Minando que es gerundio. Parte 2/4

En el Primer Artículo post-navideño de GLIDER.es os contaba lo que significa minar criptodivisas, en ese caso os hablé de Bitcoins, pero ya os anticipé que aunque hoy en día los BTC es la criptomoneda mas reconocida y popular, no quiere decir que sea la única. También os puse en situación de lo que implica realmente minar criptomonedas, con todas las dificultades que esto nos puede suponer: desde tener que comprar dispositivos de minado muy caros, que en un corto espacio de tiempo se quedarán obsoletos, hasta el dinero que tendremos que destinar a pagar la electricidad que consumen nuestros mineros poder mantenerlo encendidos y en producción. Es decir, un doble gasto, por un lado los miles de euros que cuesta comprar los mineros y por otro la electricidad que tendremos que gastar para hacerlos funcionar, siempre y cuando no se nos ocurra utilizar la “electricidad del vecino” sin su permiso, pero ya vimos, que los que hacen eso, al final, acaban comiendo “macarrones”.

 

Fig 1. Unos cuantos mineros incautados.

 

Entonces… – ¿Qué otras opciones nos quedan para poder minar criptomonedas y no tener que hacer una inversión (al menos inicial) de miles de euros?. – Pues subirnos al carro del Minado Web.

Si, minado web, eso que está tan de moda ahora y que tantos titulares nos ha dado en las últimas semanas, dicho sea de paso, titulares todos ellos negativos, normalmente por utilizar la minería web de forma fraudulenta, es decir sin permiso del usuario, esto si lo haces en un web de un par de visitas al día no tendrá mucha repercusión, pero si lo haces en una web con miles de visitas (como todos sabemos que ocurrió) será portada de varios medios de comunicación. Pero antes de meternos en materia, voy a explicar un poco que es eso del minado web.

 

Fig 2. Coinhive, uno de los principales sistemas de minería web.

 

Si para minar BTC (Bitcoins) a través de mineros tradicionales, necesitábamos un minero por un lado y la energía eléctrica por otro, para la minería web tan solo necesitamos un código javascript y una web en la que inyectarlo, es decir, solo necesitamos copiar el código JS (javascript) en nuestra web, y cada visitante que acceda a la web ejecutará dicho código a través de su navegador web y este ordenará al CPU realizar una serie de operaciones matemáticas muy complejas, lo que ya os expliqué en el artículo anterior sobre calculo de hashses por segundo. Durante el tiempo que mantengamos el navegador abierto con esa web, nuestro ordenador permanecerá minando criptodivisas gracias a la potencia de computo del CPU (ni GPU, ni ASIC), lo que implicará que este se ponga al 100% de su capacidad, o lo que es lo mismo, como cuando vas a pasar la ITV de tu coche diésel, y para pasar la prueba de humo pones el motor del coche a las máximas revoluciones a las que pueda ir durante un rato, te gastará bastante combustible durante el proceso, pero quedará impoluto (o casi) para la prueba de gases.

 

Fig 3. Vehículo calamar-diésel alto de revoluciones.

 

Pero si es un portátil y lo pones al 100% de su capacidad, como mucho notarás que el sistema va un poco más lento y si tiene ventilador que este se encenderá, y si es un ordenador de sobremesa, a parte de la lentitud del sistema y los ventiladores, el consumo eléctrico se podrá disparar. Según el consumo de tus CPU, puedes pasar de que tu ordenador esté gastando unos cuantos mWh a varios  kWh. Ya hemos visto que el primer problema de la minería web, es que ralentiza el ordenador y que puede hacer que este consuma más electricidad, además de poder dañarlo por hacerlo trabajar a un rendimiento superior para el que no está preparado. Pero si yo soy el dueño de la página web que ha insertado el código de minado de manera subrepticia en una web, ya os digo que poco me importará el sobre coste de vuestra factura eléctrica o los daños que puedan sufrir vuestros ordenadores. Yo de lo único que me voy a preocupar es de exprimir al máximo vuestros equipos para sacarme unos Euros. Pero tranquilos, sabéis que yo no soy así 😉 Por eso no he insertado ningún tipo de código de este tipo en GLIDER.es, bueno, mejor dicho, no lo he insertado en ningún lugar al que alguien pueda acceder sin conocimiento de causa.

 

Fig 4. CPU quemado.

 

Hace ya unas semanas que llevo haciendo pruebas con estos mineros Web para ver como funcionan, conocer su rendimiento real, los beneficios y perjuicios que pueden causar a los visitantes, así como los inconvenientes que puedan causar para la propia web, de eso es de lo que os voy a hablar en este artículo.

Antes de nada, si queréis ver por vuestros propios medios como funciona un minero web, os dejo Este Enlace al apartado de Minería Web de GLIDER.es, eso sí: tan pronto accedáis, si no tenéis ningún tipo de bloqueo para sistemas de minería online en vuestro ordenador o navegador, notareis todo lo que os conté anteriormente, ya que tan pronto accedáis, vuestro ordenador se pondrá a minar criptomonedas, más concretamente: Moneros (XMR), que es un tipo de criptomoneda, pero de eso ya os hablaré más adelante.

 

Fig 5. Enlace al apartado de MineríaWeb en GLIDER.es

 

Como soy legal, aunque en GLIDER.es el código de minado está oculto para los ojos del visitante (y sin encodear para que vuestros bloqueadores de ser el caso, funcionen correctamente) he insertado unos contadores visibles para que podáis ver por ejemplo cuantos hashes/segundo son capaces de generar vuestros dispositivos. Como curiosidad deciros que me he llevado una gran sorpresa con la capacidad de minado que tienen los nuevos iPhone 8, siendo capaces de obtener tasas de 50 hashes/segundo, lo que es una cifra que no esta para nada mal ¿Y vuestros dispositivos cuantos hashes/sg son capaces de generar?. En general, los smartphone de media-alta gama con los que he realizado las pruebas de rendimiento obtuvieron tasas de cálculo muy superiores a un ordenador domestico, por ejemplo a equipos con procesadores i5 (sin parchear para Meltdown y Spectre), lo que me hacen pensar, que montar granjas de minado con smartphones no es una idea para nada descabellada.

 

Fig 6. Granja de Smartphones.

 

Pero también puedo ser un cap*** e inyectar el mismo código de tal manera que no se vea nada extraño, tan solo la web normal, o incluso una web blanca, como es en Este Caso. Aunque simplemente veáis una web totalmente blanca, con un simple “restringido“, sabed que por debajo, vuestro dispositivo también estará minado Moneros para mi. Pero claro, insertar un minero en una web sin avisar a los usuarios nos es muy ético. Para combatir este tipo de páginas, existen bloqueadores de minería, ya sea a través del propio navegador que detecta el código JS y lo boquea o nos avisa, o incluso a través de los propios antivirus, como es el caso de Eset, que alerta y bloquea al usuario cuando va a acceder a una web en la que han insertado un código de minería.

 

Fig 7. Antivirus ESET bloqueando Coinhive

 

Otro opción para saber si una web está minando algún tipo de criptomoneda, es utilizar los servicios de: Who is mining? Una web que nos informa si en en enlace que le pasamos contiene algún código de minado. Aunque como todo, siempre se puede engañar al sistema para que no detecte el minado, aunque sea tan flagrante como es en el caso del apartado de Minería Web de Glider.es, se le puede engañar igual para que no lo detecte:

 

Fig 8. Who is minning? No detected.

 

Y no, no he encondeado el JS para que Who is mining? No lo detecte, si os fijáis en el apartado de Minería Web de GLIDER.es, el código fuente está perfectamente visible y se pueden leer sin ningún problema las instrucciones con las que opera el minero. ¿Cómo he conseguido engañar a “Who is minning” para que no detecte la minería en GLIDER.es?, Pues con la mayor tontería que os podáis imaginar, tan solo hay que fijarse como sanea las URL insertadas antes de realizar la comprobación 😉

 

Fig 9. Código Fuente del minero en GLIDER.es

 

Lógicamente la idea de este artículo no es mostrar técnicas de ocultación o evasión de AV para que no se detecten este tipo de contenidos web. Pero sí es importante tener en cuenta que no todas las herramientas son capaces de detectar este tipo de estratagemas que utilizan los webmaster para ocultar estos sistemas de minería en su web, por eso siempre es importante tener SENTIDO COMÚN, y prestar atención a los sitios a los que entramos, no por tener un bloqueador web, ya estaremos 100% seguros. Otro detalle importante, es la penalización que puede sufrir una página web con sistemas de minería ocultos, al menos, en cuanto a SEO se refiere. Si tengo una web con miles de visitas gracias a que está bien posicionada en los principales buscadores, y por aprovecharme de los visitantes inserto un minero web en la página, puede acabar pasando que los buscadores me penalicen, no aparezca entre los principales resultados de búsqueda y me quede sin minería y sin visitantes.

 

Fig 10. Facebook bloqueando un enlace saliente a GLIDER.es

 

Otra característica de este minado descentralizado, es que solamente necesitas un dispositivo conectado a internet con una navegador web instalado, y aquí es dónde comienza lo divertido. Normalmente si pensamos en dispositivos con internet y un navegador, lo primero que se nos viene a la cabeza son ordenadores y teléfonos móviles, lo que viene a ser, nuestros principales “dispositivos de minería”. Yo como administrador de un sitio web que utilice algún sistema de minería de este tipo me interesa que desde estos dispositivos se acceda a mi web, y cuanto más mejor, de eso no cabe la menor duda. Pero… – ¿Y soy yo mismo quien genera esas visitas?. Me imagino que alguna vez habréis ido a una gran superficie comercial en la que se venden ordenadores y teléfonos, normalmente existen muestras de estos que están expuestas al público. ¿Qué ocurriría si me tomo la molestia de abrir una pestaña al apartado de minado de GLIDER.es en el navegador de cada uno de esos dispositivos, la dejo abierta y me voy?. Puedo ir mas lejos, tan solo tengo que cruzar de pasillo y acércame a la zona de las televisión, dónde seguro que la mayor parte ya serán SmartTV, si, esas televisiones que tienen conexión a Internet y por supuesto, un navegador web, ¿qué ocurre si las dejo minando a través del WiFi del establecimiento comercial?. Pues la respuesta a esas dos preguntas es sencilla, estaría obteniendo unas beneficios económicos sin ningún tipo de inversión inicial, ya que serían otros los que están minando para mi, ya seas tú, ahora mismo desde tu casa mientras lees este articulo, o las cuarenta televisiones del centro comercial de tu ciudad que alguien las ha dejado minando un par de semanas sin que los vendedores se enteren.

 

Fig 11. Televisiones expuestas en un comercio.

 

Pero antes de que os pongáis a comprar mandos de televisión universales en Aliexpress, para poner a minar las cuarenta SmartTV de la tienda de electrodomésticos que tenéis debajo de casa, os siento desilusionar, pero normalmente las SmartTV no gozan de grandes prodigios de la computación en su interior, es decir, tanto en las neveras inteligentes, los kioskos interactivos, el espejo inteligente y demás tipo de “cacharrada Smart ”, los procesadores que suelen montar son más bien limitados en cuanto a su capacidad de cálculo, por lo que apenas tendrán capacidad de generar hashes, y si no hay hashes, no hay dinero. Lo que todavía no he podido probar es la minería web a través del navegador que algunas video consolas traen instalado, aunque a priorí la potencia de cálculo de hashes/segundo de estos dispositivos de entretenimiento debería ser muy superior a un ordenador más o menos moderno, el problema con el que me he encontrado, es que los navegadores web de las videoconsolas no “se llevan muy bien” con los códigos JS de minería y por lo tanto no funcionan correctamente.

 

Fig 12. SmarTV minando Moneros a una tasa de hashes muy baja.

 

De momento no os he explicado, cuantos hashes/segundo necesitaremos para poder decir que estamos ganado dinero a espuertas, o a cuanto se paga el Monero, estas y otras vicisitudes económicas, son las que trataré en la siguiente parte de este artículo, en el que pondré los números encima de la mesa, para que veáis el rendimiento y los beneficios que puede dar este tipo de sistemas de minería web.

Salu2.

 

Continúa leyendo la Tercera parte de: Minando que es gerundio 3. PULSANDO AQUÍ.

 

¿Te ha gustado este artículo? Si quieres, puedes ayudarme a escribir el siguiente artículo de GLIDER invitándome a un café a través de mi perfil en Ko-fi.com

 

Pulsa Aquí para invitarme a un café con hielo.

  Salu2.

Manuel Guerra

Manuel Guerra

Mi nombre es Manuel Guerra. Investigador especializado en: [eCrime] | [Forensic] && [Hacking]. Editor de GLIDER.es

Navegación de la entrada


Comentarios

  • Iago_0M

    Una pregunta si accedo a https://glider.es/mineroGL1D3R2.html minaría solo mientras tenga la web abierta, mientra no cierre el navegador o minaría siempre que tenga acceso a internet?

    • Manuel Guerra

      Manuel Guerra

      Hola Iago, minarías solamente mientras tengas esa página abierta, si cierras el navegador o entras en otra web, ya dejarías de minar. Este minero no es malicioso, simplemente lo diseñe para que se pueda ver como funciona esta tecnología, otros mineros maliciosos, si pueden seguir funcionando aun con el navegador cerrado.

      Un saludo, y gracias por el comentario.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Puede usar las siguientes etiquetas y atributos HTML:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>