Cuidado con los scripts de Cryptocurrency Miner que secuestran tu navegador

La gran mayoría de los sitios web utilizan enlaces de afiliados o anuncios a través de un tercero (o a través de su sistema propietario) para obtener ingresos. Puede ser un poco molesto, pero algunos sitios web han llegado a un punto en el que están tratando de «mezclar» estos anuncios con su contenido de tal manera que no sean una monstruosidad para los visitantes. Otros han empezado a escribir guiones que usan las computadoras de sus visitantes sin su consentimiento para «minar» criptocurrencies para que puedan obtener ganancias. Esto se ha convertido en un problema tal que está empezando a captar la atención de los desarrolladores de navegadores.

Cómo funcionan los scripts de minería

El mejor ejemplo de uso de scripts para minería viene de la época en que The Pirate Bay -un destino popular para la piratería de software y de medios- ha sido capturado con un script que extrajo a Monero de los ordenadores de los visitantes.

Muchos usuarios se encontraron sin saberlo dando al sitio los ingresos que necesita para seguir funcionando (y luego algunos) usando la potencia de su computadora para minar una criptocurrencia. Los propietarios del sitio web hicieron esto para evitar mostrar anuncios.

Los scripts de minería como estos funcionan porque se ejecutan en el lado del cliente. Mientras que los lenguajes de scripting como PHP suelen utilizar los recursos del servidor para enviar datos al cliente sobre cómo deben mostrar una página en particular, los lenguajes como JavaScript dependen casi por completo de los recursos del visitante, delegando algunas de las tareas de presentación de los elementos de la página al navegador que visita el sitio.

Por ejemplo, se podría escribir un script en JavaScript que le pida al navegador que obtenga un anuncio de un proveedor externo, muy parecido al funcionamiento de Google AdSense. En el caso de scripts de minería, el código le pide al navegador que done su potencia de cálculo para extraer una criptocurrencia. Y el navegador cumple con esta petición, no sabiendo nada mejor.

Cómo saber si está siendo secuestrado

La manera más sencilla de detectar este tipo de script que se ejecuta en una página es mirar a través de sus tareas y ver si algo está consumiendo una cantidad inusual de energía de la CPU. Si el uso de tu CPU alcanza el 100% en un núcleo mientras estás visitando una página basada en texto (y ves que una de las tareas de tu navegador es la culpable), entonces probablemente estás siendo secuestrado.

Para detener el secuestro, sólo tienes que cerrar la pestaña que crees que está consumiendo todos tus recursos. Si está usando un navegador que ejecuta múltiples tareas en su gestor de tareas (o procesos en el monitor de su sistema para aquellos de nosotros que usamos Linux), entonces puede simplemente cerrar la tarea culpable y ésta matará la pestaña por usted.

¿Qué están haciendo los desarrolladores de navegadores al respecto?

No sé si la gente de Mozilla o de otros desarrolladores de navegadores ya lo han visto, pero es probable que sea porque los ingenieros de Google en el proyecto Chromium están empezando a mostrar conciencia sobre el problema. Ojan Vafai, uno de los ingenieros, ha respondido a un informe de fallo anterior el 19 de octubre de 2017 y ha propuesto algunas soluciones al problema, incluyendo una idea que implica estrangular automáticamente las pestañas utilizando la CPU en gran medida.

Esto no significa necesariamente que la solución llegue de la noche a la mañana, pero dado que los ingenieros ya son conscientes del problema, podemos estar seguros de que están trabajando para proteger a los usuarios del navegador tan pronto como logren un consenso sobre qué hacer con los scripts de minería.

Dado que los navegadores suelen seguirse unos a otros, es probable que otras soluciones se vayan deshaciendo con el paso del tiempo.

¿Qué cree que deberían hacer los desarrolladores de navegadores para combatir los scripts de minería? ¿Los considera una alternativa válida a la publicidad (si no acaparan toda la potencia de su CPU)? Cuéntanos todos tus pensamientos en un comentario!

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *