Como muestra el más reciente estudio de nuestros expertos, a pesar de la caída en el precio de muchas criptomonedas y la decisión de Ethereum, una de las más importantes, de alejarse de la minería, los mineros maliciosos siguen amenazando a las empresas, especialmente aquellas que usan una infraestructura en la nube. Exploramos los peligros de la minería y cómo proteger los recursos informáticos de una empresa.
La minería está muerta. Larga vida a la minería
Después del anuncio de Ethereum en el que afirmaba que pasaría de confirmar transacciones utilizando el método de prueba de trabajo al modelo de prueba de apuesta, muchos predijeron el final de la minería. El primero necesita de una gran potencia informática, mientras que el segundo necesita muchos menos recursos y participantes para confirmar una transacción: desde el punto de vista informático es unas mil veces más eficiente. Teóricamente, el abandono del concepto de prueba de trabajo podría haber disminuido significativamente la popularidad de la minería.
El tan esperado cambio tan sucedió el 15 de septiembre y vaya que afectó, en cierta medida, la popularidad de la minería. Por ejemplo, el precio de las tarjetas gráficas usadas para la extracción de Etherium cayó bruscamente cuando inundaron el mercado secundario. Los que se dedican a la minería legal comenzaron a cambiar a la minería de otras criptomonedas, a vender sus sistemas informáticos o a encontrar otros usos. No obstante, esta disminución de la actividad no aplica para aquellos atacantes que minan a costa de terceros.
Aunque en realidad nunca se han centrado mucho en extraer Etherium, siendo solo la tercera moneda más popular, ya que siempre han preferido minar Monero, la cual garantiza un anonimato total de las transacciones. Para producir Monero, también se necesita de la minería, pero no de las tarjetas gráficas. Esta criptomoneda se extrae mejor en CPU ordinarias que, se encuentran en cualquier computadora, a diferencia de las potentes unidades de procesamiento gráfico. Las más poderosas se ejecutan en servidores, por ello suelen atraer tanto a los atacantes.
Cómo amenazan los mineros a las empresas
En otras ocasiones ya hablamos sobre los problemas que los mineros pueden causar a un usuario particular:
– Facturas eléctricas elevadas.
– Un rendimiento más lento debido a la alta carga en la CPU y la tarjeta gráfica.
De igual manera, muchos usuarios nunca apagan sus computadoras y la mayoría puede tolerar las ralentizaciones. Pero para las empresas las amenazas son más graves. Además de lo anterior, los mineros de criptomonedas no deseados pueden conducir a:
- Un mayor desgaste de los equipos, lo que provoca errores prematuros (y aunque afecta también a particulares, el daño es más grave en empresas).
- Un aumento en la carga de los servidores de la empresa que, al igual que un ataque DDOS, puede desconectar los servicios; la alteración de la disponibilidad o el funcionamiento inestable de estos servicios supone pérdidas.
- Mayores costes en el mantenimiento de la infraestructura en la nube; cuando Amazon, Google o Microsoft agregan un cero a la factura a fin de mes, pueden causar estragos en el balance de la empresa. Según este informe de Google, el 86 % de los casos exitosos en el hackeo de una cuenta de la plataforma Google Cloud, los atacantes instalaron mineros. A su vez, los costos por minar criptomonedas en la infraestructura de la nube son 53 veces más altos de media que la recompensa, lo que, por supuesto, no detiene a los ciberdelincuentes, ya que no son ellos quienes corren con los gastos.
Los mineros aterrorizan a los proveedores de infraestructuras
Los ataques mineros representan la peor amenaza para las empresas no solo que utilizan la infraestructura en la nube, sino que también brindan a sus clientes servicios basados en la nube de los principales proveedores. En especial si proporcionan IaaS (infraestructura como servicio) o PaaS (plataforma como servicio).
La diferencia entre estas empresas y las demás es que deben preocuparse no solo porque mineros malintencionados penetren en la infraestructura de forma encubierta, sino también de aquellos regulares y legítimos.
Si una empresa proporciona infraestructura o una plataforma como servicio, sus clientes tienen cierto grado de libertad para usarla: generalmente pueden hacerlo como les plazca, incluso ejecutar varias aplicaciones, entre ellas, los mineros.
Por tanto, no es raro que los ciberdelincuentes creen varias cuentas en dichos servicios a la vez y las utilicen para ejecutar mineros sin dejar que consuman más recursos de los que proporciona el servicio con una cuenta gratuita. Un ataque de este tipo que involucre a cientos de cuentas puede generar una carga monstruosa en los servidores, dejando el servicio inestable y aumentando enormemente los gastos de infraestructura de la empresa. Además, puede resultar más difícil para un proveedor de infraestructura detectar un ataque de este tipo que, por ejemplo, una empresa SaaS, ya que no siempre puede ver todos los procesos ejecutados por los clientes debido a su propia política de privacidad.
Cómo pueden tratar las empresas con los mineros
Tomando esto en cuenta, las empresas no pueden solo hacerse de la vista gorda ante la amenaza de la minería. Lo ideal sería, en primer lugar, prevenirse; pero si no, debe ser detectado y detenido lo antes posible.
De acuerdo con otros datos de Google, la mayoría de los casos de compromiso del servidor se deben al uso de contraseñas débiles y a un deficiente control de acceso. Por tanto, el foco debe ponerse en el acceso a los recursos informáticos:
- Establece contraseñas seguras y únicas en todas partes.
- Habilita la autenticación de dos pasos para acceder a los recursos de los proveedores de la nube siempre (de esta forma, si la contraseña se filtra o se consigue por fuerza bruta, los atacantes no obtendrán el control de la cuenta sin el siguiente paso).
- Restringe el acceso a la gestión de la infraestructura: mientras menos empleados tengan accesos con privilegios elevados, menos probabilidades habrá de que el acceso se vea comprometido.
- Utiliza soluciones de seguridad que detecten actividades sospechosas tanto en dispositivos físicos como en equipos virtuales.
Además de lo anterior, los proveedores de IaaS y PaaS deben:
- Tener la capacidad de monitorizar la actividad del usuario de una forma u otra; si no es posible supervisar los procesos activos a nivel del equipo virtual (evitando la ejecución de scripts idénticos por parte de diferentes usuarios), al menos asegúrate de que distintas cuentas no utilicen el mismo repositorio.
- Contar con un sistema de alerta adaptado a actividades atípicas e involucrar a expertos cuya respuesta pueda ser rápida.
- Prestar más atención a corregir vulnerabilidades en el software de la infraestructura o la plataforma de forma oportuna, ya que los atacantes pueden explotarlas para hackear e instalar mineros.