Los ciberdelincuentes se introducen en el dispositivo de una víctima e instalan una aplicación de cryptojacking. El software se carga en segundo plano y comienza a generar criptomonedas nuevas o, si encuentra una billetera, roba monedas existentes. Aunque la víctima puede notar algún problema de rendimiento, sigue utilizando su dispositivo como siempre, ajena a lo que ocurre en realidad.

Por lo general, los hackers emplean una de dos estrategias para transformar el dispositivo de una víctima en una “estación de minería”:

  • Le envían a la víctima un correo electrónico con un vínculo malicioso. Cuando la víctima hace clic en el vínculo, el código de criptominería se carga en su dispositivo.
  • Infectan un anuncio o un sitio web con código JavaScript que se autoejecuta cuando la víctima lo carga en el navegador.

Muchos hackers emplean ambos métodos para maximizar sus ganancias. En cualquiera de los dos casos, lo que el código hace es copiar al dispositivo un script de cryptojacking, que opera en segundo plano mientras la víctima trabaja. El script intenta resolver problemas matemáticos complejos y envía los resultados a un servidor controlado por el hacker.

A diferencia de otras clases de malware, los scripts de cryptojacking no son perjudiciales ni para la computadora ni para los datos del usuario. Lo que hacen es apropiarse de parte de los recursos de cómputo. Para un usuario hogareño, que su computadora funcione un poco más lento es solo una molestia. Sin embargo, para una empresa, el cryptojacking puede ser un verdadero y costoso problema, en particular cuando son muchos los sistemas infectados. Por ejemplo:

  • El personal de sistemas deberá gastar tiempo y recursos en hallar el porqué de los problemas de rendimiento. En un intento de resolver la situación, puede que se reemplacen componentes o sistemas enteros.
  • El consumo de electricidad aumentará, con su consiguiente costo.

Algunos scripts de criptominería se comportan como gusanos: una vez que tienen acceso a una red, tratan de infectar otros dispositivos y servidores. Ello los hace más difíciles de identificar y eliminar. Algunos scripts también analizan el dispositivo de la víctima para determinar si ya había sido infectado por otro software de minería. En caso positivo, deshabilitan la aplicación de la competencia.

En los albores de la criptominería, los propietarios de algunos sitios web tuvieron una idea para monetizar el tráfico: pedir autorización a los visitantes para generar criptomonedas en sus dispositivos mientras estuvieran en el sitio. Decían que la propuesta era un trato justo: el visitante accedía al contenido sin costo y, a cambio, el sitio web usaba su computadora para la criptominería. Un sitio de juegos, por ejemplo, podía aprovechar todo el largo de una visita para generar criptomonedas con un programa en JavaScript. Cuando el visitante salía de la página, el script se detenía. La idea no es descabellada, pero el sitio debe indicar claramente cómo opera. Lo difícil para el usuario es saber si un sitio dice la verdad.

La criptominería maliciosa (es decir, el cryptojacking) es una actividad que se realiza sin permiso y que no se detiene aunque el visitante abandone el sitio. Es frecuente en los sitios de dudosa reputación, pero también se la puede ver en sitios lícitos que han sido atacados. Los usuarios no tienen forma de saber si han visitado un sitio que utiliza sus equipos para la minería. El código pasa desapercibido porque se asegura de no utilizar demasiados recursos. El usuario cree que se han cerrado todas las ventanas del navegador, pero, sin saberlo, una ventana invisible sigue abierta. A menudo, esta ventana tiene el tamaño exacto para ocultarse detrás de la barra de tareas o el reloj.

Los dispositivos móviles con Android no están exentos de sufrir estos problemas: son susceptibles a los mismos métodos de cryptojacking que se emplean para computadoras portátiles o de escritorio. En algunos ataques, se utiliza un troyano oculto en una app descargada. En otros, se redirige al usuario a un sitio infectado, que abre (y deja abierta) una ventana secreta. Aunque un teléfono individual tiene un poder de cómputo relativamente limitado, cuando el ataque afecta una cantidad suficiente de dispositivos, la capacidad de cálculo combinada justifica los esfuerzos.