- El cryptojacking utiliza en secreto la CPU y GPU de tus dispositivos para minar criptomonedas sin permiso.
- Los ataques pueden llegar vía navegador, binarios, routers, malware sin archivos o entornos en la nube.
- Síntomas típicos: equipos lentos, sobrecalentamiento, alto uso de CPU y tráfico hacia pools de minería.
- La mejor defensa combina seguridad en endpoints, filtrado de red, parches y concienciación de usuarios.
El cryptojacking se ha convertido en una de las amenazas silenciosas más habituales en ciberseguridad: no borra tus archivos ni bloquea tu pantalla, pero exprime tu ordenador, tu móvil o tus servidores para minar criptomonedas a espaldas tuyas. El resultado son equipos lentos, facturas de luz infladas y hardware quemado sin que entiendas bien qué está pasando.
A lo largo de este artículo vas a ver qué es exactamente el cryptojacking, cómo funciona, qué tipos de ataques existen, cómo detectarlo y cómo protegerte, integrando tanto los casos reales más conocidos como las técnicas modernas que usan los atacantes en PCs, móviles, routers, sistemas industriales y la nube. La idea es que, al terminar de leer, puedas reconocer las señales de alarma y tengas claro qué medidas aplicar en tu red y en tus dispositivos personales.
Qué es el cryptojacking
El cryptojacking (también llamado criptominería maliciosa o criptosecuestro) es el uso no autorizado de un dispositivo electrónico —ordenador, portátil, móvil, tablet, router, servidor on‑premise o en la nube— para minar criptomonedas. El atacante secuestra la capacidad de procesamiento de CPU y/o GPU, la memoria y el ancho de banda de red para obtener beneficios económicos sin pagar por el hardware ni por la electricidad.
A diferencia de otros tipos de malware más ruidosos, el cryptojacking está diseñado para pasar desapercibido el máximo tiempo posible. No suele cifrar tus archivos ni mostrar pantallas de rescate: se limita a trabajar en segundo plano, consumiendo recursos de forma “discreta”, a menudo con mecanismos para reducir la velocidad de minado cuando detecta actividad del usuario o cuando el uso de CPU se dispara.
En la práctica, el cryptojacking es la versión delictiva de la minería de criptomonedas: en vez de montar una granja de minado con equipos especializados y pagar una factura eléctrica enorme, el ciberdelincuente reparte la carga entre miles de dispositivos ajenos, formando auténticas botnets centradas exclusivamente en minar.
La criptomoneda más habitual en este tipo de ataques es Monero, ya que su diseño favorece la minería con CPU generalistas, ofrece mayor anonimato que otras monedas y es más difícil de rastrear. Aun así, hay campañas que han intentado minar Bitcoin u otras monedas, especialmente en entornos con gran potencia de cómputo como centros de datos o supercomputadores.
Cómo encaja el cryptojacking en el mundo de las criptomonedas
Para entender el cryptojacking conviene repasar cómo funcionan las criptomonedas y la tecnología blockchain. Un blockchain es un gran libro de contabilidad distribuido e inmutable donde se registran todas las transacciones. No está guardado en un único servidor, sino que se replica en multitud de nodos (ordenadores) repartidos por todo el mundo.
Cada grupo de transacciones recientes se agrupa en un bloque. Los mineros son los usuarios que ejecutan software de criptominería encargado de resolver complejos problemas matemáticos (hashes) para validar esas transacciones y añadir el bloque a la cadena. A cambio, reciben una recompensa en forma de nuevas monedas o comisiones de transacción.
Este proceso de minería consume cantidades brutales de potencia de cálculo y electricidad. Las granjas de minería profesionales emplean hardware específico y tarifas eléctricas negociadas. Antes de que China cerrara muchas de estas granjas, algunos centros llegaban a pagar decenas de miles de dólares al mes solo en luz. De ahí que muchos delincuentes hayan visto negocio en robar recursos de otros en lugar de invertir en su propia infraestructura.
Lo que hace el cryptojacking es aprovechar esta realidad económica: si el coste del hardware y la energía lo pagan las víctimas, para el atacante casi todo lo minado es beneficio neto. Por eso, aunque un único PC apenas rente, miles de equipos infectados suponen una fuente de ingresos constante y con poco riesgo directo para el delincuente.
Cómo funciona el cryptojacking en la práctica
El ciclo básico de un ataque de cryptojacking sigue un patrón claro: compromiso inicial, despliegue del minero, conexión al pool y ocultación. Lo que cambia entre variantes es la forma concreta de entrar en el sistema y de mantenerse ocultas.
En primer lugar, el atacante necesita una vía para ejecutar código en tu dispositivo. Los vectores de entrada más habituales son los correos de phishing con adjuntos maliciosos, descargas de software pirata o de procedencia dudosa, vulnerabilidades sin parchear en servidores (por ejemplo, Oracle WebLogic, routers MikroTik, paneles de administración en la nube, etc.) o sitios web comprometidos que inyectan scripts de minería en tu navegador.
Una vez obtiene ejecución, el siguiente paso es instalar o lanzar el componente de minería. Puede tratarse de un binario clásico que se escribe en disco y se registra como servicio o tarea programada, un script que se ejecuta íntegramente en memoria (malware sin archivos) o un fragmento de JavaScript que corre mientras tengas abierta una pestaña del navegador.
Ese minero se conecta a un pool de minería o a un servidor de mando y control (C2), donde recibe el “trabajo” (los bloques que debe intentar resolver) y envía los resultados. Normalmente usa puertos y protocolos estándar (HTTP, HTTPS, WebSocket) para mezclarse con el tráfico legítimo y evitar levantar sospechas en los sistemas de monitorización.
Finalmente, el malware incorpora distintas técnicas de evasión y persistencia: limitar el uso de CPU por debajo de cierto umbral, pausar la minería cuando detecta movimiento del ratón o actividad del usuario, ofuscar su código para esquivar antivirus, hacerse pasar por un proceso legítimo del sistema, deshabilitar herramientas de seguridad o incluso eliminar otros criptomineros competidores que ya estuvieran en la máquina.
Tipos de cryptojacking según el vector de ataque
El ecosistema de ataques de cryptojacking es bastante variado. Podemos agrupar las principales modalidades en función de dónde se ejecuta el código malicioso y cómo se distribuye. Cada tipo tiene particularidades a la hora de detectarlo y frenarlo.
1. Cryptojacking basado en navegador (o cryptominería por visión) se da cuando un sitio web, anuncio o script de terceros carga código JavaScript de minería en tu navegador. Mientras mantienes la página abierta, tu CPU trabaja para minar, normalmente Monero. Al cerrar la pestaña, el proceso debería detenerse, aunque muchas campañas maliciosas dejan ventanas ocultas o pop‑ups mínimas que siguen ejecutando el minero.
Este modelo se popularizó en 2017 con servicios como Coinhive, que ofrecía un script de minería para que los propietarios de webs monetizaran el tráfico como alternativa a los anuncios. Aunque en teoría se presentaba como un acuerdo transparente —contenido gratis a cambio de que cedas algo de CPU—, la realidad es que muchos ciberdelincuentes modificaron la biblioteca de Coinhive y la incrustaron de forma oculta en miles de sitios, redirigiendo los beneficios a sus propias carteras.
2. Cryptojacking basado en archivos o binarios es la variante clásica de malware. El atacante consigue que descargues o ejecutes un archivo que contiene el minero (por ejemplo, a través de phishing, exploits o plugins adulterados). Ese binario se instala en el sistema, crea mecanismos de persistencia (servicios, tareas programadas, claves de registro) y se ejecuta constantemente, incluso tras reinicios.
Este tipo de malware puede limitarse a minar criptomonedas o, en campañas más sofisticadas, combinar la minería con otras actividades maliciosas como el robo de credenciales, el movimiento lateral en la red o la creación de botnets. Un caso conocido es la botnet Smominru, activa desde 2017, centrada en servidores Windows de pequeño tamaño que suelen estar siempre encendidos. En 2020 se estimaba que agrupaba más de 500.000 nodos, dedicados a minar Monero y a extraer información sensible.
3. Cryptojacking en routers y dispositivos de red aprovecha vulnerabilidades o malas configuraciones en routers para inyectar código malicioso en el tráfico. El atacante instala software en el router que modifica las respuestas HTTP, añadiendo scripts de minería a todas las páginas que pasan por ese equipo, tanto entrantes como salientes. De este modo, cualquier usuario detrás del router infectado se convierte en minero involuntario cada vez que navega.
Este enfoque se vio, por ejemplo, en los más de 200.000 routers MikroTik comprometidos en Brasil en 2018, donde se inyectó el código de Coinhive a una cantidad masiva de tráfico. También motivó operaciones coordinadas, como una campaña liderada por Interpol en el sudeste asiático que redujo el cryptojacking regional en un 78 % tras parchear enrutadores vulnerables.
4. Cryptojacking en la nube tiene como objetivo infraestructuras cloud (máquinas virtuales, contenedores, Kubernetes, etc.). Aquí el atractivo para el atacante es enorme: la capacidad de cómputo se escala casi de forma elástica y un pico de uso de CPU o de electricidad se interpreta a menudo como algo normal en entornos de producción en la nube.
Las vías de entrada más frecuentes son la exposición de credenciales API en repositorios de código, los errores de configuración en despliegues cloud, la falta de endurecimiento de paneles de gestión o la explotación de vulnerabilidades en servicios como Oracle WebLogic. Hay casos sonados, como el cryptojacking que afectó a nodos de Kubernetes de Tesla por no cambiar una contraseña de gestión por defecto, o el compromiso de infraestructura en Amazon Web Services S3 para inyectar scripts de minería en la web del L.A. Times.
5. Cryptojacking sin archivos (fileless) se apoya en herramientas legítimas del sistema, como PowerShell o Windows Management Instrumentation (WMI), para ejecutar el código de minería íntegramente en memoria. En lugar de dejar archivos evidentes en disco, el atacante usa macros maliciosas, scripts ofuscados y técnicas avanzadas de inyección en procesos.
Al mantenerse en memoria, la detección tradicional basada en firmas de ficheros pierde eficacia. La persistencia se logra mediante suscripciones a eventos WMI, claves de ejecución en el registro y otros mecanismos que, al reiniciar, vuelven a cargar el código del minero desde comandos legítimos, dificultando su análisis y erradicación.
Ejemplos reales de ataques de cryptojacking
Más allá de la teoría, el cryptojacking ha protagonizado incidentes muy relevantes en los últimos años, tanto en usuarios domésticos como en grandes organizaciones e infraestructuras críticas.
En 2018 se descubrió código de minería oculto en una página de la sección de homicidios del Los Angeles Times. Cada visitante de esa página contribuía sin saberlo a minar Monero. El script usaba tan poca CPU que muchos usuarios ni siquiera notaban el impacto, lo que permitió que la campaña se mantuviera activa durante un tiempo considerable.
Ese mismo año se registró un ataque de cryptojacking contra la red de tecnología operativa de una empresa europea de servicios de agua. El minero degradó seriamente la capacidad de los operadores para gestionar el sistema, marcando uno de los primeros casos conocidos de cryptojacking en un entorno de control industrial. De nuevo, el objetivo económico era minar Monero, pero el riesgo operacional fue mucho mayor.
También en 2018 se detectó que el minero de Coinhive se ejecutaba en anuncios de YouTube a través de la plataforma DoubleClick de Google, demostrando cómo los atacantes aprovechan cadenas de suministro complejas para colar scripts de minería en servicios globales con millones de usuarios.
En 2019, Microsoft retiró de su tienda ocho aplicaciones de minería oculta que utilizaban los recursos de los usuarios para minar Monero. Aunque parecían proceder de tres desarrolladores distintos, todo apuntaba a una única organización detrás. Las apps se encontraban fácilmente buscando términos populares o en la lista de aplicaciones gratuitas más descargadas.
Fuera del ámbito puramente de cryptojacking, pero igualmente ilustrativo, tenemos casos como el de científicos en un centro ruso de investigación nuclear que intentaron usar una supercomputadora oficial para minar Bitcoin, o campañas a gran escala como la botnet Prometei, con múltiples módulos capaces de explotar vulnerabilidades como BlueKeep y EternalBlue para propagarse y minar Monero en sistemas Windows y Linux.
Impacto del cryptojacking en empresas y usuarios
A primera vista, el cryptojacking puede parecer un “mal menor” porque no roba directamente tus datos ni te chantajea con un rescate. Sin embargo, sus impactos acumulados son significativos tanto para particulares como para organizaciones.
En el plano técnico, el minado intensivo hace que los dispositivos funcionen más lentos, se bloqueen con más frecuencia y sufran sobrecalentamientos. Los ventiladores se disparan, la batería de los portátiles y móviles dura mucho menos y los componentes pueden ver acortada su vida útil. En casos extremos, se han reportado móviles Android con troyanos mineros que hacen que la batería se hinche y el dispositivo quede inservible.
Para una empresa, la cosa se agrava. Múltiples servidores y estaciones de trabajo infectados implican aumentos notables de consumo eléctrico, sustitución prematura de hardware, horas de trabajo del equipo de TI investigando problemas de rendimiento y posibles interrupciones de servicios críticos. Todo esto se traduce en pérdidas económicas y en desviación de recursos que podrían dedicarse a otras prioridades.
Además, el cryptojacking puede provocar incumplimientos normativos al ejecutar código no autorizado dentro de la red corporativa, con el riesgo de sanciones regulatorias y reclamaciones legales, especialmente en sectores regulados como el financiero o el sanitario.
No hay que olvidar el impacto medioambiental: cuando una campaña de cryptojacking se focaliza en grandes centros de datos o en infraestructuras cloud, la energía desaprovechada y las emisiones asociadas al minado ilegal se disparan. Desde el punto de vista de la responsabilidad social corporativa, este tipo de incidentes son cada vez menos tolerados por reguladores e inversores.
Síntomas y detección del cryptojacking
Aunque los cryptojackers intentan esconderse, dejan un rastro y síntomas detectables. La clave está en vigilar el rendimiento de los sistemas, el tráfico de red y la actividad de procesos, combinando monitorización técnica con la percepción de los propios usuarios.
Uno de los signos más evidentes es la disminución general del rendimiento. Ordenadores que de repente van “a pedales”, aplicaciones que se abren con retraso, cuelgues frecuentes o una conexión a Internet inusualmente lenta pueden indicar que la CPU y el ancho de banda están siendo secuestrados para minar.
Otro indicador clásico es el sobrecalentamiento persistente. Si el ventilador del portátil o del PC de sobremesa se mantiene a máxima velocidad incluso cuando no estás ejecutando programas pesados, o si notas que el móvil se calienta y la batería cae en picado, conviene sospechar de posibles scripts de cryptojacking, sobre todo mientras navegas o tras instalar apps dudosas.
Desde el punto de vista técnico, es crucial revisar el uso de CPU y GPU en el Administrador de tareas (Windows), Monitor de actividad (macOS) o herramientas de monitorización en servidores. Un consumo elevado y sostenido de CPU cuando el sistema está teóricamente en reposo, o procesos desconocidos que acaparan recursos, son banderas rojas claras.
La monitorización de red también resulta vital. Sistemas infectados suelen mantener conexiones salientes constantes hacia pools de minería o servidores C2, a menudo a dominios o IPs poco habituales o en países remotos. Los patrones de tráfico propios de protocolos de minería pueden detectarse con inspección profunda de paquetes y sistemas de detección de intrusiones (IDS).
En ataques sin archivos, herramientas de análisis forense de memoria permiten tomar instantáneas de la RAM para buscar código de minería, direcciones de monederos o configuraciones de pool ocultas. Y en entornos Windows, registrar y auditar en detalle la actividad de PowerShell y WMI ayuda a localizar scripts sospechosos que descargan y ejecutan mineros en memoria.
En el terreno web, extensiones de monitorización del navegador y herramientas de análisis de JavaScript pueden detectar scripts de minería incrustados en páginas o extensiones, así como conexiones WebSocket a servicios de minería desde el propio navegador.
Mecánicas modernas de los cryptojackers para evitar ser detectados
Conforme las defensas han mejorado, los cryptojackers han ido incorporando estrategias cada vez más sofisticadas para permanecer ocultos y seguir generando beneficios el máximo tiempo posible.
Por un lado, muchos mineros usan algoritmos de minado más ligeros o limitan el uso de CPU a porcentajes moderados, lo bastante bajos para no disparar alarmas, pero suficientes para producir ingresos cuando se combinan cientos o miles de equipos afectados.
También es frecuente que el malware detenga la minería o reduzca la intensidad cuando detecta actividad del usuario —movimiento de ratón, pulsaciones de teclado, apertura de ciertas aplicaciones—, reanudando el minado a plena potencia cuando el equipo queda inactivo o por la noche.
En campañas avanzadas, los atacantes emplean ofuscación pesada de código, empaquetadores y cifrado para que las firmas tradicionales no reconozcan el binario del minero. En el caso de botnets como Prometei o PowerGhost, se incorporan múltiples módulos, técnicas de personificación de procesos, uso de certificados legítimos y mecanismos para modificar o desactivar herramientas de seguridad.
Además, los cryptojackers se apoyan en técnicas propias del malware sin archivos para residir en memoria, inyectarse en procesos legítimos y usar herramientas del sistema como PowerShell, dificultando aún más el trabajo de detección y respuesta de los equipos de seguridad.
Buenas prácticas para protegerte del cryptojacking
La defensa eficaz frente al cryptojacking combina medidas técnicas, configuraciones adecuadas y concienciación de usuarios. No hay bala de plata, pero sí un conjunto de prácticas que, aplicadas de forma constante, reducen drásticamente el riesgo.
Lo primero es contar con un buen programa de ciberseguridad en los endpoints (PCs, portátiles, servidores y móviles), con protección en tiempo real capaz de bloquear malware, scripts maliciosos, tráfico hacia pools de minería conocidos y comportamientos anómalos. Soluciones modernas de EDR/XDR con detecciones basadas en comportamiento tienen especial ventaja contra mineros desconocidos.
En el navegador, resulta útil instalar extensiones específicas para bloquear minería como No Coin, minerBlock o Anti Miner, además de usar bloqueadores de anuncios reputados, dado que muchos scripts de cryptojacking se distribuyen a través de publicidad maliciosa (malvertising). En entornos de alto riesgo, puede valorarse desactivar JavaScript en sitios no confiables, con el coste de perder algunas funcionalidades.
A nivel de red, es imprescindible desplegar monitorización y filtrado: IDS/IPS con firmas de tráfico de minería, filtrado DNS que bloquee dominios de pools conocidos, segmentación de red para frenar el movimiento lateral y alertas sobre patrones de tráfico inusuales o sobreprovisión de recursos en la nube.
La gestión de parches no puede descuidarse. Parchear routers, servidores, aplicaciones web, hipervisores y paneles cloud cierra muchas de las puertas preferidas por los cryptojackers (como las vulnerabilidades explotadas en MikroTik, Oracle WebLogic, Kubernetes sin endurecer, etc.). Un proceso de gestión de configuración y de análisis de vulnerabilidades ayuda a identificar sistemas desactualizados.
En entornos empresariales, conviene reforzar la configuración de seguridad del navegador y de las políticas corporativas: políticas de seguridad de contenido (CSP) para bloquear la carga de scripts desde dominios no autorizados, deshabilitar WebAssembly o ciertas APIs en contextos no confiables y controlar qué extensiones se pueden instalar.
La concienciación es otro pilar clave. Los usuarios deben saber reconocer síntomas como equipos sobrecalentados, ventiladores al máximo sin motivo o rendimiento inusualmente bajo, así como los riesgos de descargar software pirata, abrir adjuntos inesperados o instalar extensiones de navegador desconocidas. Un proceso claro de reporte de incidentes facilita que el equipo de seguridad actúe rápido.
Por último, para organizaciones con cierta madurez, merece la pena invertir en capacidad de caza de amenazas (threat hunting) centrada en patrones de criptominería: búsquedas proactivas en registros, análisis de comportamiento con marcos como MITRE ATT&CK, uso de detecciones basadas en Sigma u otras reglas compartidas por la comunidad y revisión periódica de picos sospechosos de consumo de CPU y energía en la infraestructura.
El cryptojacking, lejos de ser una curiosidad pasajera, se ha consolidado como una fuente de ingresos constante y relativamente segura para los ciberdelincuentes, que aprovechan desde simples scripts en el navegador hasta complejas botnets multi‑plataforma y ataques en la nube. Conocer cómo funciona, qué síntomas provoca y qué controles aplicar te permite reducir mucho las probabilidades de que tus dispositivos terminen minando para otros sin que te enteres.
Redactor apasionado del mundo de los bytes y la tecnología en general. Me encanta compartir mis conocimientos a través de la escritura, y eso es lo que haré en este blog, mostrarte todo lo más interesante sobre gadgets, software, hardware, tendencias tecnológicas, y más. Mi objetivo es ayudarte a navegar por el mundo digital de forma sencilla y entretenida.