Blog

El ataque a la cadena de suministro de BrowseAloud: Un caso de estudio en cryptojacking

Este ataque afectó a más de 4,000 sitios web, incluyendo sitios gubernamentales y educativos, exponiendo a miles de usuarios al cryptojacking sin su conocimiento.

Jun 10, 2024 • 6 min read

Simon Wijckmans Founder & CEO

El ataque de cryptojacking de BrowseAloud — CoinHive inyectado a través de un plugin confiable

En febrero de 2018, más de 4,000 sitios web, incluyendo organismos gubernamentales de alto perfil como la Oficina del Comisionado de Información del Reino Unido (ICO), fueron víctimas de el ataque BrowseAloud. Esto no fue solo otra brecha de ciberseguridad; fue un potente recordatorio de los peligros ocultos de los scripts de terceros en nuestros ecosistemas digitales cada vez más interconectados.

¿Qué sucedió en el ataque BrowseAloud?

Un servicio de terceros aparentemente benigno llamado BrowseAloud, que ayuda a los sitios web a mejorar la accesibilidad convirtiendo texto a voz, fue comprometido. Actores maliciosos inyectaron el script de minería de criptomonedas CoinHive en el código base de BrowseAloud. Este script fue ejecutado sin saberlo por los navegadores de miles de visitantes en varios sitios web, utilizando sus dispositivos para minar criptomonedas sin consentimiento.

La minería de criptomonedas implica el proceso de resolver problemas matemáticos complejos para validar transacciones en la blockchain, una tarea que tradicionalmente requiere recursos computacionales sustanciales. Sin embargo, con la llegada de scripts como CoinHive, este proceso se llevó a los navegadores de usuarios desprevenidos. Así es como funciona:

Ejecución de JavaScript: CoinHive y scripts similares están escritos en JavaScript, que puede ejecutarse dentro de cualquier navegador web estándar. Esto hace que sea increíblemente fácil de implementar a gran escala. Probablemente el aspecto más importante de los ataques a la cadena de suministro web y lo que cside asegura.
Uso no consensuado de recursos: A diferencia de la minería típica que requiere consentimiento explícito y hardware dedicado, la minería basada en navegador utiliza los recursos de CPU de cualquier visitante a un sitio infectado. El script se ejecuta mientras la página web esté abierta, haciéndolo menos notorio pero potencialmente dañino para los dispositivos de los usuarios debido al aumento del consumo de energía y desgaste.
Rentabilidad para los atacantes: Cada dispositivo secuestrado contribuye con una pequeña cantidad de poder de minería. Sin embargo, cuando se escala a través de miles de dispositivos, esto puede generar criptomonedas significativas para los atacantes.

El impacto de este ataque

Este ataque afectó a más de 4,000 sitios web, incluyendo sitios gubernamentales y educativos, exponiendo a miles de usuarios al cryptojacking sin su conocimiento. No se robaron datos personales, pero las implicaciones fueron significativas de todos modos. Los sitios web tuvieron que ser dados de baja, causando interrupciones del servicio y daño reputacional. Los atacantes explotaron una práctica común pero riesgosa: la aceptación automática de actualizaciones de scripts de terceros. Este incidente destacó la necesidad de un monitoreo y gestión rigurosos de componentes de terceros, que muchas organizaciones habían pasado por alto.

Esto es contra lo que cside previene, tanto en el monitoreo del cambio como en la posibilidad de tomar acción autónoma para prevenir que el código malicioso se cargue en el navegador del usuario.

En otras palabras, esto muy probablemente no habría sucedido si cside hubiera existido y estado implementado en ese entonces. Puedes comenzar con cside para protegerte contra cualquier tipo de ataque de scripts de terceros de forma gratuita.

¿Qué pasó con BrowseAloud después?

Después del ataque de cryptojacking, la empresa matriz de BrowseAloud, Texthelp, tomó medidas inmediatas al desconectar temporalmente el servicio para mitigar el problema y realizar una revisión de seguridad exhaustiva. El incidente llevó a una mayor conciencia sobre la seguridad de los servicios de terceros y la necesidad de vigilancia continua y auditorías de seguridad regulares.

BrowseAloud volvió a estar en línea con medidas de seguridad mejoradas y un compromiso de prevenir tales incidentes en el futuro. El ataque también generó una discusión más amplia entre los proveedores de servicios web sobre la importancia de asegurar y monitorear rigurosamente los scripts de terceros.

El destino de CoinHive

CoinHive, por otro lado, enfrentó una trayectoria diferente. Inicialmente lanzado como una herramienta legítima para monetizar el contenido de sitios web sin anuncios utilizando el poder de CPU de los visitantes para minar criptomonedas, CoinHive rápidamente se asoció con el cryptojacking no autorizado. La connotación negativa y el mal uso del script en varios ataques maliciosos llevaron a un escrutinio significativo.

La viabilidad del servicio fue desafiada aún más por la caída en el valor de Monero y la creciente dificultad para minarlo de manera rentable. En consecuencia, CoinHive anunció su cierre en marzo de 2019, citando la inviabilidad económica como la razón principal de su clausura.

El dominio CoinHive.com ahora es propiedad del experto de la industria Troy Hunt. Es seguro y aloja su visión sobre la protección contra ataques similares y el cryptojacking en general.

Artículo educativo alojado por Troy Hunt en el antiguo dominio Coinhive.com

Similar a cómo ahora somos dueños del dominio Baways.com y lo hemos convertido en un sitio web educativo.

Página educativa actual de baways.com gestionada por cside

Usar dominios antiguos previamente utilizados como estos puede causar otros problemas, como Troy Hunt experimentó recientemente.

Correo electrónico divertido / estúpido / idiota del día:

@copytrack

ejecuta un servicio para rastrear instancias de imágenes con derechos de autor que se usan sin licencia. En marzo, me enviaron múltiples correos electrónicos exigiendo dinero por infracción de derechos de autor. Hoy, recibí otro pidiendo muchos cientos de euros:

pic.twitter.com/4IUUlvslZ8

— Troy Hunt (@troyhunt)

15 de junio de 2024

Ahora volviendo a sus recomendaciones sobre el tema, su enfoque implica usar CSP para hacer que los navegadores ignoren cualquier comando de cualquier dominio que no esté explícitamente permitido. En su caso, después de asegurar el dominio CoinHive, implementó un CSP que garantiza que incluso si se inyectan scripts maliciosos, no se ejecutarían porque no provendrían de una lista permitida de dominios.

En nuestra opinión, este enfoque es bueno, pero no suficiente. En resumen, los CSP no deberían ser la única medida de seguridad contra ataques de JavaScript de terceros. Nuestra página de comparación ofrece una excelente descripción general de las características que hemos implementado además de los CSP para proporcionar la mejor seguridad posible con respecto a las brechas de scripts de terceros.

Creemos que la clave está en analizar todo el script antes de que llegue al navegador del usuario. Naturalmente, esto presenta algunos desafíos, para los cuales hemos diseñado soluciones. Puedes leer más sobre esta visión y cómo aseguramos los scripts de terceros aquí.

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

En 2018 el script de accesibilidad Browsealoud fue comprometido y empezó a cargar Coinhive en cada sitio que lo embebía — incluidas páginas de gobiernos de Reino Unido y EE. UU. Los visitantes minaban Monero para el atacante hasta que se desactivó el script.

Cualquier script de terceros embebido se puede cambiar en silencio. Subresource Integrity ayuda con activos estáticos, pero no detecta cambios de payload en tiempo de ejecución. La monitorización continua del cliente sí ve el cambio cuando ocurre.

Monitoriza y Asegura tus Scripts de Terceros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Reservar una demo

Comenzar gratis

Comienza gratis, o prueba Business con una prueba de 14 días.

Interfaz del panel de cside mostrando monitorización de scripts y análisis de seguridad

Portada oscura del blog de cside con una onda de pixeles azules y una lista sobre pixeles no autorizados en sitios de juego y responsabilidad bajo el GDPR

GDPR y juego en línea: por qué los píxeles no autorizados crean un problema de doble responsabilidad

Píxeles no autorizados en sitios de juego crean responsabilidad GDPR y bloqueos de cuentas publicitarias a la vez, aunque el operador no los instale.

Cómo Bloquear Bytespider (el Rastreador de IA de TikTok)

Bytespider rastrea tu sitio para los sistemas de IA de Bytedance. Aprende a bloquearlo con robots.txt y rangos de IP, y las claves de soberanía de datos.

Portada oscura del blog con tres métodos de ataque de scripts maliciosos: redireccionamientos desde el browser, contenedores GTM en la sombra con etiquetas maliciosas y payloads móviles geoespecíficos

Cómo los scripts maliciosos secuestran el recorrido de los jugadores de casino

Scripts inyectados redirigen a jugadores de casino antes del lobby. Las herramientas de red no los detectan. Así debe funcionar la detección.

Portada oscura del blog de cside con una onda de pixeles azules y una lista sobre seguridad de scripts para operadores de juego en APAC

Seguridad de scripts del lado del cliente para operadores de juego en línea en APAC

Cómo los operadores de juego en línea de APAC en Japón, Singapur, Filipinas y Australia pueden monitorizar scripts de terceros en sesiones reales.

Cómo Bloquear Amazon Buy for Me en Tu Sitio Web

Amazon Buy for Me compra en tu sitio para usuarios de Prime. Aprende cómo recopila datos de precios y productos y cómo la detección en el navegador te da control.

Prevención de account takeover: el playbook completo de 2026

El playbook operativo de ATO para 2026: un modelo integral para login, recuperación, sesión y defensa post-auth frente a la apropiación impulsada por agentes IA y bots.

Portada oscura del blog de cside con una onda de pixeles azules y una lista sobre scripts de afiliados comprometidos que roban ingresos de casinos

Cómo los scripts de afiliados comprometidos roban los ingresos de los casinos en línea

Scripts de afiliados comprometidos redirigen jugadores y roban comisiones en páginas de casino, de forma silenciosa y a escala.

Portada oscura del blog con tres vectores de ataque de extensiones del browser: redirecciones a clones de phishing, robo de tokens de sesión y reescritura de campos de pago en el DOM

Cómo las extensiones del browser atacan a los jugadores de casino en línea: qué pueden hacer los operadores

Las extensiones del browser pueden robar tokens de sesión y secuestrar pagos en casinos. Así atacan, por qué los servidores no lo ven y cómo detectarlas.

Cómo Bloquear la Creación de Cuentas Falsas con IA

Los agentes de IA crean cuentas falsas con un comportamiento humano que vence al CAPTCHA. Aprende las señales del navegador que delatan los registros automatizados.

Cómo Bloquear CCBot (el Rastreador de IA de Common Crawl)

CCBot alimenta los conjuntos de datos de Common Crawl usados para entrenar GPT-3, BLOOM, LLaMA y muchos otros modelos de IA. Aprende cómo bloquearlo y qué consigue realmente bloquearlo.