Los sitios web de Showtime usan procesamiento de los visitantes para minar criptomoneda
Esta es la razón más reciente por la que los usuarios deberían de bloquear JavaScript: si no se hace, el poder de procesamiento de su computadora podría utilizarse para minar criptomonedas sin su conocimiento o consentimiento.
Minería de criptomonedas en el navegador
La opción de transferir la carga y el costo de minar criptomoneda a los usuarios finales a través de algún software de minería ha estado disponible por mucho tiempo. Sin embargo, la última versión de este enfoque no requiere que el malware se instale en las máquinas de los usuarios.
En su lugar, el poder de procesamiento de su computadora puede ser "alistado" a través de un simple JavaScript incrustado en el código de un sitio web. El JavaScript mantiene la "minería", es decir, calcular hashes con un algoritmo llamado Cryptonight, hasta que el usuario abandone el sitio web o cierre la pestaña.
Esta opción fue puesta a disposición por Coinhive, un proyecto que proporciona el código JavaScript a los propietarios de sitios web y efectivamente se les paga por su implementación. Coinhive mantiene alrededor del 30% del valor de la criptomoneda Monero minada para seguir funcionales y obtener sus propios beneficios.
Se suponía que sería una forma alternativa para que los propietarios de sitios ganaran dinero, en lugar de hacerlo mostrando anuncios intrusivos. Esto significaba una ganancia para todos, los propietarios de sitios web, los visitantes y el equipo de Coinhive, ya que la minería no se suponía que fuera mantenida en secreto de los usuarios.
Cada tecnología se puede utilizar para bien y para mal
Lamentablemente, no tardó mucho tiempo para que los actores sin escrúpulos comenzaran a comprometer extensiones de navegadores y sitios web populares para equiparlos con el JavaScript de minería.
El último incidente involucró varios sitios web de la subsidiaria de CBS, Showtime. Según The Register, Showtime.com y ShowtimeAnytime.com estaban equipados con el código minero y durante un par de días consumieron hasta un 60 por ciento de la capacidad de CPU de los visitantes.
El script fue retirado el lunes, pero la cuestión de quién lo puso allí permanece. Showtime todavía no ha comentado nada sobre el incidente y New Relic, una compañía de análisis web en cuyo código HTML se encontraba el script de manera comentada, aseguraron que ellos no tenían nada que ver con el código.
"Al revisar nuestros productos y código, los comentarios HTML mostrados en la captura de pantalla que hacen referencia a newrelic no fueron insertados por los agentes de New Relic. Parece que fueron agregados a la página web por sus desarrolladores", dijo el portavoz de la compañía.
El equipo de Coinhive no reveló detalles sobre el propietario de la cuenta asociada con ese código minero en particular, pero confirmó que la dirección de correo electrónico asociada con él no es una dirección oficial de CBS.
¿Ahora qué?
Algunos usuarios han estado a salvo de este "ataque" durante un tiempo, ya que muchos bloqueadores de anuncios ya están bloqueando el script de Coinhive. Otra solución fácil es simplemente desactivar JavaScript en su navegador.
Si su computadora se ha ralentizado y sospecha que un minero es la razón de esto, puede utilizar el Administrador de tareas (en Windows) y el Monitor de actividad (en Mac) para comprobar si el uso de la CPU es anormalmente alto y, si lo es, identificar la causa.
En cuanto a Coinhive
"Probablemente es demasiado tarde para hacer algo sobre los adblockers que ya impiden que nuestro JavaScript actual se cargue. En su lugar, nos centraremos en una nueva implementación que requiere un opt-in explícito del usuario final para ejecutarse ", señaló el equipo en una publicación reciente.
"Vamos a verificar este opt-in en nuestros servidores y se aplicará de manera que no pueda ser eludido. Nos comprometemos a mantener el opt-in al tanto en todo momento, sin excepciones. De esta manera, esperamos convencer a las extensiones de bloqueo de anuncios para que no bloqueen esta nueva implementación, sino que la vean como una biblioteca de JavaScript que se puede integrar a su sitio”.
Artículos relaionados:
- Ataques al navegador
- (In)Seguridad en Java: La biografía no autorizada
- Recomendaciones antes de liberar tu página web