Una traducción libre de cryptojacking sería “criptocuestro”, ya que el término viene de la fusión de esas dos palabras en inglés. Consiste en utilizar de forma encubierta, sin el conocimiento o autorización del propietario, los recursos de un ordenador, smartphone u otro dispositivo para minar criptodivisas mediante minería basada en navegador cuando el propietario se conecta a ciertas webs.
Para entenderlo mejor hay que profundizar un poco. Tras la aparición del bitcoin en 2009 la figura del “minero casero” que picaba desde su ordenador personal fue desapareciendo ante las exigencias cada vez mayores de energía y el empleo generalizado de chips ASIC. Esta tendencia dio un giro total en 2014 con la aparición de nuevas criptodivisas que se minan de nuevo a través de un navegador, como Monero.
El más popular de los programas en la minería de navegador es Coinhive, en JavaScript, pero no es el único: Crypto-Loot, PPoi, JSEcoin… En general estos scripts permiten al desarrollador utilizar los recursos del dispositivo de un visitante de cierta web para minar Monero. El resultado para ese visitante: una disminución del rendimiento, un posible aumento de la factura eléctrica y una reducción de la vida de su dispositivo a largo plazo.
Una herramienta de monetización o un descarado saqueo
¿Y el administrador de la página que visito cuando se activa este script de minería no sabe nada de esto? Ahí está el quid de la cuestión: unos sí y otros no. De hecho, hay muchos que no sólo lo saben, sino que son ellos y no un hacker externo quienes lo han instalado, y no lo ocultan. Es el caso de The Pirate Bay, el sitio de noticias Salon.com o Unicef (nada menos), que lo hacen para monetizarse sin usar anuncios.
Otros, como la poderosa cadena de televisión por cable norteamericana Showtime, están a medio camino; explicaron que “cryptojackeaban” a los visitantes de su web para evitarpublicidad, pero no habían advertido a los usuarios. En muchos otros casos es pirateo puro y duro, como ocurrió con muchos anuncios de YouTube en enero de 2018.
Para detectar y evitar esta práctica en nuestros propios procesadores hay varios caminos. Hay una web llamada Who is Mining con un completo listado de páginas no confiables. Chrome tiene extensiones especializadas (No Coin o MinerBlock). Los bloqueadores de JavaScript o de anuncios también son efectivos. Si la web no informa y pide permiso, mejor bloquearlo.