17 años en Internet

04 enero 2018

"Nintenderos" mina cripto-monedas a costa de sus visitantes

    "Coinhive" es una cuestionable librería de JavaScript destinada a la minería de Monero (cripto-moneda lanzada en 2014) que está siendo utilizada por "Nintenderos", sitio web autoproclamado como el más importante de noticias de Nintendo en español.

Captura de pantalla del Twitter de Nintenderos

    Las librerías y scripts de JavaScript transladan todo el peso computacional de su gestión al cliente, es decir, al usuario que visita la web. Normalmente, los scripts de "JS" están pensados para alterar el comportamiento en tiempo real de los sitios, ya sea con acciones en primer plano (reglas de visualización como cerrar un formulario o abrir un menú desplegable) o en segundo plano (por ejemplo, una actualización ajax o la aplicación de un filtro sobre una lista) y en la actualidad son una parte esencial en todo lo que tiene que ver con el desarrollo en HTML5.

    La problemática aquí reside en que Nintenderos está haciendo uso de un script que no tiene nada que ver con la gestión del sitio, si no que guarda más bien relación con aprovecharse de su alto volumen de visitas para trasladar el alto costo de la minería de cripto-monedas a sus visitantes, empleando la CPU de estos y sin informarles de ello.

    De hecho, esta técnica se considera tan intrusiva que antivirus como el "FortiClient" lo catalogan de amenaza, pese que a priori esta técnica no supone ningún peligro para el usuario final:





     Intenté ponerme en contacto con Nintenderos a través de su cuenta de Twitter, pero ante la ausencia de una respuesta decidí mirar directamente el código fuente de su página... y ahí está la prueba: pillados infraganti con una llamada directa a una biblioteca JS alojada en coinhive.com.



    Coinhive se publicita como una alternativa a la molesta publicidad en línea y como una fuente más fiable de ingresos ante el auge de plugins que bloquean las publicidades empleadas por los sitios web. No obstante, ya se hizo famosa con The Pirate Bay, quienes tras recibir la crítica de los usuarios por realizar minería a costa de ellos sin siquiera pedirles consentimiento, acabaron reconociendo su utilización y se excusaron en el alto coste de mantenimiento de sus servidores.

    Desde octubre de 2017 los creadores de Conhive recomiendan a sus usuarios el empleo de AuthedMine, un plugin de JS que permite a los usuarios de su librería poder pedir consentimiento previo a los visitantes de su sitio, una acción que resultaría más transparente pero que probablemente nadie aceptaría otorgar.

No hay comentarios:

Publicar un comentario

Si te ha gustado la entrada o consideras que algún dato es erróneo o símplemente deseas dar algún consejo, no dudes en dejar un comentario. Todo feedback es bienvenido siempre que sea respetuoso. También puedes contactarme vía Twitter @Hamster_ruso si lo consideras necesario.