Después de las quejas de muchos usuarios, un equipo de investigadores confirma un ciberataque en España
30 ene 2018 . Actualizado a las 17:06 h.Todo comenzó hace poco menos de una semana cuando un elevado número de usuarios dio la voz de alarma a través de sus redes sociales. Se quejaban de que cuando visitaban YouTube sus programas antivirus avisaban de peligro y bloqueaban los anuncios que acompañan a los vídeos. Una sospecha de ciberataque que fue confirmada horas después por trabajadores de la compañía de ciberseguridad Trend Micro. Estos investigadores alertaron de que ciberdelincuentes habían infectado anuncios de la plataforma DoubleClick, propiedad de Google -que ofrece un servicio de difusión masiva de publicidad a través de la Red- para utilizar sin consentimiento equipos de un gran número de usuarios con el objetivo de minar (es decir, descubrir o fabricar) criptomoneda, una aplicación maliciosa cada vez más frecuente. Entre los países afectados estaría España, además de Japón, Francia, Taiwán o Italia.
Este tipo de ataques de criptojacking (o basados en la minería de criptomoneda), parten de un código que se activa cuando el usuario visita determinada web. Mientras se consume el contenido (en este caso, los anuncios de los vídeos de YouTube) y sin que el usuario lo sepa, los ciberdelincuentes utilizan muchos de los recursos del ordenador de la víctima para minar monedas, lo que impacta en el rendimiento del sistema. Es decir, se apropian de la CPU o GPU de la víctima, además de sus recursos informáticos, para fabrican criptomonedas. Trend Micro explica que los responsables del ciberataque escogieron atacar la publicidad de Google para alcanzar «a un número mayor de usuarios». Normalmente este tipo de malware se esconde en páginas populares, principalmente de streaming y de intercambio de archivos, sin que los usuarios tengan noticia de ello.
Según explica Trend Micro, el nuevo ciberataque se verificó al detectarse un significativo incremento en el número de detecciones del minero Coinhive (el malware más usado para minar monedas digitales), especializado en la criptomoneda Monero, y de otro código malicioso similar. Coinhive ascendió el pasado diciembre al puesto número uno del ránking de malware en España. El pasado miércoles, el incremento del número de mineros Coinhive detectados casi alcanzó el 285 %, pero fue ya el pasado día 18 cuando se comenzó a detectar un aumento del tráfico hacia cinco dominios maliciosos.
Las páginas afectadas presentan dos scripts mineros y un tercero que muestra los anuncios de DoubleClick, de forma que el usuario ve correctamente el contenido mientras los códigos maliciosos actúan de manera encubierta.
Google afirma que los anuncios infectados fueron eliminados en dos horas
Ante las críticas de los usuarios, Google ha asegurado que ha tardado menos de dos horas en eliminar los anuncios procedentes de su plataforma publicitaria DoubleClick que fueron infectados con scripts que utilizaron sin consentimiento equipos de un gran número de usuarios para minar criptomoneda. También precisa que los actores maliciosos fueron eliminados «rápidamente» de sus plataformas.
A través de un breve comunicado, la compañía ha reivindicado que ha estado monitorizando «activamente» la minería de criptomonedas a través de anuncios, a pesar de ser una forma de abuso «relativamente novedosa». Dado que esta actividad infringe sus políticas, la compañía ha trabajado en «todas» sus plataformas con un sistema de detección «de varias capas», que es actualizado «a medida que surgen nuevas amenazas».