computacional para minar criptomonedas. En los últimos 10 años, los delincuentes han generado cerca de 45 millones de euros con esta técnica
Las criptomonedas se han convertido un imán de actividades ilegales como el robo y el fraude. Pero uno de los delitos menos denunciados es el robo de la potencia de procesamiento de terceros para minar criptomonedas como Bitcoin y Monero. El ladrón puede cambiar las criptomonedas que ha generado por dinero real, que puede ascender a grandes sumas.
Pero, ¿Qué extensión tienen estas redes mineras ilegales y cuánto dinero ganan? La respuesta se encuentra en el trabajo del investigador de la Universidad Carlos III de Madrid (España) Sergio Pastrana y del King's College de Londres (Reino Unido) Guillermo Suarez-Tangil. Ambos han analizado estas redes en detalle por primera vez y aseguran que generan beneficios bastante mayores de lo que se había imaginado.
Pastrana y Suárez-Tangil estiman que, hasta la fecha, este tipo de delito ha generado cerca de 45 millones de euros. La investigación afirma: "Según nuestro conocimiento, este trabajo presenta el mayor estudio sistemático de criptominería binaria maliciosa".
Existen dos formas principales de robar la potencia de procesamiento. La primera consiste en crear una página web con un script que se apropia de la unidad central de procesamiento (CPU, por sus siglas en inglés) del ordenador. De repente, los desprevenidos visitantes de la página encuentran su CPU sobrecargada y sus ventiladores a punto de explotar.
Por supuesto, el problema se puede detener cerrando la página en cuestión. Para analizar el nivel de uso de esta estrategia, los investigadores han analizado el número de páginas web que contienen este tipo de malware y estimando cuántas veces han sido visitadas y durante cuánto tiempo.
El segundo método es mucho más difícil de investigar. Se trata de un malware de criptominería, que se suele esconder en un código legítimo, que los usuarios instalan y ejecutan en sus ordenadores sin sospechar de nada.
Este malware está diseñado para ser difícil de detectar. Algunos se apagan cada vez que el usuario abre el administrador de tareas, por lo que es complicado encontrar pruebas de su actividad. Otros tipos de este malware solo se encienden cuando la CPU está en reposo, suponiendo que el usuario está alejado del dispositivo. Pastrana y Suarez-Tangil han centrado su estudio en este segundo tipo, también conocido como el malware de base binaria. Y sus conclusiones resultan.
En primer lugar, algunos antecedentes. La minería de criptomonedas es el proceso que codifica un registro de transacciones para que no pueda ser modificado ni manipulado posteriormente. Este cifrado debe ser lo suficientemente fuerte para que resulte casi imposible rediseñar el registro. Eso requiere una gran potencia de procesamiento, un recurso cada vez más valioso. Así que los mineros son recompensados por sus esfuerzos con pequeñas cantidades de criptomoneda. Es por eso que el proceso se llama minería: porque crea una nueva moneda.
El proceso de minería consume tanta potencia computacional que los mineros se suelen juntar en grupos. De esta manera, combinan su capacidad de procesamiento y luego comparten las recompensas, que se pagan en carteras de criptomonedas.
El malware de criptominería se dedica a robar el poder de procesamiento del ordenador en el que se ha instalado. El software malicioso descarga el programa de minería de código abierto que realiza el cifrado, luego inicia sesión en un grupo de mineros y transfiere cualquier recompensa a su cartera digital.
Y es exactamente este proceso el que ha permitido a Pastrana y Suárez-Tangil analizar la actividad de estos mineros maliciosos. El malware contiene información sobre los grupos de mineros a los que se conecta y las carteras donde ingresan los pagos. Así que los investigadores solo tuvieron que extraer esta información a escala masiva. Encontraron un millón de ejemplos de malware de criptominería entre 2007 y 2018. Luego analizaron el código involucrado y ejecutaron el malware en un entorno de pruebas protegido (sandbox) para ver qué hacía.
Este proceso reveló los grupos de mineros involucrados con más frecuencia en la criptominería ilegal. También reveló las carteras, lo que permitió a los investigadores calcular cuántas criptomonedas había recibido cada una. La investigación detalla: "Luego, analizamos los pagos disponibles públicamente que se envían a las carteras de los grupos mineros como recompensa y estimamos los beneficios de los diferentes trabajos".
Los resultados de este análisis son muy interesantes. Los investigadores encontraron que Monero es, y con diferencia, la criptomoneda más popular para los delincuentes y que la magnitud de su actividad era asombrosa. Pastrana y Suárez-Tangi afirman que más del 4,3 % de todas las criptomonedas Monero en circulación se han generado a través de esta actividad criminal.
Y es un negocio rentable. Los tipos de cambio de las criptomonedas han variado enormemente a lo largo del tiempo. Como no hay forma de saber cuándo los criminales convirtieron sus ganancias, Pastrana y Suárez-Tangi tuvieron que hacer una estimación. Pero incluso con estimaciones a la baja, los ingresos son muy altos.
El trabajo afirma: "Nuestro análisis de beneficios revela actividades con ganancias multimillonarias". De hecho, la cantidad total generada de esta manera es de alrededor de 50 millones de euros en los últimos 10 años. Y la mayor parte parece haber sido beneficio de un número relativamente pequeño de personas. "Una de las principales razones del éxito de este negocio criminal es su costo relativamente bajo y el alto retorno de la inversión", afirman los investigadores.
Detener esta actividad no será fácil. Durante su investigación, Pastrana y Suarez-Tangi denunciaron algunas carteras ilícitas a los grupos mineros más grandes con la esperanza de que fueran prohibidas. Pero se encontraron con dos problemas. En primer lugar, algunos grupos se negaron a prohibir las carteras vinculadas al malware. En segundo lugar, algunas campañas exitosas de criptominería ilícita usaron varios grupos de mineros al mismo tiempo, lo que las vuelve más resistentes a las operaciones de eliminación.
No obstante, hay una contramedida que parece funcionar bien. De vez en cuando, las autoridades de la criptomoneda realizan cambios en los algoritmos utilizados para minar la moneda. Cuando esto sucede, el software de minería se debe actualizar. Eso no es un problema para los mineros legítimos. Pero los mineros maliciosos deben encontrar una forma de actualizar el malware que han distribuido en la web. Y esa no es una tarea tan fácil. Monero cambió sus algoritmos dos veces en 2018. "En cada cambio, aproximadamente el 73 % y el 90 % de las campañas cesaron sus operaciones", concluye la investigación.
Ese es un trabajo interesante que ha destapado una actividad criminal enormemente rentable poco denunciada. También sugiere una forma efectiva de acabar con ella actualizando periódicamente los algoritmos de minería. Será interesante ver cómo reacciona la comunidad de criptomonedas.
Ref: arxiv.org/abs/1901.00846: A First Look at the Crypto-Mining Malware Ecosystem: A Decade of Unrestricted Wealth